Instintivamente, cuando pensamos en Seguridad, se piensa en la palabra protección. Cuando pensemos en Seguridad de la Información, es importante recordar que en el contexto del Framework de Cyberseguridad del NIST, este término ocupa la segunda categoría, por lo cual, es importante primero haber identificado todos los elementos que interesa asegurar, a través de la implementación de la categoría de Identidad. (Para más información ver   Identificar, el primer paso de la Cyberseguridad).

La categoría de protección en el Framework de Cyberseguridad incluye las siguientes sub-categorías: control de accesos, concientización y entrenamiento, seguridad de los datos, procesos y procedimientos de protección a la información, mantenimiento y tecnologías de protección. Tradicionalmente, los presupuestos de seguridad de una organización han sido dirigidos a la última sub-categoría, bajo el supuesto de que la tecnología por si misma puede brindar protección. Sin embargo, no ha sido suficiente. Es importante entender que la tecnología de protección, tales como antivirus, firewalls y similares, son herramientas necesarias para ser efectivos en proporcionar seguridad a la información. Sin estas herramientas la seguridad no puede ser alcanzada, pero el adquirir las herramientas no proporciona seguridad, sino se siguen procedimientos adecuados, si el personal no está consciente a un nivel aceptable de las amenazas de seguridad y si el control de accesos no ha sido establecido para garantizar que sólo personal autorizado tiene acceso a la información.

Entre los casos que puedo comentar, es típico tener una solución de antivirus, que ha sido adquirida para el total de los equipos de la organización, sin embargo, no todos los equipos de la organización tienen instalado el software, o si lo tienen, este no está actualizado para proporcionar el máximo de protección posible. Cuando esto pasa es inefectivo para la organización, no sólo porque se ha invertido dinero en algo que no es bien utilizado, sino también porque el impacto de tener fallas en la seguridad de la información, acarreará costos adicionales a la organización. Esto deja bien claro, que aparte de la herramienta, se deben implementar procedimientos que optimicen la protección. Esto incluye procedimientos de auditoría de sistemas. Como un ejemplo, al realizar una auditoría de sistemas a la implementación de medidas de seguridad, encontré que no sólo la actualización de firmas fallaba, sino también la actualización del software de antivirus. En esa ocasión, aprendí que los administradores de las herramientas de seguridad tienden a confiar en lo que les informan consolas centrales, sin preocuparse por verificar la información, aunque sea muestralmente, como se hace en la auditoría de sistemas.

Para evitar el problema de ser juez y parte, se ha creado la función de Oficial de Seguridad de la Información. Este rol debe de establecer los procedimientos de seguridad mínimos que permitan que el Plan de Seguridad de la Información sea ejecutado de manera consistente. También debe de evaluar el nivel de cumplimiento de los procedimientos y su nivel de efectividad, que le permita identificar puntos de mejora. Esto es la teoría, en la práctica de las empresas del área centroamericana, este rol aun no es entendido por la alta dirección, que lo ven como una tarea adicional del Gerente de Sistemas o de alguien en informática. Si alguien de la Alta Dirección de una empresa lee esto, es importante que entienda que las amenazas informáticas evolucionan diariamente, por lo tanto la protección contra esas amenazas no puede ser pensada de manera estática y requiere de constante medición, evaluación y adecuación.