¿Qué visión debemos tener en seguridad de la información en las empresas?
Muchas personas experimentan frustración al tratar de realizar compras por internet, debido a que les aparece un mensaje relacionado a “El servidor no se encuentra disponible”. También se encuentran las personas que trabajan con computadoras diariamente, y tienen malas experiencias con la conectividad a la red, o caídas de los servicios. En fin, con la omnipresencia de las computadoras y el software que los acompaña, es común considerar riesgos que la información almacenada o procesada en dichas computadoras pueda comprometerse o dañarse.
SGSI
Seamos sinceros, un SGSI o Sistema de Gestión de Seguridad de la Información, en muchas empresas, es inexistente, y en algunos casos inadecuados o mal implementados. En términos sencillos, las grandes organizaciones tienden a operar sus áreas de seguridad en silos segregados de manera vertical con poca o nula coordinación. Esta debilidad estructural significa que más organizaciones tienen vulnerabilidades significativas que pueden ser explotados deliberadamente que simplemente lo abren al desastre.
El contexto
Mientras evoluciona la gestión de seguridad de la información en las organizaciones, entidades reguladoras abordan cada vez más leyes corporativas para tratar estos asuntos de vital importancia. Y van desde controles de seguridad enfocados en seguridad perimetral, seguridad física como puertas, alarmas antirrobo, etc., hasta medidas de seguridad en el ciber-perímetro. Los gerentes de TI, son los responsables del ciber-perímetro, y ellos pueden ser buenos en asegurar el ciber-perímetro con contraseñas fuertes, conectividad óptima de internet, el mejor antivirus, los mejores proveedores claves de seguridad electrónica, pero, si ellos presentan inadecuada capacitación, inexperiencia o exposición de uso de estos recursos, esto dirige a mal puerto las estrategias establecidas para afrontar las amenazas contra los activos de la información. Hay muchas organizaciones en la que los gerentes de TI subjetivamente configuran e implementan políticas de seguridad para la organización con base a su propia evaluación de riesgos, experiencias pasadas e intereses, pero, con poca consideración para las necesidades reales del negocio u objetivos estratégicos de la organización.
La visión necesaria
La seguridad de la información es un tema complejo y se encuentra relacionado a la confidencialidad, integridad y disponibilidad de los datos. El gobierno de TI es incluso más complejo, y en términos de seguridad de la información, uno tiene que pensar en con una visión holística de la organización, incluyendo todas las combinaciones posibles de activos físicos y electrónicos, todas las posibles combinaciones de intranets, extranets y redes extendidas hacia socios de negocio, proveedores, clientes y otros.
Consejo audit
La seguridad de la información, no debe aplicarse como plan a la deriva, es muy importante establecer un plan alineado a los objetivos de la organización, pero, qué sucede si la organización no cuenta con ello, entonces es necesario establecer bien las bases de la misma para construir una sólida gestión de la seguridad de la información. Es por ello, que uno de nuestros principales servicios es el análisis de contexto de su organización para establecer un plan de seguridad de la información correspondiente a su giro de negocio y e tamaño que presenta.