La naturaleza de las amenazas de seguridad de la información
Los datos e información son el corazón en los negocios del mundo moderno. Su disponibilidad, integridad y confidencialidad son fundamentales para la supervivencia a largo plazo en el siglo 21. Una encuesta mostró que 9 de cada 10 empresas manifiestan lo mencionado anteriormente. Al menos que la organización presente un enfoque completo y sistemático para proteger la disponibilidad, integridad y confidencialidad de su información, esta presentará un rango amplio de vulnerabilidad para posibles amenazas. Estas amenazas no están restringidas para empresas de internet, comercio electrónico, organizaciones que usan tecnología, organizaciones financieras u organizaciones que presenten información secreta o confidencial, pues, tal como se indicó anteriormente, estas amenazas afectan a todas las organizaciones, en todos los sectores económicos, tanto público como privado. Estas son un peligro claro y presente, y es necesaria una responsabilidad estratégica para asegurar que la organización tiene medidas apropiadas para defender sus activos de información.
Los medios
A pesar que las encuestas e informes donde manifiestan que la junta directiva y gerentes están prestando más atención a la seguridad, la verdad es que el riesgo de la seguridad de la información está creciendo rápidamente, tanto que la misma junta directiva lo reconoce. Y esto se debe a que, hay que considerar lo siguiente, las amenazas de seguridad de la información tienen como origen el factor interno y externo a la organización. La situación empeora cada año, y las ciber-amenazas probablemente se conviertan en algo más serio en el futuro. El ciber-activismo es por lo menos tan serio como las ciber-amenazas, ciber-guerras y ciber-terrorismo. Ataques externos no provocados y amenazas internas son igualmente serias, y es imposible predecir qué ataque se realizará para cualquier activo de información, o cuándo, o cómo. La velocidad con la que los métodos de métodos evolucionan, y el conocimiento que estos proliferan, hacen que las acciones se vean completamente inútiles contra las amenazas específicas e identificadas. Sólo un enfoque completo y sistemático entregaría un nivel de seguridad de la información que cualquier organización realmente necesita.
Realidad unificada
Es muy valioso para una organización entender los riesgos a los cuales la organización se expone con un sistema de gestión de seguridad de la información inadecuado. Estos riesgos pueden pertenecer a estas tres categorías: (a) Daño a las operaciones, (b) Daño a la reputación y (c) Daño legal. El daño en cualquiera de estas tres categorías puede ser medido por su impacto en la organización, tanto en términos de corto, mediano o largo plazo. Si bien no existe un estudio único completo y global de riesgos y amenazas en la información, en el cuál todos los países y autoridades confíen, hay un número de encuestas, informes y estudios, en diversos países, a menudo con ciertas diferencias ligeras de objetivos, que, entre ellas demuestran la naturaleza, escala, complejidad y significado de estos riesgos de seguridad de la información y la medida en que la organización, a través de su complacencia o minuciosidad de vulnerabilidades en su hardware y software, y sistemas de gestión, son vulnerables a estas amenazas.
Datos de inseguridad de la información
Las encuestas anuales apuntan a una situación que empeora constantemente. Por ejemplo, en el 2019, 143 millones de registros fueron comprometidos, a través de 141 informes de brechas, además, 45% de estas brechas fueron originadas externamente, 27% internamente y 27% fueron ocasionados por múltiples agentes; estos datos fueron obtenidos del informe Verizon Data Breach Investigations Report, del año 2010. Otra encuesta de brechas de seguridad de la información realizado por PwC en el 2014, observó que en las organizaciones de Reino Unido, el 81% de las grandes organizaciones sufrió una pérdida de datos, y 60% de las pequeñas organizaciones, ha tenido pérdida de datos. Las grandes organizaciones tienen un promedio de 16 brechas en el año, mientras las pequeñas organizaciones un promedio de 6. El costo para las grandes organizaciones de su peor pérdida fue entre 600k y 1.15m libras esterlinas. Para una pequeña organización el rango está entre 65k a 115k libras esterlinas. Además el 73% de las grandes organizaciones sufrió una infección de virus o malware, y el 55% de las grandes organizaciones sufrió un ataque externo, el 38% sufrió un ataque de denegación de servicio y sólo el 24% fueron capaces de identificar que sus defensas estaban siendo penetradas. Y 58% de las organizaciones en total, sufrió un ataque de relacionados al personal, y 31% de las peores ataques fueron causadas por un error humano inadvertido.
Consejo audit
Los hackers, crackers, escritores de virus, spammers, phishers, pharmers, fraduster y cualquier tipo de cyber-criminal, están evolucionando en sus ataques y explotando tanta vulnerabilidad de software, hardware, redes y procesos que se encuentren en las organizaciones conectados a internet. En audit ayudamos a las organizaciones a reforzar su seguridad de la información a través de un análisis de activos de información, vulnerabilidades, amenazas y riesgos relacionados para reforzar su cultura de seguridad de la información.