Lo que sufrirán más organizaciones en el futuro
En las organizaciones, la privacidad será violada. Es duro, pero así será. Las organizaciones tienen que proteger la información personal de sus empleados y clientes. Si esta privacidad es violada, pueden haber acciones legales y sanciones. Además, las organizaciones continuarán sufriendo pérdidas financieras directas. La protección en particular, de los detalles de las tarjetas de créditos de los clientes e información comercial relacionada, es esencial. La pérdida o robo de información comercial, que van desde los planes de negocios y contratos con los clientes, hasta propiedad intelectual, diseños de productos y conocimiento industrial, pueden causar daños financieros a largo plazo para la organización víctima.
Regulaciones y reputaciones
Los requerimientos de regulación y cumplimiento incrementarán. Las entidades reguladoras legislarán cada vez más fuerte, empujando a las corporaciones a tomar acciones de seguridad de la información apropiadas y eso aumentará el costo y la complejidad de la seguridad de la información. Las reputaciones serán dañadas también, las organizaciones que no pueden proteger la privacidad de la información sobre el personal y los clientes y que, en consecuencia, atraen sanciones y multas, encontrarán su credibilidad corporativa, sus relaciones comerciales, su marca e imagen, gravemente dañadas a un costo elevado, y se verán afectadas a mediano plazo.
Las verdades de nuestras defensas
Las estadísticas son convincentes. Las amenazas son evidentes. Ninguna organización puede permitirse ignorar la necesidad de seguridad de la información. El hecho de que el riesgo esté tan extendido, y las fuentes de peligro tan diversas, hace que sea insuficiente simplemente implementar una política de antivirus o una política de continuidad de negocio o cualquier otra solución independiente. Una conclusión que la Encuesta CBI Cybercrime Survey 2001 fue que “desplegar tecnologías tales como firewalls pueden brindar falsos niveles de tranquilidad a menos que las organizaciones hayan mostrado un análisis de riesgo formal, firewalls correctamente configurados y mecanismos de seguridad que reflejen su estrategia general de riesgo”. A la fecha, nada ha cambiado, y eso se demuestra en el contraste de gastos de seguridad aplicados en las empresas contra su evaluación de riesgos. En promedio, los encuestados que realizaron evaluación de riesgos, gastaron 8% de su presupuesto en seguridad. El gasto promedio para los que no hicieron evaluación de riesgo, su gasto fue menos del 5%. Por tanto, parece que aquellos que no han realizado una evaluación de sus riesgos de seguridad de la información, también están invirtiendo poco en su seguridad.
El salvavidas
La única opción sensata es realizar una evaluación exhaustiva de los riesgos que enfrenta la organización y luego adoptar un enfoque de seguridad de la información completa y sistemática, que aborde esos riesgos de forma rentable.
Consejo audit
No se conforme con medidas placebo de seguridad de la información, y auto engañarse. Acuda a una auditoría externa o al menos una consultoría experta para la evaluación de riesgos de seguridad de la información, al menos de forma cualitativa, y luego aumente su nivel de seguridad con evaluaciones cuantitativas, es decir, apoyándose con registros reales de los controles implementados que permitan contabilizar y evidenciar en números la eficiencia de los controles.