Frente a los ultimos acontencimientos de seguridad ocurridos en Chile, no hay duda que estamos frente a un escenario realmente complejo.
Si hablamos de amenazas e incidentes avanzamos a grandes pasos a niveles que nos tienen al borde de perder el control.
Cual es el motivo?
Será que vemos organizaciones que se construyen en temáticas de seguridad basadas fundamentalmente en el cumplimiento sin que esta construccion pase a otros niveles superiores?
Y finalmente terminamos autoconvenciendonos que el cumplimiento es igual a seguridad?
Con las imagenes de este articulo aludo al recuerdo de un par de casos emblematicos: Target y Equifax.
Ambas compañias si cumplian con ISO 27001 (algunos controles) y PCI DSS, por ejemplo sin embargo ambos negocios fueron grandemente impactados.
Si indagamos el modo en el que estamos construyendo seguridad actualmente, claramente algo estamos haciendo mal.
En primer lugar creo que, tan pronto sea posible, debieramos tener una vision de la seguridad de la información desde la perspectiva del negocio abordandola como un riesgo y su respectiva gestion.
En el espíritu de un sano autocuestionamiento y constructiva reflexión, un abrazo....
