Si tu empresa quiere gastar más en café que en seguridad TI, será vulnerable y bastante soluble. . . . . :O)
Rubén Bernardo Guzmán Mercado
IT Cordinator, Information Technology and Cybersecurity Specialist, IT Manager, Think outside the box!!!!
Si bien es cierto que la seguridad informática es poco valorada por algunos de los dirigentes empresariales, aun teniendo la profesión como Ingenieros en Sistemas o Telecomunicaciones, piensan o tienen la creencia que la tecnología puede solventar los problemas de seguridad, entonces no entienden los problemas y no entienden de tecnología.
Para tal caso y de acuerdo a mi experiencia, les propongo lo siguiente:
Comprensión de los riesgos de seguridad de la información
La gestión de riesgos se presenta como una actividad clave para el cuidado de los activos de información de una organización y en consecuencia protege la capacidad de cumplir sus principales objetivos.
Entendamos que es un proceso constante que permite a la administración balancear los costos operacionales y económicos causados por la interrupción de las actividades y la pérdida de activos, con los costos de las medidas de protección a aplicar sobre los sistemas de información y los datos que dan soporte al funcionamiento de la organización, reduciendo los riegos que presentan los activos de información a niveles aceptables para la misma.
Hay objetivos fundamentales de ciberseguridad que las organizaciones tenemos que cumplir para considerarnos en condiciones óptimas en ciberseguridad.
La preparación para la seguridad cibernética es el estado de ser capaz de detectar y responder eficazmente a las brechas e intrusiones de seguridad informática, los ataques de malware, los ataques de phishing y el robo de datos y propiedad intelectual, tanto de fuera, como dentro de la red.
Estructurar la seguridad física de los componentes de red, la red lógica y la cultura de la empresa y empleados, ya que proteger la información es un problema empresarial en el que la solución es mucho más que implementar tecnología como firewall y gateway antivirus, resistir ataques internos y esperar lo mejor.
Claro que no, las empresas debemos adoptar un enfoque proactivo para identificar y proteger los activos más importantes, incluida la información, la tecnología de la información y los procesos críticos del negocio.
Entonces la gestión del riesgo de seguridad de la información permite a una organización evaluar lo que está tratando de proteger y por qué, como elemento de apoyo a la decisión en la identificación de medidas de seguridad.
Una evaluación integral del riesgo de seguridad de la información debería permitir a una organización evaluar sus necesidades y riesgos de seguridad en el contexto de sus necesidades empresariales y organizativas.
Es importante tener en cuenta que el propósito de los sistemas de información y los datos que contienen es apoyar los procesos de negocios, que a su vez apoyan la misión de la organización.
En un sentido muy real, la información es un elemento fundamental que apoya al negocio y su misión, y contribuye a la capacidad de una organización para sostener las operaciones.
La gestión de riesgos en seguridad de la información, viene a ser el eslabón de referencia para proteger el bien más preciado de cualquier empresa, su Información.....
La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten, esta gestión debe mantener el equilibrio entre el costo que tiene una actividad de control y la importancia del activo de información para los procesos de la empresa, así como, el nivel de criticidad del riesgo.