SEGURIDAD DE LA INFORMACIÓN, NO ES CUESTIÓN DE INGENIEROS.

Constantemente escucho decir de diferentes empresarios que invertir en seguridad de la información es un gasto innecesario, dado que siempre han trabajado de la misma manera y nunca han tenido problemas de seguridad. De hecho muchos otros dicen, sin embargo aun cuando saben de los riesgos prefieren asumirlos ya que tienen otras prioridades de inversión. La verdad es que no es razón de alarmarse, dado que la formación de los directivos esta enfocada a producir dinero y no a gastarlo. El problema radica en la falsa idea de que nunca van a se impactados por un escenario de robo de información, denegación de servicios, sabotaje, defacement, y ahora el tan de moda ransomware o secuestro de información. Lo delicado es dar la espalda a la realidad y pensar que eso le sucede únicamente a otros.

¿Que opciones tienen las pequeñas y medianas empresas?
La otra cara de la moneda la tienen los asesores, consultores, ingenieros, directores de seguridad, oficiales de cumplimiento y demás cargos que las compañías del sector privado tienen para recibir recomendaciones de mitigación de riesgos. Pocas veces los encargados de estas tareas realizan un plan de contingencia que contenga una buena administración de los recursos escasos con los que cuenta la organización, y por el contrario presentan a la gerencia propuestas con altas inversiones en equipos, soluciones de software, administradores de riesgos, etc, muy costosos para una pequeña o mediana empresa que debe tratar de sobrevivir en un escenario de competencia de precios, calidad y servicio al cliente, sin tener en cuenta la carga tributaria que una organización de este nivel debe soportar para subsistir. A esto sumemos la cantidad de certificaciones que una compañía debe poseer para poder participar en procesos de selección como BASC, ISO9001, ISO14000, ISO31000 y demás que terminan por generar una carga económica a la empresa incapaz de sobrellevar.

El equilibrio.

El tan anhelado equilibrio se da cuando los directivos, los ingenieros y los jefes de procesos entienden que la seguridad de la información no es cuestión de ingenieros sino responsabilidad del equipo en conjunto; como dicen por ahí “es responsabilidad de todos”. De igual manera entender que la mitigación de riesgos en la seguridad de la información, de hecho sí requiere cierto grado de inversión, pero en su gran mayoría se puede llegar a un nivel aceptable con unas buenas prácticas, algunos controles y un detallado plan estratégico.

Cuando a un gerente se le presenta un plan donde la inversión económica es mínima, el compromiso de la compañía es total y la mitigación de riesgos se disminuye considerablemente, tendría que se un demente para no aceptarlo y aprobarlo, además debe explicarse cuales son los beneficios de realizar una correcta gestión de riesgos, mejora en la imagen reputacional, creación de un plan de continuidad del negocio, respaldo de la información, cultura organizacional, disminución de pérdidas económicas por fraude, capacitación para los empleados entre otras.

En conclusión el equilibrio debe darse entre lo que se esta dispuesto a invertir, el apetito de la organización para aceptar riesgos, la madurez organizacional y lo que se esta dispuesto a pagar para manejar incidentes si se llegan a presentar por falta de prevención; invito a todos los encargados de estas áreas a generar una cultura de seguridad de la información al interior de sus organizaciones, capacitar a las personas de todos los niveles para lo cual traigo a Kevin Mitnick quien nos dice ““Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores.”

Joany Guerrero Herrera

CEO MSCol

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *