martes, 30 de agosto de 2016

¿A mi? Eso nunca me va a pasar





Es común que las empresas vean los costos asociados a seguridad como un gasto hasta que les sucede un evento de seguridad, un ataque, explotación de vulnerabilidades, fuga de información, que traen como consecuencias caídas totales o parciales de servicios y por ende afectación al negocio incluyendo el preciado tema de la reputación, son aspectos preocupantes que cada día toman más fuerza.

Será en ese preciso momento, cuando cabe la reflexión: 
¿Por qué no establecí un plan de contingencias y continuidad de negocios?
¿Por qué no establecí los monitoreos a mis servicios para tener visual de los estatus de mis servidores? 
¿Y los logs? 
¿Por qué no no hice el upgrade de los servidores y las backups a tiempo?
¿Dónde están los datos de la gente que me recomendó el Firewall?
A partir de este momento, ya no es un gasto... (literalmente hablando)

En este desafiante mundo empresarial no hay tiempo para los lamentos, hay que actuar, la función debe continuar y a aprender de las experiencias es parte del trabajo.

Siempre menciono en charlas y reuniones: "Seguridad es más allá de jugar al policía y al ladrón" "Seguridad es un compendio de elementos claves a considerar en toda organización sea del tamaño de que sea y venda lo que venda que deben garantizar la continuidad del mismo"

Lo empírico debe ser erradicado y pensar que nunca atravesará por difíciles momentos no es la mejor opción, pues dejar a la suerte que nunca suceda algo no es buena idea, Sin dejar a un lado el factor determinante: "precios" el jefe siempre preguntará: (sea el precio que sea) ¿Por qué es tan caro? Busca bajar ese precio. La industria de la seguridad es una de las de mayor demanda a nivel mundial su contraparte: la demanda de conectividad de dispositivos así lo estipula, pues cerca de 5.5 millones de nuevos dispositivos establecen conexión todos los días (estadísticas de Gartner) pues cada dispositivo representa una brecha de seguridad y una posibilidad de blanco que al ser expuesto puede ser vulnerado. 

Para los que requieran avanzar en estos temas les recomiendo analizar Retornos Sobre la Inversión en Seguridad ROSI, que no es más que mitigación del riesgo monetario - costo del control = ROSI ante la difícil tarea de lidiar con la directiva de la organización para justificar inversiones en materia de seguridad. 

En algún momento hice mención que una empresa que no le de importancia y valor adecuado a la seguridad informática es una empresa que está al borde del abismo, quizá suene potencialmente exagerada esta afirmación pero la intensión es llegar a la reflexión.

La seguridad no se lleva de manera aislada, requiere participación, iniciativa y seguimiento constante. Todos los integrantes de la red empresarial deben participar, en mayor o nivel grado en su aplicación, adopción y mantenimiento.


Es importante no asumir riesgos innecesarios, la seguridad informática está tomando roles importantes al punto de agregar valor a la organización, no deje a la suerte las consecuencias ni aplique bases empíricas o baratas en estos sentidos.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526