Es común que las empresas vean los
costos asociados a seguridad como un gasto hasta que les sucede un evento de
seguridad, un ataque, explotación de vulnerabilidades, fuga de información, que
traen como consecuencias caídas totales o parciales de servicios y por ende
afectación al negocio incluyendo el preciado tema de la reputación, son
aspectos preocupantes que cada día toman más fuerza.
Será en ese preciso momento, cuando
cabe la reflexión:
¿Por qué no establecí un plan de contingencias y continuidad de negocios?
¿Por qué no establecí los monitoreos a mis servicios para tener visual de los estatus de mis servidores?
¿Por qué no establecí un plan de contingencias y continuidad de negocios?
¿Por qué no establecí los monitoreos a mis servicios para tener visual de los estatus de mis servidores?
¿Y los logs?
¿Por qué no no hice el upgrade de
los servidores y las backups a tiempo?
¿Dónde están los datos de la gente
que me recomendó el Firewall?
A partir de este momento, ya no es
un gasto... (literalmente hablando)
En este desafiante mundo
empresarial no hay tiempo para los lamentos, hay que actuar, la función debe
continuar y a aprender de las experiencias es parte del trabajo.
Siempre menciono en charlas y
reuniones: "Seguridad es más allá de jugar al policía y al
ladrón" "Seguridad es un compendio de elementos claves a considerar
en toda organización sea del tamaño de que sea y venda lo que venda que deben
garantizar la continuidad del mismo"
Lo empírico debe ser erradicado y
pensar que nunca atravesará por difíciles momentos no es la mejor
opción, pues dejar a la suerte que nunca suceda algo no es buena
idea, Sin dejar a un lado el factor determinante: "precios" el jefe
siempre preguntará: (sea el precio que sea) ¿Por qué es tan
caro? Busca bajar ese precio. La industria de la seguridad es una de las de
mayor demanda a nivel mundial su contraparte: la demanda de conectividad de
dispositivos así lo estipula, pues cerca de 5.5 millones de nuevos dispositivos
establecen conexión todos los días (estadísticas de Gartner) pues cada
dispositivo representa una brecha de seguridad y una posibilidad de blanco que
al ser expuesto puede ser vulnerado.
Para los que requieran avanzar en
estos temas les recomiendo analizar Retornos Sobre la Inversión en Seguridad
ROSI, que no es más que mitigación del riesgo monetario - costo del control =
ROSI ante la difícil tarea de lidiar con la directiva de la organización para
justificar inversiones en materia de seguridad.
En algún momento hice mención que una empresa que no le de importancia y valor adecuado a la seguridad informática es una empresa que está al borde del abismo, quizá suene potencialmente exagerada esta afirmación pero la intensión es llegar a la reflexión.
La seguridad no se lleva de manera
aislada, requiere participación, iniciativa y seguimiento constante. Todos los
integrantes de la red empresarial deben participar, en mayor o nivel grado en
su aplicación, adopción y mantenimiento.
Es importante no asumir riesgos
innecesarios, la seguridad informática está tomando roles importantes al punto
de agregar valor a la organización, no deje a la suerte las consecuencias ni
aplique bases empíricas o baratas en estos sentidos.
Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526