Las amenazas a la información organizacional están llegando a grandes magnitudes. Todas las organizaciones poseen información, o datos, que son críticos o delicados. La información es ampliamente considerada vital en los negocios modernos. Las amenazas persistentes avanzadas (APT, Advanced Persistent Threat), es la descripción utilizada para actividades ciber-criminales sofisticadas con el objetivo de robar o comprometer los sistemas de información de entidades estatales o grandes corporaciones. Los ciber-ataques son, inicialmente, automatizadas y no discriminan. Considere que cualquier organización con presencia en internet puede ser escaneada y considerarse un objetivo potencial. Veamos lo siguiente:

Riesgos

Cada vez más organizaciones se dan cuenta que la ciber-seguridad se ha convertido en un riesgo persistente que debe preocupar a toda la organización. Eso se debe a que el uso de tecnologías en los negocio crece y evoluciona rápidamente, tal es el caso de migración a la nube o explotación de redes sociales. Las redes inalámbricas, telefonía IP y software como servicio, se han convertido en lo convencional para las empresas. El incremento de comunicación digital en la cadena de suministros, aumenta la presión en las organizaciones para gestionar la información y su seguridad, confirmando la dependencia de los negocio con las tecnologías de la información.

Directores y dueños

Si bien es claramente banal decir que las organizaciones de hoy en día depende su existencia por el uso de la información y las tecnologías de la comunicación relacionadas, esto todavía no es auto evidente para la mayoría de directores o dueños de negocios. La mayoría de ellos aún no sienten que su información es valiosa ante los competidores y criminales, pero sobretodo no tienen la motivación de proteger sus sistemas y la información, y sobretodo considerarlos como existencialmente importantes. No hay duda que las organizaciones se encuentran enfrentando un diluvio de amenazas en sus activos intelectuales y a su información crítica y sensible. Un alto perfil de ciber-ataques y de fallas en el cumplimiento en la protección de datos, han provocado significantes momentos vergonzosos y daños a la marca de las organizaciones, tanto en el sector privado y público, al rededor del mundo.

¿Qué significa?

En paralelo con la evolución de las amenazas de seguridad de la información, en el mundo, han incrementado ampliamente las exigencias de legislación y regulación en la web, responsabilizando penalmente a las empresas, y en algunos casos, a los directores de las mismas, por estas fallas y faltas de implementación de controles, así como las medidas de seguridad de información correspondientes. Ahora es deslumbrantemente obvio que las organizaciones tienen e actuar para asegurar y proteger sus activos de información. La seguridad de la información sin embargo, significa diferentes cosas para diferentes personas en la empresa. Para los proveedores de productos de seguridad, esto tiende a ser limitado por los productos que vende. Para los directores o gerentes, esto tiende a significar algo que ellos no entienden, y que el CIO, CISO o Jefe de Sistemas tiene que instalar en la organización. Para muchos usuarios del equipo de TI, tiende a significar restricciones no necesarias o no requeridas en las computadoras que ellos manejan en la organización.

Consejo audit

Todo lo mencionado son visiones peligrosamente estrechas, que con una mala gestión podría aumentar los riesgos. Por ende, en audit nos enfocamos en propuestas de alto valor, que permitan lograr beneficios a corto, mediano y largo plazo para las organizaciones. Los resultados son, riesgos gestionados y controles de seguridad de la información correctamente implementados.