Frecuentemente, pero no siempre, la seguridad de la información es en realidad visto sólo como un asunto del departamento o área de TI, lo cual, claramente no lo es. Una buena gestión de seguridad de la información trata sobre entender los riesgos y las amenazas que las organizaciones enfrentan, además, trata de entender las vulnerabilidades que sus activos de información presentan.

Conciencia

La seguridad de la información trata de colocar procedimientos de sentido común que minimicen los riesgos, y de educar a todos los empleados sobre sus responsabilidades, pero, mucho más importante, es sobre asegurar que las políticas en la gestión de seguridad de la información tengan el compromiso de los gerentes seniors. Esto es solamente cuando estos asuntos de procedimientos y de gestión son dirigidos para que la dirección pueda decidir en qué tecnologías de seguridad ellos necesitan. Aproximadamente una séptima parte de las empresas siguen gastando menos del 1% se su presupuesto de TI en seguridad de la información; aunque la empresa promedio gasta menos del 4%, el punto de referencia frente a sus gastos esta más cerca del 13% de las organizaciones donde los gerentes genuinamente se preocupan por la seguridad de la información. Menos de la mitad de los negocios estiman que el retorno de la inversión realizada para la seguridad de la información, es un problema adicional; ciertamente, hasta que el negocio no tome seriamente el Gobierno de TI, la situación de la seguridad de la información continuará empeorando.

Impacto de las amenazas

Como se indicará en este párrafo, las brechas de seguridad de la información afectan las operaciones del negocio, su estabilidad y reputación legal. El quiebre de una empresa es el impacto más serio, con aproximadamente dos tercios de brechas sucedidas en Reino Unido relacionadas a quiebre de empresas, y con impactos consecuentes en los servicios al cliente y eficiencia del negocio, los quiebres de empresa enfrentan los costos de respuestas a estos incidentes, perdidas financieras directas (pérdida de activos, multas reglamentarias, pagos compensatorios), pérdidas financieras indirectas (filtración de información confidencial o de propiedad intelectual, fuga de ingresos), daño a la reputación con ataques de hacker satisfactorio y pérdida de datos, todos ellos incrementando la atención promedio.

Datos de ataques

El reporte de Verizon en el 2015, mostró los costos de las brecha sucedidas en ese periodo, en esa reporte que reunió información de 61 países y múltiples sectores industriales, demostrando así, que ninguna industria se encuentra libre las brechas de seguridad. En el 60% de estos de los casos, los ataques fueron capaces de comprometer sus objetivos en minutos, y aún toma cierto tiempo detectar qué es lo que los ataques están comprometiendo hasta completarse. El pronóstico de Verizon respecto a pérdidas financieras en los ataques de 1000 registros estará entre $52000 a $87000, y más importante, es que Verizon concluye que el factor más significante en el cálculo de pérdidas financieras está en cuantificar el costo de las pérdidas para una organización según los registros perdidos. Los diversos componentes de una pérdida financiera incluyen, descubrimiento, investigación, respuesta, remediación, costos de notificación al cliente, honorarios legales, costos de notificación de incumplimiento regulatorio, incremento operacional, marketing y costos de relaciones públicas.

Consejo audit

De nada sirve tratar a la seguridad de la información de manera cualitativa, debido que no se puede mejorar nada si no está bien medido, es por ello que los indicadores clave de rendimiento de gestión de la seguridad de la información, se convierte en un factor vital para la empresa. Nosotros, brindamos un conjunto de medidas y controles para implementar y reforzar la seguridad de la información en su organización, pero no sólo queda ahí, también velamos porque la seguridad de la información establezca indicadores que alerten si la gestión no es óptima.