La seguridad de la información reloaded

La seguridad de la información es sin dudas un tema fundamental e indispensable para la continuidad del negocio y sobre todo para garantizar que la información que nuestros procesos requieren para operar son integras, mantienen su disponibilidad y brindan confidencialidad en nuestra marca.

 

Hoy el gran problema que enfrentan las organizaciones es que la seguridad se ha convertido en un commodities que dan la falsa sensación de protección y dejan a todas las organizaciones vulnerables a ataques y fuga de la información.

Incluso si nos ponemos a analizar las predicciones para el 2016 deberíamos analizar cuales de ellas podrían y si escribo en potencial, podrían impactarnos.

Y la verdad… para mi sorpresa cada maestro con su librito…

Quiero decir,  que dependiendo del proveedor que escribe, encontramos que las principales vulnerabilidad se acercan demasiado a sus productos. Y por otro lado… que diferencia encontramos en la las siguientes vulnerabilidades

  • Attacks on Bank
  • Healthcare Data Hacks

Muy bien ! ninguna. La manipulación y ataques sobre los datos es del mismo origen y produce el mismo impacto.

 

Por lo tanto, y sobre todo diciendo que es una opinión personal digo…

Es hora que la seguridad de la información se acerque mas al negocio y se ponga el traje.

business man

 

  • Con que frecuencia le preguntamos al negocio que productos/servicios son importantes ?
  • Como conocemos que procesos y que impactos los están afectando y además como es ese impacto en el momento cero, a las 2 horas, a las 8 hs… a las 24 hs … y a la semana?
  • Como están estructurados mis servicios y cual es el grado de dependencia tecnológico?
  • Que valor tiene la información para el dueño del negocio?
  • Estamos acostumbrados a invertir logrando un retorno de la inversión de soluciones de seguridad?
  • Como puedo hacer la seguridad sin conocer el valor de la información y voy mas allá… sin conocer la información que le da vida al negocio que debo proteger?

Todos los anteriores son preguntas que deberíamos tener totalmente claras para poder dar protección real al negocio.

El otro dia observé las obligaciones de un CISO, lo ilustro en un gráfico

CISO.jpg

Ok…

Lo primero que se me ocurre como asesor C-Level en estos temas tan interesantes es:

Sin tener un análisis de riesgos y su plan de implementación (risk management) como puedo entender como impactan todas mis vulnerabilidades para contenerlas y ponerlas en esas hermosas y desafiantes categorías?

Si no conozco cual es el análisis de impacto en el negocio, y su evolución anual…como puedo armar un Plan de continuidad…

O estoy convencido que el servidor mas grande es el mas importante ?

Si la información del negocio no está clasificada por mínimo 3 dimensiones, como puedo comenzar a definir que dato importa, que valor tiene, cuanto vale para la organización y como afectan sus dimensiones en mis análisis de riesgo?

Son los recursos humanos que conforman mis equipos aquellos que poseen no solo los skills sino las competencias naturales que requiero?

  • Porque muchas organizaciones tienen por un lado un plan estratégico de tecnología y por el otro un plan de seguridad?
  • Porque no conozco el plan estratégico de negocios ?
  • Porque no evalúo el estado actual de las aplicaciones y como se comunican con mis sistemas ?
  • Porque no tengo APIs?
  • Porque no he llegado a la omnicanalidad?

Estas preguntas son de vital importancia y lamento informarte que no son preguntas que DEBEN ser fundamentales para la toma de desiciones de negocios, de sistemas y de seguridad…

Y todas ellas son respondidas por el análisis de riesgo

Estos interrogantes son fundamentales a la hora de encontrar las verdaderas respuestas y alcance de mis medidas de protección.

Porque ?

Porque los problemas de seguridad no son genéricos y no impactan a todas las organizaciones de la misma forma

Security umbrella storm diferente.png

 

Ves … el paraguas no funcionó igual para las 2 personas en el mismo lugar…

Y eso es así en tu organización.

Te hago otra pregunta.

Cual es el nivel de madurez de tu cultura organizacional de riesgo ?

No podemos definir absolutamente ningún proceso de protección de la información de las empresas si no conocemos el nivel de cultura organizacional.

Y sobre todo los indicadores (KPI) de seguridad / tecnológicos / de operación, están asociados a los indicadores estratégicos?

Sin duda es hora de conocer y poder definir la cultura organizacional de riesgos?

Tener un análisis de riesgos consistente, integral y continuo.

Evaluar el retorno de la inversión y ajustarlo para proteger al negocio.

 

No digas que no te avisé, lo que muchos te pasan como recetas generales, sugiero que hagas un análisis a conciencia y te acerques al negocio.

Es tiempo de reducir la brecha…

GAP mirando.jpg