Riesgos de gestión de la seguridad de la información

Por supuesto, siempre está claro que el «riesgo» es la posibilidad de que suceda algo inapropiado. Lo que no está claro es qué tan probable es, de qué naturaleza es y qué daño puede causar a una organización.

Apostar en algún evento significa la posibilidad de pérdida financiera: el resultado inadecuado. Decidir si queremos correr ese riesgo significa calcular las probabilidades de ganar o las probabilidades de perder. Podemos implementar medidas para reducir la posibilidad de peligro y poner en marcha estrategias para hacer frente a posibles resultados desagradables.

La gestión de la seguridad de la información consiste en conocer todos los elementos involucrados en un riesgo específico y su relación con su empresa (empresa, presencia en la web, etc.). Esta es una base esencial para calcular el riesgo. Conocer la amenaza significa poder evaluarla: podemos elegir si queremos aceptarla, esperar y ver, o simplemente evitar tomarla.

En el campo de la gestión de la seguridad de la información, los profesionales deben responder a cuatro preguntas principales:

1. ¿Qué puede pasar (amenaza)? La información privada de los clientes (especialmente, entre otros, los números de tarjetas de crédito) puede ser robada a través de una red insegura, a través de contraseñas descifradas, a través de un cifrado defectuoso o por parte de empleados que no son de confianza.

Las páginas web pueden ser pirateadas y se puede mostrar contenido inapropiado. Los procesos comerciales pueden verse afectados por ataques web, bloqueando las operaciones comerciales normales.

Identificar los puntos de riesgo es la principal tarea de los profesionales de la gestión de la seguridad de la información. Por lo general, debido a la formación técnica de la mayoría de los profesionales, existe una tendencia a centrarse en los problemas técnicos. De hecho, a menudo hay multitud de posibilidades para atacar un sistema informático.

2. ¿Qué tan malo puede ser (impacto)? Las empresas son responsables de mantener segura la información privada. No mantener esta información segura puede resultar en reclamos costosos. La divulgación de propiedad intelectual por negligencia en la seguridad puede resultar en una desventaja competitiva indebida.

La reputación de la empresa puede verse seriamente dañada. El flujo de efectivo puede caer todo el tiempo debido a un ataque web a los servidores de la empresa y, por lo general, durante algún tiempo después del hecho.

3. ¿Con qué frecuencia puede ocurrir (frecuencia)? La respuesta corta es: mucho más a menudo de lo que piensas. La ausencia de malas noticias en los periódicos no debe permitir una falsa sensación de seguridad.

A veces, la víctima no sabe que la empresa ha sido pirateada. Obviamente, si alguna tarjeta de crédito ha sido debitada sin autorización, el titular de la tarjeta exigirá un reembolso. Sin embargo, no siempre está claro dónde existe la brecha de seguridad.

En algunos otros casos, la propiedad intelectual de una empresa se ha copiado y utilizado ilegalmente sin consentimiento. El propietario legítimo, en muchos casos, no tendrá ni la más mínima idea de este problema.

4. ¿Qué tan confiables son las respuestas a estas tres preguntas (incertidumbre)? Si bien puede estar seguro de que existe el riesgo, no existe una forma sencilla de calcular con qué frecuencia ocurre. Puedes estar seguro de que sucede, no puedes saber cuándo ni dónde.

Considere la seguridad de los datos virtuales de su empresa y haga que un profesional de administración de seguridad de la información evalúe las fallas. Si adopta un enfoque de «esperar y ver», corre el riesgo de sufrir un ataque contra la documentación de su empresa, las bases de datos de información privada y quizás la propiedad intelectual.