SEGURIDAD DE LA INFORMACION BAJO NORMAS – LOGRAR Y SOSTENER EL "COMPLIANCE" EN EL TIEMPO

Aumentar la seguridad de la información de la organización, con una inversión acotada; obtener valor y un retorno sostenido en el tiempo. . .

Sabemos que la seguridad es función directa a la creación de valor y que  la creación de valor es una necesidad clave en casi todo tipo de organizaciones. .

Los activos de información de cualquier organización, constituyen el activo de producción más preciado y clave en todo sentido. Los activos de información son el activo estratégico. Sin este activo, integro, disponible, autentico, confiable y confidencial, ninguna organización podrá funcionar hoy ni tampoco en el futuro.

Los activos de información de las organizaciones soportan, hoy en día, casi todos sus procesos. Cuando minimizamos los riesgos sobre estos activos, estamos asegurando a la organización en general y adicionalmente aumentando sus capacidades de producir valor.

Considerando a los activos de información de cualquier organización, el compliance de éstos sobre una norma globalmente aceptada, no solo permitirá pasar una auditoria y/o cumplir con un objetivo planteado. Tener un segmento o todos los activos de información en línea con una norma globalmente aceptada, eleva efectivamente nuestro nivel de seguridad y generalmente lo maximiza, minimizando los riesgos generales de la organización.

No se trata, solo de cumplir con una serie de indicaciones, recomendaciones y/o directivas. Podemos estructurar todo nuestro esfuerzo en maximizar los niveles de seguridad de una manera eficaz y eficiente, acotando las inversiones, generando valor y además manteniendo todo esto en el tiempo!

Tener nuestros activos de información bajo un regulación globalmente aceptada no va a asegurar que son inviolables, pero dispondremos de una manera óptima para maximizar su seguridad, al mismo tiempo que ahorramos muchísimo dinero! y/o recursos estratégicos. Esto es muy sabido por los CIO’s y CISO’s; adicionalmente despertaría el interés incondicional de cualquier responsable de las finanzas de la organización.

Por qué se ahorra dinero?, la respuesta es sencilla, si consideramos solamente un mínimo incidente de seguridad y calculamos el valor que la organización pierde a consecuencia de éste, por otro lado consideramos la eficiencia que se obtiene sólo por administrar la seguridad de la manera correcta, asumiendo que según la estadística global la probabilidad de nuevos incidentes se minimiza efectivamente y finalmente restamos la inversión necesaria para alinear todo según la norma; en el corto plazo o mediano plazo se recupera lo invertido y se crea valor para la organización de manera sostenida. Se puede traducir esto anterior, en un análisis de ROI para cada organización en particular, los números que miden los beneficios asombraran a cualquier CFO.

“Podemos decir que alinear la seguridad sobre los activos de información de acuerdo a una norma, ya sea por obligación o por utilidad, redundará siempre en bajar costos, mejorar capacidades y sumar prestigio de la organización para sus clientes internos, externos y frente a otras organizaciones relacionadas, se crea valor para la organización en muchas formas no solamente mitigando costos”

Las normas más comunes para nuestra región son la ISO, PCI, SOX, depende de la industria a la que pertenezca la organización. Algunas son normas legales obligatorias, otras recomendaciones y/o mejores prácticas. Sobre la ISO es que se explican casi todas; los principales puntos de control de la ISO son:

• Política de Seguridad.
• Organización de la Seguridad de la Información.
• Asset Management.
• Personal para la Seguridad de la Información.
• Seguridad Física y del Entorno.
• Comunicaciones y Management de la Operaciones.
• Access Control.
• Adquisición de Sistemas, Desarrollo y Mantenimiento.
• Manejo de Incidentes de Seguridad.
• Manejo de la Continuidad del Negocio.
• Compliance.

Tener sus activos alineados a una norma globalmente aceptada redundara en lo siguiente:

v  Con estos valores:

• Minimización de los eventos de seguridad internos y externos a la organización.
• Maximización en la disponibilidad de los activos de información de manera íntegra, autentica, confiable y confidencial: los activos estratégicos para la creación de valor.
• Eficiencia en la administración de los activos de información. Control proactivo y previsibilidad.
• Cambio cultural radical con respecto a la concientización de toda la organización, en cuanto a la seguridad de la información. Este no es un punto menor, hoy y en el futuro la seguridad de los activos de información será clave para el desarrollo de la organización.

v  Se alcanzan estos objetivos:

• Mejora en los costos operativos generales de la organización.
• Minimizar el riesgo empresarial.
• Maximizar la capacidad de producir valor con los activos de información disponibles.
• Asegurar el valor de la empresa en el tiempo frente a sus clientes externos a internos.
• Posicionar a la organización frente al mercado en general, como una organización que se interesa en la seguridad de la información propia y de terceros.
• Internalizar a la seguridad de los activos de información como algo clave para el crecimiento de la organización. Ya nadie en la organización, cuestionará o desconocerá el valor de la seguridad.
• Posicionar a la organización en el camino de las empresas proyectadas al futuro, el segmento de las organizaciones innovadoras y confiables donde todos quieren estar.

Como se hace? Se deberá determinar la situación actual, se realizará un análisis adecuado de los procesos de interés y de la estructura; se determinará el GAP hasta el requerimiento planteado por la norma y se implementará el plan de adaptación de la organización a esos requerimientos, se analizarán los riesgos propios de la organización. Se auditará y analizará anualmente la estructura para su mantenimiento y mejora continua, luego una entidad autorizada podrá certificar que su organización está dentro del selecto grupo de empresas certificadas. El proceso entero no solo es económico, en el corto o mediano plazo; sino que suma enorme valor a la organización, especialmente debido al control del riesgo empresarial y a la eficiencia en la administración de la seguridad. Adicionalmente existen soluciones de hardware y software que permitirán simplificar y lograr mayor eficiencia sobre los objetivos planteados.

Que dicen genéricamente las empresas que han implementado una norma como la ISO para la seguridad de la información de su organización:

• Se minimiza el riesgo de pérdida, por robo, distorsión de información input de los sistemas claves de la organización.
• Se minimiza el riesgo de ataques a la organización desde afuera y desde adentro.
• Si minimiza el riesgo legal por el manejo de información derivado de incidentes de seguridad.
• Permite continuar con las operaciones necesarias del negocio tras incidentes de cualquier tipo (Plan de Continuidad del Negocio).
• Mejora la imagen de la empresa, diferenciándose por sus cualidades, mejora la imagen de la organización que tienen sus empleados. La organización se diferencia con respecto a la competencia. Se consigue mejor financiamiento externo debido al mejor del riego empresarial.
• Se mejora notablemente la inversión en seguridad, se minimizan riesgos que se conocían y otros que ni se conocían. Se ahorra dinero.
• Permite ganar negocios o ejecutar nuevas estrategias gracias a la confianza que genera entre los clientes y socios de mercados centrales. Nuevas oportunidades.
• Cultura de mejora contínua en toda la organización para sus procesos internos. La organización es medida por terceros y mejora: esto crea un cambio cultural. Se establece una metodología de gestión de la seguridad.
• Se pueden pasar auditorias sin problemas y recibiendo calificaciones alentadoras.

Ninguna organización debe dejar de analizar los enormes beneficios que pueden encontrarse en alinear sus activos de información de acuerdo a una norma en seguridad. Tener los activos en constante compliance, será en el futuro un estándar para organizaciones medianas y grandes y algo difundido hasta en las menos grandes, no falta mucho para esto.

Si resumimos varios informes basados en las respuestas de las organizaciones globales que han implementado una norma con la ISO; con datos de 2012 podemos observar: casi el 90% de las organizaciones califica como positivo o muy positivo el hecho de haber implementado la norma; el down time y los incidentes de seguridad bajaron significativamente en más del 62% de las organizaciones; el 60% ve que se mejora la percepción externa de la organización; a más de la mitad les resulto rápido y simple la implementación; el 44% ve que las ventas se han incrementado a partir de estas nuevas capacidades; casi el 46% asegura que el proyecto será repagado antes de los 3 años.

Sebastian Fernandez

SIMETRICA de Argentina