- Autor: MSc Miguel Manosalva - Auditor interno ISO 22301
Las organizaciones se definen por objetivos definidos en su plan estratégico,donde se traza una hoja de ruta que se establece para el cumplimiento de las metas corporativas en un determinado periodo.
Estos objetivos o metas de la empresa, generalmente están orientados a la creación de valor, como lo expresa el framework de gobierno y gestión COBIT, desde la realización de beneficios, la optimización de los recursos y la optimización del riesgo.
Entendiendo que las implementaciones de nuevas tecnologías y el papel que cumplen las infraestructuras tecnológicas suponen una mejora de la eficiencia y eficacia a la hora de entregar un producto o servicio, también las organizaciones están adquiriendo nuevos riesgos que las exponen a afectar el logro de dichos objetivos, ya que esto puede afectar la disponibilidad, integridad y confidencialidad de la información.
Por ejemplo, entre los riesgos a los que se exponen las organizaciones se encuentran los riesgos de cumplimiento, ya sea por omisiones ante entes de control o por responsabilidades asumidas en contrataciones con clientes que afectan la información en su confidencialidad e integridad. Esto incluye, la materialización de cualquier ciberataque que puede derivar en un impacto negativo para los acuerdos de nivel de servicio, afectando a la organización en el deterioro de su imagen corporativa, pero también en sus finanzas.
Todos estos riesgos, tienen su origen en una gran cantidad de técnicas que pueden ser utilizadas por los atacantes externos para afectar el correcto funcionamiento de los servicios de la organización; por ejemplo, casos se presentan cuando personal interno de la organización en actos de inconformidad puede “sabotear” las operaciones del negocio, o abrir la puerta para que otros ataques se materialicen producto de negligencia o incumplimiento de las políticas establecidas
El gobierno corporativo tiene dos maneras de afrontar este tipo de situaciones generadoras de riesgo; una reactiva y otra proactiva:
1. Postura reactiva
Esta postura puede funcionar bien cuando se cuenta con procesos y prácticas sólidos de continuidad de negocio, que garantizarán la recuperación o puesta en marcha de las operaciones en unos tiempos donde no hay mayores impactos a las finanzas y a la imagen corporativa; eso sí, es importante manejar estas estrategias reactivas con mucha responsabilidad y teniendo claros los planes de recuperación, pero también acompañándolo de acciones preventivas que contribuyan a la mitigación del riesgo
2. Postura proactiva
Esta es una postura más dinámica que permite que la organización mitigue los riesgos de una forma preventiva, aplicando controles orientados a evitar que se materialicen las amenazas existentes sobre los activos de información y priorizando aquellos que son críticos para el negocio, esto gracias a que el análisis de riesgo periódico ha alertado de aquellos asuntos que requieren la implementación de controles prioritarios.
Por todo lo anterior expuesto, es importante que las organizaciones que hospedan su información de forma digital en sus diferentes activos de información cuenten con un área de TI que esté compuesta por profesionales con competencias en ciberseguridad; pero que también se tenga en cuenta que “La Estrategia de Ciberseguridad y las metas de TI deben estar alineadas a los objetivos estratégicos del negocio”, para esto se debe considerar que los proyectos de adquisición, nuevos desarrollos, elaboración de políticas, escaneos y análisis de la infraestructura por parte del área de TI, la tercerización de servicios, entre otros; tengan en cuenta la mitigación de los riesgos que afectarían el cumplimiento de los objetivos corporativos.
A continuación, se presentan aspectos que sugieren adoptarse estratégicamente en las organizaciones para contribuir a que los incidentes pueda afectar sus operaciones de negocio
En SEGINFO, estamos convencidos de que unos adecuados procesos de ciberseguridad, contribuyen a impulsar los objetivos estratégicos de negocio
Por eso ponemos a disposición de las organizaciones nuestras capacidades para acompañar el establecimiento de procesos de gobierno y gestión de TI, con un énfasis en el análisis del riesgo de seguridad de la información, la implementación de sistemas de gestión basados ISO 27001 y la generación de planes de continuidad de negocio para la organización a partir de la ISO 22301.
