El lunes, en diario TI publicaban un artículo que me ha hecho reflexionar. Según un estudio de McAfee, un tercio de las empresas encuestadas creen que una brecha importante en seguridad, independientemente de si es intencionada o no, podría provocar el colapso de la organización. Pese a la contundencia del titular, no me quiero parar a analizar la noticia, sino que quiero
En primer lugar, si leemos el artículo nos podemos dar cuenta de que, al hablar de brecha de seguridad, los encuestados están pensando en pérdida o divulgación de datos confidenciales. Parece que la indisponibilidad temporal no es tan crítica a la hora de pensar en la continuidad de la organización para estos encuestados (siempre que no sea definitiva). Curiosamente, la mayor parte de los planes de continuidad de negocio se centran precisamente en minimizar la indisponibilidad (asumiendo que los backups evitan la pérdida), pero no suelen tener en cuenta la confidencialidad de la información. Es decir, que uno de los motivos que según los encuestados puede provocar la muerte de la organización no se contempla en los planes de continuidad. Significativo, verdad? Probablemente sea por ese tipo de detalles por los que la ISO 27001 exige en su control A.14.1.1 que se incluya la seguridad de la información (no sólo la disponibilidad) en el proceso de gestión de la continuidad del negocio.
Por otra parte, el artículo afirma que los encuestados han sido profesionales de IT de empresas de más de 250 empleados. La primera pregunta que me surge es si los CEOs de esas organizaciones hubiesen dado las mismas respuestas. Existe realmente la misma percepción de los riesgos en la dirección y en los departamentos de IT? Pero si leemos un poco más, la pregunta todavía puede ser más incisiva. El artículo afirma que, pese a que se tiene amplia conciencia respecto de los peligros existentes, los encuestados sólo gastan un 0,5% del presupuesto IT en seguridad de los datos. ¿Por qué parece no existir una correlación entre la percepción del riesgo y la gestión del presupuesto IT? La respuesta que se me ocurre es que parece un caso de epidemia de mal gobierno TICS (con S de Seguridad), sazonado con los ingredientes clásicos de una insuficiente concienciación en materia de seguridad.
En resumidas cuentas, un interesante artículo tanto por su propio contenido como por las reflexiones que se pueden realizar a raíz del mismo. Para terminar, me quedo con la cita final “Para proteger a clientes, empleados y accionistas, la prevención de pérdida de datos debe ser una prioridad central en cada nivel de la organización, desde la sala de directorio hasta el comedor de la empresa” y con una reflexión: Serán la continuidad de negocio y el buen gobierno TICS dos materias en las que las empresas se pongan las pilas en los próximos tiempos? Ya veremos…
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario