En primer lugar, debemos reconocer su utilidad para la toma de decisiones estratégicas y operativas y el análisis de datos para mejorar aspectos como la competitividad o la rentabilidad con un manejo mucho más fino de los distintos recursos.

Por otra parte, la medición de la eficiencia interna con el objetivo de optimizar recursos, mejorar procesos y flujos de trabajo apostando a la innovación en medio de los cambios en la demanda sin dejar de lado su ayuda para el cumplimiento de leyes y regulaciones.

En resumen, la información es un recurso valioso que impulsa el funcionamiento y el éxito de las organizaciones en la actualidad. Su gestión adecuada es esencial para tomar decisiones, mantener la competitividad y lograr eficiencia operativa.

Hecha esta breve introducción, resulta más sencillo comprender la importancia de implementar una estrategia de seguridad de la información basada en los distintos riesgos que se puedan identificar.
 

En pocas palabras: a la información hay que protegerla.

Y, como un interesante punto de partida, es necesario procesar la idea que el cumplimiento o certificación bajo distintas normas o estándares de seguridad tales como ISO 27001, PCI DSS, CCPA o GDPR son de gran utilidad pero no implican necesariamente que una organización se encuentre absolutamente inmune contra amenazas actuales o futuras, por lo que el hilo conductor de este artículo se encuentra ligado intrínsecamente a la identificación de los verdaderos riesgos que, en definitiva, podrían afectar los activos más valiosos de una compañía.

Es de absoluta importancia comprender que se deben perseguir metas de seguridad prácticas y realistas y tratar el “cumplimiento” no como un fin en sí mismo, sino como mera consecuencia de nuestra conducta.
 

Se conocen diversos métodos de abordaje, pero entendemos que existe un camino que es común para implementar una estrategia de seguridad de la información basada en riesgos.

En primera instancia se deben identificar, con su debida prioridad de importancia, cuáles son los activos de información clave de la organización, en qué lugar se encuentran y en poder de quién, intentando desde este momento visualizar que impacto podrían tener las variables de confidencialidad, integridad, o disponibilidad de los mismos en el caso que se vieren comprometidos ante una pérdida, daño o hurto por una intrusión.

Hecho esto, se deberían identificar posibles amenazas, con su estimada probabilidad de ocurrencia, donde se incluyen variables como otros países, posibles competidores, empleados o quizás clientes no conformes, desastres naturales o un simple hackeo de la información.

Deberíamos preguntarnos qué significa realmente una vulnerabilidad y definir la misma como una debilidad que permite abrir una brecha en la seguridad y dañar o sustraer activos clave.

Y es en este punto donde hay que apoyarse en las pruebas de penetración más conocidas como “pentest” y otras herramientas automatizadas de escaneo de vulnerabilidades para identificar las mismas tanto a nivel de software como a nivel de redes de trabajo y nivel físico como seguridad de los perímetros, generadores de emergencia, redundancia de los equipos de aire acondicionado o extintores de incendio por poner simplemente algunos ejemplos.

Por último, pero en absoluto menos importante, existen vulnerabilidades a considerar relacionadas con los contratistas, los proveedores y con los empleados de la organización, ya que estos últimos son altamente susceptibles a permanentes ataques de ingeniería social.

Acto seguido, se debe comenzar a trabajar en el perfil de riesgo, considerando probabilidad e impacto mediante la posible construcción de una matriz de riesgos que permita priorizar correctamente las vulnerabilidades identificadas y desembocar en el tratamiento de los riesgos identificados y evaluados.

En todos los casos las decisiones a implementar en relación con estos riesgos pasan por: tratarlos, transferirlos, tolerarlos o eliminarlos.

A manera de conclusión expresaremos con total convicción que resulta prácticamente imposible alcanzar la seguridad total en una organización, pero se pueden utilizar recursos de forma eficiente que permitan a los profesionales optimizar los presupuestos asignados para ello. 

Paralelamente con la adopción del enfoque basado en riesgos, es fundamental adoptar una postura de “Zero Trust” o confianza cero como se la conoce en la jerga para mantener siempre la guardia en alto ante eventuales amenazas.

Hace algún tiempo, tradicionalmente los departamentos de TI cimentaban sus estrategias de protección en la seguridad perimetral con el uso de cortafuegos y otras herramientas basadas en la red para inspeccionar y validar a los usuarios que entraban y salían. Pero hoy, sin descuidar esos aspectos, el centro está en el usuario y en la capacitación y concientización permanentes ya que nuestro peor problema puede estar dentro de la organización.