Seguridad de la información como parte de la planeación estratégica

Share

Debido a los riesgos de ciberseguridad actuales, todas las empresas deben contar con un área de seguridad de la información que utilice marcos de referencia y regulaciones según el tipo de negocio y sector. 

Para Daniel Ávila, asesor de Ciberseguridad y eCISO del Grupo Industrial Graiman, la seguridad de la información debe ser parte de la planeación estratégica para mantener un análisis de disponibilidad de los sistemas e infraestructura tecnológica que dan soporte al negocio, la identificación de los riesgos e implementación de controles para mitigar eventos de indisponibilidad que inevitablemente se transformarán en pérdidas.  

En la transformación digital, contar con una línea base de gestión por procesos y una gestión de riesgos posibilitan la visibilidad y proyección sobre las decisiones de rentabilidad y/o crecimiento del negocio. 

Aunque las empresas han trabajado con un enfoque tradicional para “sacar a producción” servicios tecnológicos, las empresas que incursionan en procesos de transformación digital están conscientes de lo riesgos de seguridad y la afectación en sus operaciones y cuentan con estrategias desde las fases iniciales de los proyectos, comenta Ávila. 

Sobre plantear una propuesta de ciberseguridad centrada en responder sobre el retorno de la inversión, señala que no es muy acertado, debido a que los eventos de riesgo son heterogéneos y variados, difícilmente cuantificables y dinámicos. La seguridad es un gasto necesario. 

En la actualidad, las organizaciones pueden invertir en una solución antivirus con capacidades de detección y prevención (EDR), en la nube, con inteligencia artificial y machine learning con el objetivo de mitigar los eventos de contagio de malware al igual que lo hace una solución tradicional. Sin embargo, comenta, que los precios son enormemente diferentes a pesar de que están orientados a la protección de los mismos agentes de riesgo.

Cuando habla de los planes de contingencia relacionados con riesgos denominados de factor humano, en particular, aquellos que tienen que ver con pandemias “deben estar considerados en la matriz de una organización. No hay diferencia, entre una y otra industria frente a eventos como el covid-19. 

“Un plan de continuidad debería implementarse en cualquier industria”, atendiendo a una gestión por procesos, identificación de responsables, backup y entrenamiento constante de todos los miembros de una organización.