Una encuesta realizada por la Consultora Ernest
& Young a grandes firmas arroj?que el 50% de
las empresas encuestadas nunca reportan a sus
accionistas o inversores acerca de incidentes en
la seguridad de sus sistemas de informaci?.
Las respuestas provinieron de responsables en
implementar pol?icas de
seguridad en sistemas
de informaci? en empresas de
telecomunicaciones, bancos, energ? y utilities.
Mientras el 50% no informa sobre los ataques o
violaciones a la
seguridad de la informaci?, el
42% no realiza informes del estado de los
proyectos de seguridad claves de la organizaci?
y un porcentaje similar no realiza reportes
sobre el cumplimiento de las
pol?icas de IT.
De acuerdo a informaci? suministrada por el
responsable de Seguridad de Microsoft para el
Cono Sur, apenas el 5.6 % de las empresas tienen
un compromiso directo con la pol?ica de
seguridad de la informaci?.
Hay sectores en los que los directivos son
reticentes a reconocer que tienen o que pueden
tener un problema de seguridad.
Lo grave no es que nieguen hacia fuera que
tienen un problema de seguridad, porque podr?
tener un impacto negativo en la continuidad de
negocios sino que tampoco lo aceptan
internamente y por lo tanto no toman las medidas
de
seguridad indispensables.
Hay directivos que desconocen la existencia de
normas de seguridad y calidad que han sido
dise?das para la mejora o para la
implementaci? de las mismas e intentan crear
sus "propias normas internas" las cuales pueden
tener un superior margen de error y riesgo en
comparaci? con normas ya existentes justamente
dise?das a efectos de la administraci? y
securitizaci? de datos y procesos de
informaci?. Ejemplos de estas normas son ISO
IRaM 17799, CObIT, Sarbanes Oxley, UNE 71501,
UNE 71502 y otras que pueden surgir de acuerdo a
la necesidad de securitizaci? de la empresa
afectada.
El trabajo de los auditores en
seguridad
inform?ica justamente recae en el an?isis de
riesgo e implementaci? de normas y procesos
para la optimizaci? o correcci? (en caso de
que haya surgido previamente) un incidente de
seguridad.
El auditor en seguridad inform?ica acompa? a
la Gerencia recomendando procedimientos para la
prevenci? o correcci? de procesos de
seguridad, acordes a normas y leyes vigentes que
deben cumplirse para el correcto
desenvolvimiento jur?ico de la norma,
procedimiento o protocolo que el auditor
recomiende aplicar.
Un agradecimiento especial al
Se?r:LUCIaNO SaLELLaS
aUDITOR EN SEGURIDaD INFORMaTIca
SR HaDDEN SECURITY CONSULTING
Tel: (0054-0343) 155-121-554
E mail: [email protected]
www.sr-hadden.com.ar
Por su excelente ?ticulo y colaboraci? con
este portal.
|