Una encuesta realizada por la Consultora Ernest
& Young a grandes firmas arrojó que el 50% de
las empresas encuestadas nunca reportan a sus
accionistas o inversores acerca de incidentes en
la seguridad de sus sistemas de información.
Las respuestas provinieron de responsables en
implementar políticas de
seguridad en sistemas
de información en empresas de
telecomunicaciones, bancos, energía y utilities.
Mientras el 50% no informa sobre los ataques o
violaciones a la
seguridad de la información, el
42% no realiza informes del estado de los
proyectos de seguridad claves de la organización
y un porcentaje similar no realiza reportes
sobre el cumplimiento de las
políticas de IT.
De acuerdo a información suministrada por el
responsable de Seguridad de Microsoft para el
Cono Sur, apenas el 5.6 % de las empresas tienen
un compromiso directo con la política de
seguridad de la información.
Hay sectores en los que los directivos son
reticentes a reconocer que tienen o que pueden
tener un problema de seguridad.
Lo grave no es que nieguen hacia fuera que
tienen un problema de seguridad, porque podría
tener un impacto negativo en la continuidad de
negocios sino que tampoco lo aceptan
internamente y por lo tanto no toman las medidas
de
seguridad indispensables.
Hay directivos que desconocen la existencia de
normas de seguridad y calidad que han sido
diseñadas para la mejora o para la
implementación de las mismas e intentan crear
sus "propias normas internas" las cuales pueden
tener un superior margen de error y riesgo en
comparación con normas ya existentes justamente
diseñadas a efectos de la administración y
securitización de datos y procesos de
información. Ejemplos de estas normas son ISO
IRaM 17799, CObIT, Sarbanes Oxley, UNE 71501,
UNE 71502 y otras que pueden surgir de acuerdo a
la necesidad de securitización de la empresa
afectada.
El trabajo de los auditores en
seguridad
informática justamente recae en el análisis de
riesgo e implementación de normas y procesos
para la optimización o corrección (en caso de
que haya surgido previamente) un incidente de
seguridad.
El auditor en seguridad informática acompaña a
la Gerencia recomendando procedimientos para la
prevención o corrección de procesos de
seguridad, acordes a normas y leyes vigentes que
deben cumplirse para el correcto
desenvolvimiento jurídico de la norma,
procedimiento o protocolo que el auditor
recomiende aplicar.
Un agradecimiento especial al
Señor:LUCIaNO SaLELLaS
aUDITOR EN SEGURIDaD INFORMaTIca
SR HaDDEN SECURITY CONSULTING
Tel: (0054-0343) 155-121-554
E mail: sr_hadden@hotmail.com
www.sr-hadden.com.ar
Por su excelente árticulo y colaboración con
este portal.
|