CEO’s & CFO’s ponen ATENCION en sus

Activos de Información…

 

 

LA DIRECCION DE LA ORGANIZACIÓN Y LOS RIESGOS EN LOS ACTIVOS DE INFORMACION

HOY Y FUTURO

Para todo ejecutivo de organizaciones medianas o grandes, no es novedad que los activos de información, léase: toda la información de la organización más sus soportes, ya sean estos sistemas informáticos o de cualquier tipo (se deben incluir otras categorías como activos, pero simplificamos la definición para este análisis);  constituyen el activo clave y yo agregaría el activo de activos; es el que permite (directa o indirectamente) que los demás activos de la organización sean productivos en su nivel más competitivo.


La organización, desde el punto de vista del manejo de sus riesgos, es un sistema muy bien conocido por CEO’s y CFO’s. Considerando a los activos de información como el activo clave, es lógico que hoy esté en el centro de atención de los máximos ejecutivos de las organizaciones en todo el mundo. Si la organización cuenta con un gerente encargado del manejo de los riesgos, esta persona tiene un foco particular, en minimizar/controlar los riesgos en los activos de información.


Imaginemos que una empresa de producción industrial vea infectado un servidor de aplicaciones que soporta un tramo de la cadena de producción: podría suspender el proceso por 9 horas?, cuál sería el costo?, que un servidor de un banco no permita a un cliente consultar su saldo vía internet, cuando éste debe hacer una transacción importante? o quizás que sean copiadas las bases de datos de clientes, los planes de marketing de la empresa? o que un sistema de facturación no funcione por 5 o 12 horas? Haciendo números básicos nos damos cuenta de que hablamos de un costo altísimo en dinero, prestigio, posicionamiento, capacidades, costos de oportunidad; etc… factores que impactan a la organización de una forma directa con consecuencias importantes. Estos riesgos pueden minimizase con una muy pequeña parte de lo que las organizaciones pierden anualmente por problemas con la seguridad sobre sus activos de información. Dado el crecimiento de estos eventos y su impacto cada vez mayor, los niveles ejecutivos más altos en las organizaciones se están involucrando directamente o indirectamente en 2016.

 

Las perdidas debidas a eventos de seguridad sobre activos de información de empresas vienen aumentando en forma creciente desde 2003, acelerándose la tendencia a partir de 2008. Consideremos que muchísimas organizaciones, hoy, no saben que están sufriendo eventos de seguridad; específicamente los problemas de seguridad sobre activos de información de las organizaciones no necesariamente son ataques externos y/o internos. Para sintetizar sobre este punto, un evento de seguridad sobre un activo de información repercute inexorablemente sobre toda la organización, causando como mínimo un daño económico importante y seguramente un costo de oportunidad alto.


En 2012 se advierte una diferencia que antes no eran notable: aquellas empresas, que consideran que el manejo de sus activos de información es clave y aquellas que no. Las que tienen la seguridad sobre sus activos de información maximizada, usan normas para la seguridad de la información, controles, etc. lo muestran y esto les da beneficios de todo tipo, económicos, financieros y especialmente da un prestigio que las posiciona de una manera distinta al grupo de las organizaciones que sufren consecuencias por el des manejo de los riesgos en sus activos de información. Esta tendencia crecerá sin dudas. Esta diferencia aplica, de un modo similar pero no tan marcado en organizaciones de otros tipos. Se debe tener en cuenta que gran parte de los activos de información de la organizaciones en general, incluye información que se clasifica según su nivel de sensibilidad, que puede ser propiedad de clientes internos externos o de terceros!. Es un hecho que hoy, las empresas se relacionan entre sí, considerando los niveles de compliance y el manejo de los activos de información que hace cada una, como va a manejar mis activos mi socio? Y frente a mis clientes? Que riesgos tengo a partir de esta alianza?


Que es el riesgo en los activos de información? Pueden determinarse estos riesgos haciendo un análisis de los mismos, de toda la infraestructura de IT y de activos de información de la organización en su conjunto total; puede determinarse muy concretamente cual es la mejor manera de controlarlos. Los activos de información son el centro de la organización de hoy y se clasifican en varias categorías, comprenden bases de datos, aplicaciones, redes, procesos, estrategias, segmentos de la organización donde la información reside, información con propiedad intelectual de varios tipos, etc. Se clasifican también según su nivel de sensibilidad desde crítica hasta pública. El riesgo de que estos activos se dañen, desaparezcan, sean modificados, sean robados, no estén disponibles, etc.; es el riesgo que se debe entender y controlar de la manera más eficaz y efectiva.


Los que saben cómo minimizar los riesgos en los activos de información son los CISO’s y el CIO’s: Es un hecho que nadie conoce mejor los activos de información de una organización que su CIO. El responsable de seguridad de la información tiene la mejor capacidad para trabajar con el gerente de sistemas en determinar la mejor estrategia; pero nada es más útil que el apoyo, no solo presupuestario, de los niveles más altos de la organización. Está demostrado, a nivel global, que la comprensión de la problemática y compromiso por parte de los máximos dirigentes de la organización, dará al CIO y al CISO la visión, liderazgo y recursos (no solo presupuestarios) para controlar estos riesgos de manera efectiva; debe considerarse que toda la organización tiene interacción con los activos de información y que el apoyo y respaldo de los máximos ejecutivos para sus CIO / CISO es fundamental, esto se comprueba hoy en las organizaciones que han tenido éxito en el manejo de los riesgos de sus activos de información, generando enormes beneficios extra. Esta es otra de las razones que encontramos para explicar la atención de CEO’s y CFO’s sobre los activos de información de la organización.


Generalmente se forman comités donde participan los principales ejecutivos de la organización y a partir de este ámbito se toma control de la situación para llevar adelante la estrategia para la seguridad de los activos de información; esto depende que cada organización, si está regulada por alguna norma y de su cultura organizativa en particular. En otras organizaciones los niveles ejecutivos delegan su participación en la definición de la estrategia y revisan el estado de situación dado un periodo determinado.
En el año 2005 el 90% de los CFO’s de las organizaciones medianas y grandes en los países centrales no estaban directamente involucrados en el manejo del riesgo en los activos de información, en 2013 un 48% de ellos revisan directamente cual es la estrategia para el manejo de estos riesgos, en casi el 100% de los caso de involucramiento por parte de CFO en el tema, el CEO participa directa o indirectamente.


Que preguntas se hacen los CEO’s & CFO’s, en principio?:

 

1. Que normas para la seguridad de la información son obligatorias, según la industria y tipo de organización, cuales debería seguir para mantener mis riesgos bajo control?

2. Cuál es la Política de Seguridad más indicada?

3. Cuáles son los activos clave?; que valor tienen?; como los protejo?: simple, relación riesgo / costo.

4. Como aseguro la continuidad de mi negocio si hay problemas?

5. De que se trata el análisis y control de riesgos en activos de información?

• Riesgos legales en los activos de información.

6. Quienes son los dueños/responsables internos de los activos? (por ejemplo: la base de clientes es responsabilidad del Gerente de Marketing o de quien esté determinado en esa organización).

7. Qué valor económico y comercial tiene una buena gestión de mis riesgos en activos de información?

• Si vamos a hacer una alianza con un socio, tiene valor que estemos certificados o en compliance en seguridad de la información? O que tengamos políticas de seguridad?

8. Como incide económica, comercial y financieramente, el manejo óptimo de estos riesgos?

• Cuanto vamos a dejar de perder, cuanto vamos a ganar y que ventaja comercial tendríamos si tuviéramos esas capacidades disponibles?

9. Quien tiene la capacidad dentro de la organización o fuera de la organización para responder por estos riesgos y/o controlarlos?

• Cuáles son los controles que se deben implementar para controlar estos riesgos?

 

No es difícil de imaginar una evolución constante de las organizaciones, en su forma de administrar sus riesgos y sus oportunidades, a partir de la realidad global donde la información y el conocimiento son los factores claves de toda producción de valor. Es fácil deducir que aquellas organizaciones que mejor manejen sus activos de información serán las que mejor se posicionen a la hora de capitalizar oportunidades y desarrollarse.

 

contáctenos en:

info@simetrica.biz