En estos últimos meses hemos seguido atentamente las conclusiones y análisis asociados a los más importantes ataques informados por los medios.
Se habla de declaración de guerra ciberterrorista, y los medios alertan en tono de preocupación, el management reaciona rápidamente solicitando revisión de vulnerabilidades de sus sistemas, estudia detenidamente sus planes de migración a «cloud computing», analizan sus «disaster recovery planning» …
En estos momentos además de reaccionar, se debe actuar con proactividad y con una capacidad de análisis mas allá del horizonte cercano.
Es muy importante, como primer paso, reconocer que el principal problema que originó las vulnerabilidades en los últimos ataques fue la deficiencia del proceso de «Information Governance».
La falta de concientización de los usuarios sobre seguridad de la información, la incorrecta clasificación de los activos de información, un mapa de riesgos incompleto, la falta de controles…
El «on-going» no permite muchas veces actuar con proactividad, los cortes presupuestarios reducen el catálogo de contramedidas a aplicar, el apetito de riesgo se subestima por errores en el mapa de riesgos y los Análisis de Impacto en el Negocio (BIA) desactualizados o reducidos.
Es AHORA que el management debe actuar proactivamente sin descuidar la reacción de protección.
Los ejes centrales son el correcto gobierno de la información como el capital más importante que posee una empresa.
Es imposible lograr que los clientes confíen en la multicanalidad de operación que le ofrecen como vías alternativas transaccionales, si la sensación que tienen HOY, es la vulnerabilidad y desprotección de sus datos personales.
Es momento de darle a «Information Governance» su merecido lugar.
Diego San Esteban, CRISC
Humanizing Banking 