Uno de los mayores errores que usualmente cometen las organizaciones es pensar que, por tener un firewall, un IPS y un buen antivirus, no están expuestos o no son susceptibles a ataques. Miguel Cisterna
Uno de los mayores errores que usualmente cometen las organizaciones es pensar que, por tener un firewall, un IPS y un buen antivirus, no están expuestos o no son susceptibles a ataques. Si bien es cierto que estas aplicaciones son de gran apoyo para la organización y contribuyen en la disminución de los riesgos, no necesariamente son las únicas alternativas necesarias para garantizar la seguridad informática. Lo fundamental es que las organizaciones evalúen y realicen un adecuado análisis de gestión de riesgo, no sólo de la seguridad informática, sino de la seguridad de la información. La Organización actual debe, en primer término, determinar los factores de riesgo que pudiesen afectar los principios de la seguridad de la información: disponibilidad, confidencialidad e integridad. Una vez definidas las amenazas que pudieran, en un momento dado, violentar alguno de estos principios, se procede a hacer una gestión de riesgo, que no es más que definir una estrategia que logre eliminar o neutralizar dichas amenazas. Pero ¿cómo hacerlo? Se debe determinar la mejor alternativa de gestión para un riesgo en particular. Es decir, se puede aceptar el riesgo y no implementar ninguna acción sobre él, ya que éste tiene un componente de bajo impacto para la organización; o se puede mitigar el riesgo que tenga un alto impacto y una gran posibilidad de ocurrencia, cubriéndolo proactivamente por una medida de control. Sin embargo, es importante saber que estas medidas de control no siempre están al alcance de las organizaciones. Por lo tanto, es conveniente buscar un proveedor especializado, que ofrezca un servicio dedicado, debido a su estructura, experiencia con casos de éxito reales, y una buena metodología de trabajo. * Especialista en seguridad
