Es cierto que no existe una receta mágica que permita asegurar que todos los activos críticos de una organización se encuentran a salvo. Tampoco existe un componente tecnológico, ni una norma o procedimiento que nos garanticen, por sí solos, que todo ira bien y que no tendremos problemas.

Es recurrente escuchar, - “no tenemos las medidas, pero… nunca nos ha pasado nada….” – entonces, ¿será realmente bueno confiarse y no tomas medidas?.

Conceptos importantes en la Seguridad de la información son los activos, Gobierno Corporativo, Ciberseguridad entre otros. Para conocer un poco mas de esto es que les puedo contar que:

El Sistema de Gestión de Seguridad de la Información (ISO 27001) es una sucesión de procesos de gestión que se presentan alineados con el Gobierno Corporativo de la empresa, donde se crea un marco de selección de controles que engloba las distintas áreas que tienen que ser revisadas por ésta.

La importancia del Gobierno Corporativo de la organización es poder ofrecer un marco para ayudar a que las distintas áreas de tecnologías de la Información se alineen y cumplan todos los objetivos que hayan sido marcados, con lo que podrán manifestar, utilizando la documentación contrastada y el impacto positivo que se produce en las inversiones llevadas a cabo. El Gobierno Corporativo de TI debe saber y controlar el tipo de riesgos operativos al cual se enfrenta, debe definir y cumplir con los requisitos de calidad específicos de seguridad que posibiliten a la organización la alineación de sus requisitos de gestión de negocio, obteniendo una visión objetiva del valor que aporta la fusión de la gestión de seguridad con la estrategia de la información de la empresa

Para mejorar el estado de la Ciberseguridad (ISO 27032) hay que considerar la Seguridad de la Información teniendo en cuenta que éste (-la información-) es el activo más importante de la organización, además de la Seguridad en Redes, Seguridad en Internet (ISO 27017: Servicios Cloud), y por supuesto la protección de infraestructuras críticas de la información (ISO 27031).

En el Ciberespacio todos participan, los consumidores que pueden ser empresas o personas, los proveedores, etc.

Para poder entender los activos del Ciberespacio debemos pensar en Información, Softwares o programas, hardware o servicios.

Existen cinco funciones clave necesarias para la protección de los activos. Estas funciones coinciden con las metodologías de gestión de incidentes e incluyen las siguientes actividades:

1. Identificar: el riesgo de los sistemas, activos, datos y capacidades.

2. Proteger: Diseño s para limitar el impacto de los eventos potenciales sobre los servicios y las infraestructuras críticas.

3. Detectar: Ejecutar actividades para identificar la ocurrencia de un evento de ciberseguridad.

4. Responder: Tomar las medidas apropiadas después de enterarse de un evento de seguridad.

5. Recuperar: Planificar la capacidad de recuperación y la reparación oportuna de capacidades y servicios comprometidos.

Por tanto, las organizaciones deben considerar tomar conciencia de cuál es la real importancia que se le da a la seguridad en la organización; cuál es el apoyo y compromiso de la alta dirección para con ésta y los recursos que se asignan; también es buena idea, hacer propia la experiencia de otras empresas para tomar medidas de prevención y así evitar daños al interior de la organización.