La respuesta es: Todas aquellas que tienen presencia en Internet, desde con una simple página web hasta con sus actividades comerciales y de logística.
Con la proliferación del uso de dispositivos móviles con acceso a Internet los consumidores los están utilizando para encontrar la solución a sus necesidades y objetivos, por lo tanto, una empresa que no esté alineada a esta tendencia está perdiendo clientes potenciales y con el paso del tiempo seguramente perderá sus negocios.
Esta es la razón de por qué una empresa debe certificarse en una norma de seguridad de la información como ISO 27001: tarde o temprano utilizará alguna herramienta digital para impulsar su negocio y eso implica el intercambio de información entre sus clientes y ella, y entre sus proveedores y ella. Ese intercambio de información es el que hay que custodiar para asegurarle a ambos, pero sobre todo a sus clientes, que la información compartida por ellos no será utilizada para actos ilícitos u obtenida por terceros no controlados con los mismos fines.
De acuerdo con el reciente informe del Foro Económico Mundial, la “fragmentación digital”, como se denomina en este informe a los principales negocios digitales en el mundo (pág. 60), los servicios en la nube son los de mayor crecimiento y, considerando que lo seguirán siendo en los siguientes años, tanto clientes como proveedores basarán más sus intercambios comerciales mediante sistemas informáticos ubicados externamente.
Consecuentemente esto expone más las vulnerabilidades de acceso que tanto clientes como empresas puedan tener.
De acuerdo con el sitio web The Missing Report, el 43% de los ciberataques afectan a pequeños negocios, así que la seguridad de la información tampoco es un tema de las grandes empresas porque se considere que un pequeño negocio no es apetecible a la delincuencia cibernética. |
Estos recientes informes nos muestran cómo estas dos tendencias están conformando la tormenta perfecta para que las empresas deban ocuparse con mayor prioridad de la seguridad de su información, porque cada vez más se está utilizando el Internet para hacer negocios y con mayor frecuencia se están descubriendo más delitos cibernéticos, precisamente porque el negocio está creciendo y lo seguirá haciendo, por lo tanto en el futuro las empresas serán más vulnerables de lo que son actualmente si no establecen procesos que les permitan identificar y anular o controlar dichas vulnerabilidades, es decir un Sistema de Gestión de Seguridad de la Información (SGSI).
Además, los clientes se están preocupando cada vez más por la seguridad de la información que comparten con sus proveedores ya que, aunque ellos estén seguros en sus propios sistemas no saben si su proveedor también lo está, por lo que le solicita que certifique su Sistema de Gestión de Seguridad de la Información para garantizarle que los datos que ha compartido con él no serán utilizados por terceros para realizar algún tipo de ataque o para cometer algún delito.
Lo que proporciona una certificación en ISO 27001 es un proceso de gestión de la información que permite tanto a la empresa como a aquellas organizaciones con las que comparte información, una trazabilidad total de la misma, pudiendo ver y conocer qué pasa con la información, dónde está, quién la utiliza, cómo la utiliza, cuándo la utiliza, cómo la conserva y cómo la resguarda, para que si alguien, propio o ajeno a la empresa la usa fraudulentamente se pueda conocer con precisión y actuar en consecuencia. No garantiza que alguien que tiene la intención de cometer un delito no lo haga, pero sí le dificultan mucho hacerlo y si finalmente lo logra se puedan rastrear las acciones realizadas y ejecutar la sanción correspondiente.
En el mismo sitio The Missing Report se informa que, a enero del 2021, Google indexó poco más de dos millones de sitios de phishing y que “el 91% de los ataques comienzan con la técnica de spear phishing, que apunta a vulnerar correos e infectar organizaciones”. Esto es alarmante ya que el correo electrónico es la primera información que todo cliente comparte con su proveedor. Evidentemente es lógico que por ahí inicie su ataque la delincuencia cibernética debido a que esta información es la que primero se comparte. Por lo tanto, también es lógico que ahí comience la protección de la información del cliente, contando con un Sistema de Gestión de Seguridad de la Información que contemple la seguridad informática en todas las operaciones de la empresa.
Para decidir si se aborda un proyecto de seguridad de la información, el tamaño o tipo de empresa no es el factor para considerar.
Pregúntate lo siguiente:
|
Lo más seguro es que hayas respondido que sí a todas estas preguntas, lo que significa que si no tienes un SGSI implementado, tu empresa está vulnerable.
El factor clave es ¿Cuándo sucederá un ataque? Y como esto no se sabe entonces la respuesta es que la seguridad de la información se debe atender ya.
Conoce nuestra Consultoría de Implementación ISO 27001 y comienza tu proyecto de Gestión de la Seguridad de la Información.