La respuesta es simple: En la medida que sus directivos creen que lo es.
A esto se le llama sesgo de confirmación, y es la tendencia que tienen las personas a favorecer, buscar, interpretar y recordar aquella información que confirma sus creencias. En este sentido, si la empresa no ha tenido o no sabe que tuvo incidentes de seguridad la conclusión a la que llegan es “somos seguros”.
Este tipo de sesgo cognitivo lleva a las personas a elaborar hipótesis sin ningún dato de sustento, basado solamente en lo que perciben. Siendo así, solo se darán cuenta que tienen fallas de seguridad hasta que finalmente les suceda un incidente de pérdida o robo de información, acompañado del potencial daño a nivel administrativo, financiero o legal.
¿Cómo puede pensar una empresa que es segura si no ha implementado políticas, procedimientos, procesos y protocolos de acceso a la información? ¿Solamente porque tiene “colaboradores confiables”? Pues esta conclusión está totalmente equivocada. Estadísticas internacionales muestran cómo la mayoría de los incidentes de seguridad de la información en las empresas, están provocados por el personal de estas. En América Latina, y particularmente en México, la situación no ha cambiado en los últimos años, de acuerdo con el último informe del Banco Interamericano de Desarrollo (BID) pg. 126, la seguridad de la información sigue siendo insuficiente.
Lo más inseguro es creer que estás seguro.
Cuando una empresa basa su seguridad exclusivamente en confiar en sus colaboradores porque los considera incapaces de realizar alguna acción que la vulnere, ya sea vendiendo, compartiendo o corrompiendo la información institucional, está realmente apostándole a la suerte, porque cuando el tiempo es lo que determina la seguridad, con el tiempo suficiente, nada es inviable.
Por otro lado, implementar en su infraestructura informática dispositivos como cortafuegos, aplicaciones antivirus o antimalware, estrategias de segmentación de redes, políticas de claves de acceso o información en la nube, son tácticas insuficientes para considerar a una empresa segura, cuando son aplicados sin un Sistema de Gestión de Seguridad de la Información.
La norma ISO 27001 exige la evaluación de 114 Controles de Seguridad para ser auditados y otorgar la certificación correspondiente, divididos en los siguientes protocolos:
Como podemos ver, la seguridad de la información va mucho más allá de solamente enfocarse en tecnología o en personal confiable. También exige a la empresa la existencia de procesos, gente y actividades de auditoría interna para asegurar el cumplimiento de dichos controles y así poder concluir que se está seguro de acuerdo con el tipo de información que administra, tanto propia como de sus clientes.
Una empresa que no tiene una certificación en ISO 27001 está dejando su información indefensa ante sus potenciales enemigos. Y, si no ha tenido incidentes de seguridad, lo más probable es que se deba a que no es lo suficientemente importante o lucrativo robarle información, o a que no se ha dado cuenta de algún incidente de seguridad, pero no es gracias a sus “protocolos”.
En resumen, a la pregunta ¿Qué tan segura es una empresa que no tiene ISO 27001? La respuesta es: no es segura, es totalmente vulnerable.
Con el tiempo la empresa se dará cuenta de su vulnerabilidad. Lo único que podemos desear, es que los incidentes que llegue a tener no sean de consecuencias catastróficas y pueda corregirlos con un buen control de daños.
Conoce nuestra Consultoría de Implementación ISO 27001 y comienza tu proyecto de Gestión de la Seguridad de la Información.