5 razones por las que su empresa debe tener una política de protección de información

La información es el elemento vital de todas las empresas, pero muchos propietarios de negocios y gerentes de alto nivel a menudo pasan por alto la seguridad de su información comercial para centrarse en lo que consideran más importante; “La generación de ingresos”. Muchos incluso conocen el riesgo con mucha antelación, pero adoptan la mentalidad de que “nunca nos sucederá”. Entonces los golpes inevitables.

La experiencia ha demostrado que el desprecio por la protección de la información comercial es desastroso. La vulnerabilidad más pequeña en el sistema de seguridad de la información (ISS) de una empresa puede causar miles de dólares, incluso millones de dólares en pérdidas financieras todos los días. Los expertos han encontrado que en la mayoría de los casos relacionados con “pérdida” del robo de información, los dueños o gerentes de negocios sabían que existían posibles infracciones y no hicieron nada para corregir el problema. Los expertos también señalan que en el 99% de los casos, el costo de arreglar el pan hubiera sido de miles a millones de dólares más barato que la pérdida que el negocio sufrió del pan en sí.

De acuerdo con “Tendencias en Pérdidas Propias” (ASIS International, 2007), estas son las 5 razones principales por las que las empresas de todos los tamaños deben tener un Sistema de Seguridad de la Información (ISS) y un Sistema de Gestión de la Seguridad de la Información (ISMS) activos y progresivos.

  • Pérdida de reputación / imagen / buena voluntad : recibir un golpe en el bolsillo puede ser malo, pero no la mitad de malo que tener un impacto en su reputación. Muchas empresas pueden recuperarse de la pérdida de ingresos, pero reparar la reputación de su empresa puede costar mucho tiempo, esfuerzo y dinero. Las implicaciones son abrumadoras en la mayoría de los casos.
  • Pérdida de ventaja competitiva en un producto / servicio : cuando ha estado trabajando febrilmente para mantenerse a la vanguardia del juego, pero su competidor le gana en la línea de meta cada vez que “hay un agujero en su barco”. La filtración de secretos comerciales, líneas de tiempo de entrega de productos y otros procesos comerciales puede descarrilar completamente un negocio y destruir su ventaja competitiva. “En 2006 hubo un caso bien conocido de información sobre la preocupación relacionada con un empleado de una bebida importante. Conspiró para venderla a otra compañía de bebidas por 1,5 millones de dólares. La empleada fue arrestada después de que el competidor la entregó.
  • Reducción de la rentabilidad o rentabilidad proyectada / anticipada: esto puede ocurrir cuando su competidor conoce su estrategia de precios. Si están vendiendo el mismo tipo de producto o servicio que su empresa pueden, y lo superarán fácilmente.
  • Pérdida de tecnología o proceso empresarial principal : una rápida búsqueda en Google le dará una idea de cómo las empresas pierden miles de millones en el proceso cuando la tecnología se filtra o se roba. El caso de la prolongada y costosa batalla de los “Celulares Gigantes” viene a la mente. Haga una búsqueda en Google al respecto. Hay algunos datos realmente interesantes que puede que no hayas conocido sobre el caso.
  • Pérdida de ventaja competitiva en múltiples productos / servicios

Todas las anteriores son razones sólidas, mientras que su empresa debe tener una política de seguridad de la información activa. Soy de la opinión de que cualquier negocio que regularmente pierde dinero y no implementa procesos para detenerlo, pronto estará fuera del negocio. Por lo tanto, aliento a todos los gerentes de negocios, ejecutivos y propietarios a tomar en serio la protección de su información. Tómese un tiempo para revisar sus políticas y procesos de seguridad de la información actuales con su administrador de seguridad. Escuche sus preocupaciones y recomendaciones. Después de todo eso es por lo que lo contrató. Concéntrese en hacer de su seguridad un “Bien necesario ” en lugar de un “Mal necesario” y asigne un presupuesto razonable pero flexible para abordar de inmediato amenazas de seguridad nuevas o inesperadas. Realmente podría salvarte una vida de jefes, batallas de corte y dinero al final.

A continuación hay algunas recomendaciones que creo que ayudarán a cualquier empresa a comenzar a mejorar su proceso de seguridad de la información. También ayudará a mejorar la seguridad general en general.

Recomendaciones

  • Asegúrese de que la información confidencial solo sea accesible para un pequeño grupo de personas según la necesidad de saber. Esta información se debe guardar en un área segura con medidas de seguridad progresivas y redundantes.
  • El primer nivel de seguridad puede ser señalización que designa el nivel de autorización requerido para estar en áreas específicas. Estas señales también deberían aconsejar las consecuencias por ignorarlas.
  • El segundo nivel de seguridad puede incluir cámaras de CCTV tripuladas o no tripuladas (pero tienen la capacidad de ser revisadas más adelante). Las cámaras son un buen método para detectar, disuadir y, en algunos casos, responder a comportamientos infames.
  • El tercer nivel de seguridad obliga a las tarjetas llave o llaveros designados a ingresar a áreas restringidas. Esta autorización también se puede indicar mediante credenciales de identificación codificadas por colores. Un punto de control de seguridad vigilado por oficiales de seguridad capacitados también es una opción.
  • El cuarto nivel de seguridad concierne a las áreas donde se guarda la información más sensible. Esta área debe incluir cámaras de CCTV, archivadores cerrados y cajas fuertes. Esto debe estar respaldado por una Política de protección de la información bien escrita, creada en colaboración con un profesional de seguridad experimentado y debe cumplirse estrictamente.
  • Por último, se debe establecer un calendario de auditoría y cumplimiento y una persona designada debe indicar la responsabilidad de su supervisión. Esta recomendación tiene más que ver con la gestión de la seguridad de la información, que trataré en un tema posterior.

Prácticas generales de seguridad de la información

El precedente se refería a las estrategias de seguridad para la información altamente sensible, sin embargo, no debemos pasar por alto la necesidad de la seguridad de la información comercial general. La información viene en muchas formas y las empresas deben protegerlos a todos. Aquí hay algunos consejos más que recomiendo para mejorar su Política de seguridad de la información actual:

  • Asegúrese de que todos los documentos que contengan información personal, personal y de la compañía estén siempre seguros. Esta información nunca debe dejarse en el escritorio de alguien o en su bandeja de entrada. Siempre mantenga este tipo de información bajo llave y diseñe a una persona para garantizar una responsabilidad estricta.
  • Asegúrese de contar con una política de seguridad de la información y compártala con todo su personal. Esta política debe incluir cómo archivar o descartar información de la compañía.
  • Asegúrese de que su empresa tenga una trituradora e incluya normas de destrucción (qué se debe destruir, cuándo y por qué) en su política.
  • Siempre asegúrese de que alguien en su organización esté al tanto de las amenazas cibernéticas actuales. Esta persona suele ser el jefe del departamento de TI o su administrador de seguridad. Él / ella también debe asegurarse de que sus sistemas antivirus y cortafuegos se actualicen y prueben regularmente. Si su empresa no cuenta con un departamento de TI dedicado, no estaría de más consultar con una empresa de seguridad de TI para obtener un chequeo.
  • Asegúrese de que su política de protección de la información incluya regulaciones relacionadas con los dispositivos de almacenamiento y los discos duros portátiles. La política debe indicar claramente qué información se puede guardar o cargar desde y hacia los dispositivos. También consulte con su departamento de TI para desactivar los puertos USB en sus computadoras y redes si es necesario.
  • Finalmente, cada negocio debe tener un Acuerdo de No Divulgación. Las NDA establecen las expectativas para sus empleados en lo que respecta a la privacidad de sus asuntos comerciales, procesos y materiales. También proporciona el recurso para violar la política. Puede encontrar ejemplos de NDA en la web, pero le recomiendo consultar con su abogado para asegurarse de que su NDA le brinde a usted y a su empresa una protección óptima.

Eso lo resume todo. Creo que al implementar estas estrategias, todas las empresas pueden mejorar la protección de su información y reducir las posibilidades de sufrir pérdidas financieras. En muchos casos, incluso puede aumentar su rentabilidad, por lo que todos estamos en el negocio de todos modos. Espero que hayas encontrado esta información valiosa. Nunca desestime lo que un programa de seguridad de la información sólido puede hacer por usted.

Gracias por leer y espero que estos rápidos consejos de seguridad ayuden a reactivar o reavivar su Programa de Seguridad de la Información.

Autor: Melvin E. Key, CPP

Dejar respuesta

Please enter your comment!
Please enter your name here