“No hay una receta perfecta para manejar una crisis”, dice Enrique Herrera. El ejecutivo es responsable de la seguridad informática de Intel para América latina. En diálogo con Bloggers, sostiene que “hasta que las empresas no sufren golpes económicos, no ven la justificación de invertir en seguridad informática”.
¿Las empresas están preparadas para el manejo de crisis?
-El manejo de la seguridad en una organización tiene mucho de arte, y también de preparación. Hasta que las empresas no sufren golpes económicos, no se dan cuenta de que tienen que invertir en eso, no ven la justificación. Pero no se trata de decir “démosle prioridad a la crisis”, tiene que haber todo un proceso detrás.
-El manejo de la seguridad en una organización tiene mucho de arte, y también de preparación. Hasta que las empresas no sufren golpes económicos, no se dan cuenta de que tienen que invertir en eso, no ven la justificación. Pero no se trata de decir “démosle prioridad a la crisis”, tiene que haber todo un proceso detrás.
¿Son muchas las organizaciones que tienen armado un comité para atender contingencias?
-Entre más dependés de la tecnología, más vulnerable sos a que cualquier virus o gusano te afecte. Cada vez hay mayor consciencia y preocupación al respecto.
¿Qué relación hay entre manejo de crisis y ROI?
-Van de la mano. Normalmente cuando uno quiere invertir en seguridad tiene que justificarlo, y muchas veces los esquemas tradicionales se basan en análisis cualitativos. Pero con este enfoque es difícil explicarle al área de finanzas que “van a dejar de perder”, porque es difícil justificarlo. Nosotros desarrollamos un método de análisis, denominado ROSI (Return Of Security Investment), que brinda números cuantitativos, para poder compararlo con otras inversiones, incluso si no están vinculadas a seguridad.
¿Hay receta para manejar una crisis?
-No, nunca hay una receta perfecta. Lo que uno puede hacer es tener un manual de procedimientos y un esquema de soporte, que le permita conseguir los recursos que necesita lo más rápido posible. Pero si no sabe qué recursos necesita y como utilizar ese proceso, de todos modos podría no funcionar. Siempre se necesita un gerente de crisis que sepa lo que está haciendo. Pero para que él pueda hacer las cosas de manera idónea, necesita un proceso que lo respalde.
¿Las áreas de negocios entienden la problemática y el riesgo que le transmite la gente de sistemas?
-En realidad no es tan difícil, es el viejo cuento de si primero viene el huevo o la gallina. Si ya tenemos algún tipo de historial de pérdidas, nos podemos armar para ir a finanzas y hablar de inversiones que se pueden ahorrar. Entonces no todos los programas de seguridad son orientados a evitar pérdidas algunos son para minimizar el impacto. El esquema de Intel solo se puede aplicar para los orientados a evitar pérdidas, no para los programas de seguridad que están orientados a minimizar el impacto.
Bloggers, Enrique Herrera, de Intel Latinoamerica
Articulos relacionados:
- ROSI, Retorno Sobre la Inversión de Seguridad de la Información
- Cursos de Seguridad (Gratis / Free)
No hay comentarios:
Publicar un comentario