En las empresas, el manejo del riesgo requiere cada vez más atender posibles situaciones de robo de información. No solo se trata de los más o menos esperados ataques de hackers o de alguna tragedia natural, sino de algunas situaciones casi obvias –pero más pequeñas– que pueden generar riesgos igual de peligrosos para su organización.
A continuación, comentamos seis riesgos de este tipo que puede estar pasando por alto como parte de su estrategia de seguridad de la información y algunas sugerencias para mitigarlos.
1. La ausencia de un colaborador del equipo de TI.
Los gerentes de TI saben quiénes son sus funcionarios clave, pero no realizan la sucesión o rotación de personal para que todos puedan ser reemplazados, si llegara a darse el caso. Hasta es posible que no se encuentre documentación técnica de las labores que alguno realiza. Solo cuando ese empleado ya no está en la empresa es que se dan cuenta de las habilidades que están haciendo falta en el negocio. Es prioritario tener un conocimiento claro de las funciones de cada empleado y tener un plan de sucesión en caso de que se deba prescindir de uno de ellos, ya sea programado o intempestivamente.
2. Tener respaldos en cinta de forma inadecuada.
Hay una cantidad considerable de información que se guarda en cintas de procesos diarios, las cuales, ante una contingencia, se pueden requerir para la recuperación de desastres. Pero hay empresas que no efectúan limpiezas frecuentes de las cintas, que ya no tienen dispositivos que las lean o cuyo ambiente para las cintas no es apropiado (temperatura, humedad, etc.). Eso lleva a que, en una situación de emergencia, es altamente probable que las cintas de respaldo no se puedan leer. Por lo tanto, es importante tener un procedimiento que verifique con frecuencia la calidad de los medios de respaldo.
3. Contar con islas (silos) de TI en la organización.
Muchas veces, las áreas de negocio realizan negociaciones con proveedores de TI para soluciones departamentales sin coordinar con la gerencia de TI y verificar si lo que adquieren es compatible con otras aplicaciones o equipos que forman parte de la infraestructura instalada. Y es que no les importa el tema de la compatibilidad hasta que hay necesidad de integrar esta solución con los otros sistemas. Es en ese momento cuando el departamento de TI es llamado a una reunión para ver cómo se integra lo que adquirieron con los demás sistemas de la empresa. En estos casos, el riesgo se puede manejar óptimamente con una política de TI, la cual debería dar la oportunidad de revisar soluciones antes de que se contraten y así validar las compatibilidades y posibles problemas de seguridad.
4. Desaparición de un proveedor de TI.
Vivimos en una época de cambios en el mercado, con constantes adquisiciones de compañías o fusiones entre las mismas.Una excelente condición de trabajo establecida con un proveedor importante puede perderse en una de estas situaciones, generando posibles pérdidas en la calidad del servicio. Es indispensable tener un contrato transparente y cláusulas de salida en caso de que estos cambios generen pérdida de control sobre el proveedor o se reduzca la calidad del servicio.
5. Falta de ancho de banda disponible para la nube.
Las soluciones en la nube son muy buenas y aportan soluciones importantes para los negocios. Pero si las comunicaciones comerciales no pueden entregar anchos de banda de manera consistente para manejar las demandas de acceso y descargas, se puede dar al traste con el proyecto. Esto es especialmente válido para empresas que están buscando manejar altos volúmenes de información a través de la nube. Por ello, el ancho de banda debe ser un requerimiento que se maneje de primera línea con todos los proveedores de servicios en la nube.
6. Puesta en producción de un sistema sin soporte adecuado de TI.
En ocasiones, el desarrollo apresurado de un sistema de información por un proveedor y la falta de control del proyecto por parte del área que lo requirió, trae problemas debido a que la infraestructura de TI provista podría no estar preparada para soportar todo el proceso generado por el sistema. Por ello, es necesaria la coordinación de los proyectos con la gerencia de TI, que el proveedor indique los requisitos indispensables para el correcto funcionamiento del sistema y que el área que lo requirió manifieste su conformidad en cada etapa del proyecto.
