Habitualmente, las empresas confían en el estado perfecto de las medidas de seguridad implementadas en su organización, sobre todo cuando van a recibir la auditoría o cuando reciben a una consultora ofreciendo mejorar el estado de seguridad de la organización.
Al realizar la auditoria es muy habitual encontrarte con registros que están perfectos, que no hay ningún error. Por ejemplo, podemos estar analizando el registro de entrada a la organización por los empleados y podríamos llegar a observar que todos ellos entran y salen a la misma hora, sin hacer horas extra ni existir bajas por enfermedad. Increíble, ¿no?, esta situación es un indicador claro de falsedad documental que debería hacer que profundicemos más y revisemos el origen u otros registros para comprobar la situación real.
¿A qué se debe esta situación? ¿Porque las empresas indican que cumplen o tienen implementadas todas las mejores prácticas de seguridad?
Básicamente, existen dos razones:
La primera, por el rechazo a cualquier oferta que suponga un gasto inicial económico. Sin preocuparse de la reducción de posibles gastos mayores por no implementar esas medidas, ya sea por multas, por impacto negativos en prensa o pérdida de clientes y valor en bolsa por ejemplo, que podría ser evitado o al menos reducir la probabilidad de suceso al mejorar el estado de seguridad.
La segunda, por la creencia que sigue existiendo que el estado de seguridad es perpetuo. Una vez implantadas las medidas de seguridad aun hay quien cree que ya no tiene nada más que hacer y que así seguirá por siglos. Las medidas de seguridad como bien sabemos tienen validez para casos concretos y en ocasiones para un tiempo determinado, además de la continua detección de nuevas brechas de seguridad y aparición de amenazas para los activos de la organización.
Esta situación produce la necesidad de revisar de forma periódica el estado de la seguridad en la organización. Análisis de Riesgos, actualización del inventario de activos de la organización y el valor que estos tienen para la organización. Que vulnerabilidades y amenazas existen y en consecuencia cuales son los riesgos que existen en la organización y su priorización para la organización.
La realidad del día a día de las organizaciones es que se sufran incidencias. La incidencia no es significado de una mala implementación de las mejores prácticas. De hecho, la existencia de un registro de incidencias que es empleado de forma habitual, es decir, que en el registro de incidencias comprobamos que aparecen incidencias de forma periódica, es un buen indicador. ¿Por qué? Pues es un buen indicador porque demuestra que el usuario está capacitado y es conocedor de que es una incidencia, porque esta concienciado en la seguridad de la información y todo lo relativo y por esa razón registra las incidencias por el método habitual. Y las empresas que tienen las mejores prácticas implementadas, por supuesto, lo que hacen es revisar ese registro y actuar de acuerdo a la importancia que tiene esa incidencia. De forma que el auditor, cuando pregunta por cualquier tipo de las incidencias registradas, la organización o el responsable de su revisión sabe perfectamente, o al menos tiene documentado, al menos el por qué ha sucedido, que se ha realizado para corregirlo y que se ha realizado para prevenir que vuelva a suceder.
En conclusión y a mi modo de ver, según mi experiencia, cuando vemos un registro de incidentes perfecto, es decir, sin incidencias, mejor revisar más a fondo, porque a punta a estar maquillado.
