Aparte de líderes con visión de futuro que estén dispuestos a invertir, tener una ISMS No es visto como una prioridad para muchos líderes en este momento. Si bien la evidencia de amenaza es abrumadora, hasta que ellos o alguien que conocen sufren una pérdida, no sucede nada material más allá de las compras de seguridad operativa, por ejemplo, antivirus, firewalls, etc.
Dependiendo de su punto de partida y de las expectativas de las partes interesadas para el futuro, no hacer nada ya no es una opción. Las fuerzas externas para el cambio están aumentando y deben considerarse cuidadosamente al igual que las expectativas de las partes interesadas externas..
Las regulaciones están dirigiendo a las organizaciones hacia enfoques más profesionales de seguridad y protección. uno simple La violación de datos puede matar a una empresa y podría tener consecuencias devastadoras. para las partes interesadas que sufren pérdidas. Un SGSI pragmático y bien enfocado ayudará abordar ese riesgo.
Los clientes poderosos también se están volviendo más inteligentes gestionar su cadena de suministro riesgos y mitigar el fracaso. Sin embargo, si bien son numerosas las fuerzas que impulsan el cambio, a menos que se aborden las fuerzas que se resisten (por ejemplo, la apatía de los líderes para invertir), es poco probable que cualquier implementación del SGSI sea exitosa o sostenible.
Hay mucho ruido en el mundo de la seguridad de la información y la privacidad en este momento. Hay tantas opciones pero con poca claridad sobre los beneficios, que la gente simplemente no actúa porque no pueden estar seguros de estar tomando las decisiones correctas. Es posible que tampoco tengan el tiempo, el interés o la experiencia para aprender sobre el tema.
Es crucial observar las necesidades de las partes interesadas poderosas. En ausencia de una dirección más clara por parte de clientes poderosos, o reguladores sobre cómo es un estándar de certificación para GDPR (como ejemplo de prácticas legislativas), seguir estándares mínimos como las listas de verificación de ICO, Cyber Essentials y, para enfoques más integrales, ISO 27001:2013 es un buen camino a seguir.
Más adelante presentamos el mapa de madurez de la seguridad de la información y evaluamos las expectativas de las partes interesadas; Ambos pueden ayudar como base para que su organización considere y planifique hacia dónde podría querer avanzar en el futuro.
Seguridad de la información y gestión de la privacidad Puede ser una lucha para que algunos líderes se entusiasmen, por lo que solo ven una parte de la ecuación; costo. También lo consideran muy complicado, por lo que, sin abordar las razones 1 y 2, permanece en la "caja demasiado difícil".
Sacar internamente a las personas resistentes de una mentalidad de costo a beneficio es crucial para el éxito y la aceptación del liderazgo.
Más estratégico y profesional gestión de la seguridad de la información debe mostrar la parte de retorno de la ecuación y considerarse una inversión, no solo un costo.
El retorno de la inversión puede resultar convincente cuando se analiza seriamente. También debe reconocer que, al igual que las ventas profesionales, la contabilidad y otros sistemas empresariales clave, un SGSI necesita algo más que un almacén de carpetas compartidas, correos electrónicos, hojas de cálculo y documentos para que funcione lo suficientemente bien como para ser confiable y eficaz.
Un SGSI ofrece un retorno de la inversión positivo. El objetivo de nuestro documento técnico es mostrarle por qué, qué y cómo puede obtener un retorno de la inversión (ROI) de un SGSI que se ajuste a las necesidades empresariales.