La seguridad de Información como función de negocios

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn1

Para que sea relevante y exitosa, la función de seguridad de la información debe ser vista y tratada como una función de negocios. En esencia la seguridad se debiera convertir en otra área de negocio de la organización o como una función sustancial en organizaciones sin fines de lucro. Como con cualquier área de negocio hay componentes de planeación, ventas, marketing, producción, entrega, económicos y de control.

La misión principal de la función de seguridad es garantizar la Confidencialidad, Integridad y Disponibilidad de la información. Sin embargo, la misión debe ser completada dentro del contexto de seguridad como un facilitador para el desarrollo y entrega de los productos y servicios de la organización. La seguridad debe ser vista como el área donde uno busca respuestas acerca de cómo avanzar con la seguridad de un producto nuevo o servicio y asegurar que el compromiso de confianza en la organización está siendo logrado a sus clientes y socios de negocio. Esto debe hacerse a través de una función de seguridad eficaz con enfoque de manejo de riesgos para el desarrollo de soluciones alternativas.

Estructura Organizacional

Es importante como primer paso que se distingan perfectamente las funciones de seguridad de la información de la gestión de actividades o tareas netamente operativas de seguridad que se necesitan para garantizar que funcionen adecuadamente las aplicaciones, las bases de datos, la red, los sistemas operativos, etc. Estas actividades o tareas son responsabilidades del área de TI (custodio), aunque en la mayoría de los casos estas son tareas de la función de seguridad. El papel de la seguridad de la organización será la de establecer, supervisar y ayudar a aplicar una normatividad (Políticas, Estándares, Guías, Baselines y procedimientos) dentro del marco de referencia de roles y responsabilidades desde la óptica de seguridad de las diversas funciones y áreas de la organización. Si, como sucede la mayoría de las veces veces, la función de la seguridad también es responsable de la administración de la seguridad, entonces la parte normativa debe ser separada de la función operativa aunque, como se comento no es la mejor alternativa pero en dichas circunstancias esto podría aligerar esta revoltura de roles y responsabilidades.

Cultura

La primera tarea en la elaboración o revisión de una función de seguridad es evaluar y comprender la cultura de la organización. La identidad de una organización es rara vez definida, pero es crucial cuando la normatividad se desarrolla, implementa, prueba y practica. La Seguridad de la información es mucho más que un agente de cambio, actividades, procesos, cambios y tecnología. De esta manera, la cultura de la organización necesita ser considerada y direccionada. Esto es muy difícil, la cultura dentro de una organización consta de los supuestos, valores, comportamientos normativos y expectativas. ¿Tiene la organización una cultura, donde las personas trabajan en equipo para lograr objetivos comunes? ¿O es una fortaleza de la cultura, donde todo el mundo es “el enemigo”? Son funciones de negocio y/o técnicas descentralizadas y autónomas, o son funciones centralizadas para garantizar mayormente el éxito?

La actitud hacia el riesgo es sin duda una cuestión cultural. Una organización de aversión al riesgo tendrá una fuerte tendencia a pegarse a la “carta de la ley” al aplicar el de la seguridad y afectara de manera significativa el propósito primordial de la seguridad que es vivir en la organización con un nivel de riesgo aceptable.

Aprender a lidiar con la cultura es un elemento esencial de una función de seguridad exitosa. Otra clave cultural tiene que ver con el cómo una organización interpreta y enfoca los aspectos legales, marcos regulatorios y la función de auditoría. Una vez que los riesgos legales, regulatorios y el core del negocio son entendidos es necesario plantear y contestar algunas preguntas:

  • ¿Qué hará el gobierno de seguridad de la información en toda la organización?
  • ¿Cuáles serán incluidos/omitidos de la Carta de la organización de seguridad?
  • ¿Una metodología de riesgos se utilizará para la toma de decisiones con respecto a la seguridad de información?
  • ¿La función de seguridad hoy día es centraliza, descentraliza, o una combinación de las dos?
  • ¿Cómo y dónde encaja la función de la seguridad en el organigrama de la empresa?
  • ¿Cómo la Seguridad de la Información se relaciona con otras funciones de negocios de la organización?
  • ¿Cuál es el nivel de compromiso de la alta dirección con respecto al presupuesto?
  • ¿Cómo la seguridad de la información se relaciona con otras funciones de control, como la auditoría, el compliance, manejo de riesgos, y la seguridad física?
  • ¿Qué funciones “pertenecen” al CISO? ¿Qué funciones no pertenecen a el CISO, y cuál es la decisión de los problemas a resolver?

No hay una estructura única. Existen diferencias significativas en cómo las organizaciones y la función se gestionan. Sin embargo, un factor común es que los procesos de negocio como los presupuestos, mercadeo / ventas, planeación, construcción, producción y explotación son parte del tratamiento de la seguridad como una función de negocios.

Ubicación de de la Función

Históricamente, las áreas de seguridad o mejor dicho los encargados de seguridad, (muchas veces ni recursos tienen) han reportado a un bajo nivel dentro del organigrama de TI. Una práctica más reciente es el de informar al jefe de la Dirección de Tecnología (CTO), que gestiona la infraestructura tecnológica. Otro atributo de un enfoque histórico es tener más de una área de seguridad sin necesidad de que ninguna se responsabilice de la función a nivel organizacional esto ocurre algunas veces en los grandes corporativos. Esto es especialmente cierto ya que la tecnología es en sí misma fragmentada.

En algunas organizaciones hoy día, la función de seguridad de la información a menudo informa a un vicepresidente responsable de TI o de las operaciones de una organización.

Otro enfoque es que la función de seguridad de la información del área de TI, ya sea reportando directamente a la alta dirección o a otra área especializada de la organización como podría ser la de administración de riesgos, planeación y estrategia, seguridad física, a un comité de seguridad y en algunos casos extremos al área legal o de auditoría interna.

Modificación de actividades en la Función de Seguridad

En caso de que la organización no parezca estar funcionando de manera efectiva, se pueden realizar algunas actividades para poder mejorar la situación actual de la función de seguridad:

  • Consolidar funciones diferentes. Si la función es fragmentada debe ser un objetivo, al menos consolidar instancias múltiples basadas solamente en la necesidad de eficiencia y reducción de costos.
  • Separar la parte normativa de los aspectos operativos. Como se señaló anteriormente, se necesitan diferentes habilidades para manejar la parte normativa y conceptual vs a una función operativa. La separación también puede ayudar con algunas de las cuestiones “políticas” que deben ser dirigidas.
  • Benchmarking. Una pregunta común que se debe de hacer el encargado de seguridad es la de cómo esta mi organización en materia de seguridad con respecto a mis peers, teniendo una respuesta precisa mejorara significativamente las oportunidades para los cambios en la organización así como el desarrollo e implementación de la normatividad.
  • Contratar a un consultor. Tener una opinión de una persona creíble y reconocida fuera de la organización muchas veces ayuda a desarrollar e implementar un plan de acción eficaz para la función de seguridad. Esto es especialmente verdadero si la opinión del consultor es el resultado de una evaluación de la viabilidad del programa de la función de seguridad de la información.

La estructura organizacional y las responsabilidades de la función de seguridad deben adaptarse a la cultura de la organización en general. El nivel de reporte necesita ser lo suficientemente alto para influir en el cambio y no ser indebidamente limitado por otras funciones de la organización.

Si la organización de la seguridad de la información es centralizada, descentralizada, o una combinación de las dos, es un factor de cultura organizacional y puede cambiar basándose en la evolución de la función generalmente hablando, tiende a estar a niveles más grandes de centralización en las etapas más tempranas del ciclo de vida donde se está desarrollando el programa.

En cualquier organización ya sea comercial, de gobierno o sin fines de lucro, para que las funciones de negocio sean exitosas deben ser lideradas y guiadas por una persona que tenga la difícil y compleja habilidad de comunicarse y colaborar con otros ejecutivos, directores, gerentes y personal de la organización.

El líder debe desarrollar un nivel de credibilidad en sus perspectivas, recomendaciones y sus decisiones. Uno de los objetivos del programa de seguridad es el desarrollo de una apreciación de la necesidad y la responsabilidad de la seguridad en todos los niveles de la organización, desde el más alto nivel hasta al más bajo. Todos los niveles dentro de la organización deben tener una seguridad adecuada o un nivel de riesgo aceptable ya que es “propiedad” de todos y no sólo de la función de seguridad. El logro de este objetivo es el core de la venta y marketing de la seguridad de la información. Un programa exitoso debe de tener a la gente adecuada y una función eficaz de seguridad de la información que cumpla con las requerimientos y necesidades en materia de seguridad en la organización.


Por Adrián Palma vía bSecure

La seguridad de Información como función de negocios
1 (20%) 1 voto

Etiquetas:


Deja un comentario

Cuanto es 5 + 16 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos