¿es una falacia, un fenómeno en cierne o ya es una realidad?[parte uno]
Email |
¿Desea imprimir?
Regístrese ahora
El Gobierno de Seguridad en la Información;
Invito a directores a reflexionar brevemente sobre cuál es la situación de su institución para buscar el Gobierno de Seguridad en la Información.
Prácticamente en México hay pocas organizaciones maduras en este proceso y para constatarlo usted en lo que respecta a su empresa: ¿en cuál de los siguientes estados se encuentra? ¿Cuál debería ser la siguiente acción en cuanto a Gobierno de Seguridad en la Información en su organización?
1. No sé o no tenemos nada formalmente definido y entonces se tiene que ubicar al grupo directivo, posiblemente al comité de dirección si existe, de esta necesidad y trabajar en concientizar y orientar al respecto para tomar conciencia del riesgo en caso no atenderse la
Seguridad en la Información. Es un problema de ignorancia casi general.
No se tiene un registro y respuesta ante incidentes e impactos por pérdida de información en su confidencialidad, integridad y disponibilidad de los procesos del negocio.
2. Se tiene algo definido, alguien tiene la función de Seguridad de la Información,
sin embargo, está bajo el mando de IT. No está puesto en la preocupación de la alta dirección por tener otras prioridades, pero confiamos en la dirección responsable sabe hacer las cosas correctas, pero ¿está en el camino correcto y tiene una estrategia adecuada, conveniente para la institución?
3.- Se tiene un proyecto de Seguridad de la Información así como una estrategia en proceso de definición en un periodo corto. Se tiene contemplado identificar la normatividad y los recursos requeridos para atender el tema. Apenas se está justificando el alcance del
tema y será en el corto plazo un tema de preocupación por el comité de dirección.
4.- Contamos con un proceso de Seguridad de la Información y se viene trabajando en este tema por más de un año controlando riesgos y amenazas de la seguridad en la Tecnología de Información. Tenemos una estrategia revisada, autorizada y en proceso de actualización
constante. Contamos con una normatividad definida, actualizada, autorizada y difundida, así como recursos asignados.
5.- Ya es un tema en la agenda del comité de dirección y se tiene una estrategia revisada y que ha dado vida a un sistema de gestión de seguridad. Existe conciencia de los riesgos más importantes y sobre ellos se trabajará para empezar a lograr el Gobierno de Seguridad en
la Información. Hay conocimiento y sustento de definición y autorización de estrategia de seguridad, con base en las guías, metodologías, modelos y estándares internacionales.
6.- Hay un comité de seguridad avalado y patrocinado por el comité de dirección para resolver y trabajar sobre la estrategia de seguridad en la Información. Ya existe un sistema de gestión en el que se trabaja para controlar los riesgos de seguridad. Se tienen definidas políticas, estándares y procedimientos, así como los roles y responsabilidad en el tema. Se llevan a cabo análisis de riesgos de forma periódica y son el componente fundamental para la elaboración de un plan de seguridad autorizado. Asimismo, están en operación los procesos
de seguridad y continuamente se revisan y se llevan a cabo ajustes para mejorarlos.
7.- Además de lo que se tiene en el punto anterior (6), existe conciencia de la necesidad de un proyecto que habilite el Gobierno de la Seguridad ya que se tienen definidas un conjunto de responsabilidades y prácticas ejecutadas por el Comité de Seguridad y los ejecutivos con
el propósito de dar dirección estratégica, asegurar que los objetivos se obtengan garantizando que los riesgos sean atendidos adecuadamente y verificando (monitoreando éxito o fallas) que todos los recursos de la empresa sean utilizados responsablemente.
Si una institución considera tener ya un Gobierno de Seguridad maduro, es igual que decir que tiene implementado un Sistema de Gestión de Seguridad de la Información (SGSI) Maduro. Existen en México empresas que ya están certificadas bajo el estándar ISO 27001, sin embargo, habría que validar el alcance de la certificación, porque puede suceder que el alcance sea poco sustantivo, pero es una investigación que ALAPSI se dará a la tarea de obtener en el futuro cercano. Existen alrededor de 20 empresas certificadas en ISO27001 ó BS7799-2, adicionales a las no certificadas pero que ya cuenta con un SGSI. ¿Qué porcentaje
de empresas se pudieran encontrar en esta última situación?
De ellas, ¿cuántas empresas estarán en un nivel de madurez aceptable?
Dudo que lleguemos a un número muy alto. Lo anterior sin minimizar el mérito y la importancia de la certificación.
Referencias:
(*1) El Sistema de Control Interno como un elemento esencial para garantizar la eficacia del Gobierno Corporativo.
Guillermo Cruz -Delloitte- (Centro de Exelencia en GC – 2006).
(*2) Information Security Governance – Guidance for Board of Directors & Executive Management, 2nd. Edition, IT
Governance Intitute
(*3) Gobierno de TI y Continuidad del Negocio. José Peña Ibarra ISACA Mty
(*4) Seguridad y Buen Gobierno, Juan Ignacio Ruiz Guinaldo, Grupo AVIVA
No hay artículos relacionados.
