En esta entrega hablaremos de lo que requiere saber y el rol que debe de jugar la alta dirección en materia de seguridad basado en el concepto de gobierno de seguridad de la información (GSI) un concepto relativamente nuevo y empezado a usar en algunas organizaciones de nuestro país aunque no con el nombre rimbombante de GSI. Pero primero empecemos por entender la palabra gobierno acuñada por ahí de 1998 por la ISACA (Information Systems Audit and Control Association) y el IT Governance Institute donde gobierno es “ el conjunto de responsabilidades y prácticas, ejercidas por el consejo y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se manejen en forma apropiada y verificar que los recursos de la organización se utilicen con responsabilidad “, en pocas palabras es el manejo efectivo y eficiente de la tecnología de información por parte de la organización.
Por lo tanto el GSI es el buen manejo de la seguridad de la información a través de toda la organización en todos sus niveles y es aquí donde se da el primer gran problema que viven hoy día las organizaciones en México, el gran desconocimiento en la mayoría de los directivos de las organizaciones con respecto al tema de la seguridad, ¿qué beneficios me da?, ¿qué me puede pasar si no tomo en cuenta la seguridad?, ¿cuáles son sus objetivos?, etc.
Estos son algunos comentarios vertidos por algunos ejecutivos, en primer instancia se cree que es un mal necesario, la piedra en el zapato, lo tengo que hacer por el cumplimiento de los marcos regulatorios y/o de la normatividad interna del holding, en qué me va a beneficiar esto de la seguridad, recuerdo que algún día un directivo importante de una empresa me dijo “mira en esta empresa aun con fraudes e incidentes de seguridad como tú le llamas, seguimos generando riqueza así es que a mí este tipo de temas me tienen sin cuidado porque pase lo que pase seguiremos ganando” obviamente este tipo de postura es totalmente extremista pero existen y eso es lo realmente grave del problema la falta de conocimiento. Basado en mi experiencia muy pocos son los que realmente por una autentica convicción creen que la seguridad de la información les va a dar beneficios tanto tangibles como intangibles y por lo tanto asegurar una operación con un nivel de riesgo aceptable en todo lo relacionado con seguridad de la información.
Otro problema es que se piensa que la seguridad es responsabilidad de las áreas de tecnología, sistemas o informática y esa es una gran mentira, la seguridad es responsabilidad de toda la organización y no solo de dichas áreas o del responsable de la seguridad de la información en la organización, naturalmente en alguien deberá de recaer el ownership, en este caso es el responsable de la seguridad, pero todos los usuarios de la organización desde el más alto nivel jerárquico hasta el más bajo tendrán roles y responsabilidades que cumplir sin excepción.
Derivado de esto se desprende otro gran problema que actualmente se vive en las organizaciones la función de seguridad no está a un nivel adecuado (Dirección, Subdirección o Gerencia) en las organizaciones por lo general se da a un nivel operativo y por consiguiente no se tiene la autoridad ni la facultad para trascender en todo lo relacionado con la seguridad de la información aunado a esto, otro problema es que difícilmente en las organizaciones hay un presupuesto asignado para seguridad, pocas son las organizaciones afortunadas en contar con recursos para seguridad además de que dicho presupuesto es obtenido de las áreas de tecnología (entre un 2 y 4 % del total de IT) y no de un presupuesto a nivel organizacional que eso sería lo ideal y lo más recomendable, no obstante de todo lo anterior, cuando no hay un presupuesto asignado para la seguridad y hay requerimientos, acciones a seguir o incidentes de seguridad como decimos coloquialmente se le rasca o quita a presupuestos de otros proyectos relacionados con IT.
Es importante recalcar que también muchas organizaciones no cuentan con una función de seguridad establecida, por lo regular esta responsabilidad recae en las áreas de tecnología a un nivel jerárquico bajo (por lo regular el administrador de la red, soporte técnico etc.) y sin disponer de recursos humanos ni presupuestales para desempeñar las funciones más básicas de seguridad. Además de que la perspectiva de seguridad es muy acotada o limitada no se toman en cuenta otros activos de información en capas como aplicaciones, bases de datos, en los procesos de negocio y mucho menos en el eslabón más débil de la cadena que es la gente. Por lo regular se enfocan en la red y sistemas operativos por los skills de los responsables de seguridad.
Sin embargo la mayoría de las organizaciones, que sí tienen esta función realizan actividades más operativas que estratégicas y normativas, dificultando que la seguridad se permee en toda la organización, y sólo sea vista desde la óptica de IT, Sistemas o Informática, y no desde la óptica de lo que requiere realmente la organización, independientemente de la problemática y complejidad técnica de la seguridad.
Para seguir leyendo de clic aquí
SÍGUENOS
© 2010 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260