Resultados Básicos del Gobierno de Seguridad de la Información
Puntos clave para un programa de seguridad eficaz
Puntos clave para un programa de seguridad eficaz
El gobierno de la seguridad de la información busca desarrollar, implementar y gestionar un programa de seguridad que alcance los siguientes seis resultados básicos:
Consiste en alinear la seguridad de la información con la estrategia de negocio para apoyar los objetivos de la organización. Esto implica asegurar que los requisitos de seguridad se basen en las necesidades de la empresa, que las soluciones de seguridad sean compatibles con los procesos de negocio (considerando la cultura, estilo de gobierno, tecnología y estructura de la empresa), y que las inversiones en seguridad de la información estén alineadas con la estrategia y operaciones de la empresa, permitiendo el desarrollo de un perfil de amenaza, vulnerabilidad y riesgo bien definido.
Busca mitigar los riesgos y reducir su posible impacto en los recursos de información a un nivel aceptable, mediante la implementación de medidas apropiadas. Esto incluye tener un entendimiento colectivo del perfil de amenaza, vulnerabilidad y riesgo de la empresa, comprender la exposición al riesgo y las posibles consecuencias de la inestabilidad, ser conscientes de las prioridades de gestión de riesgos, lograr una mitigación del riesgo suficiente para alcanzar consecuencias aceptables de riesgo residual, y la aceptación/transferencia del riesgo a partir de un entendimiento de sus posibles consecuencias.
Se refiere a la optimización de las inversiones en seguridad en apoyo a los objetivos del negocio. Esto se logra mediante un conjunto estándar de prácticas de seguridad (requisitos mínimos proporcionales al riesgo e impacto), manteniendo los gastos generales de seguridad de la información al mínimo mientras se logra un programa que apoye los objetivos del negocio, priorizando y distribuyendo el esfuerzo en áreas con mayor probabilidad de riesgo y mayor impacto y beneficio para el negocio, utilizando soluciones institucionalizadas y basadas en estándares que ofrecen la mayor rentabilidad, y fomentando una cultura de mejora continua basada en que la seguridad es un proceso constante.
Implica utilizar el conocimiento y la infraestructura de seguridad de la información de manera eficiente y efectiva. Las actividades clave incluyen garantizar que el conocimiento se capture y esté disponible, que los procesos completos se añadan al manual de TI de la organización en forma de políticas y procedimientos, documentar los procesos y prácticas de seguridad, y desarrollar arquitecturas de seguridad para definir y utilizar los recursos de la infraestructura de manera eficiente.
Consiste en monitorizar y reportar los procesos de seguridad de la información para garantizar que se alcancen los objetivos. Esto incluye tener un conjunto de medidas bien definidas, acordadas y significativas alineadas con los objetivos estratégicos, un proceso de medición que ayude a identificar deficiencias y proporcionar retroalimentación, aseguramiento independiente por evaluaciones y auditorías externas, y criterios para identificar las métricas más útiles.
Consiste en integrar todos los factores de aseguramiento relevantes para garantizar que los procesos operan de acuerdo con lo planeado de principio a fin. Esto se logra determinando todas las funciones de aseguramiento organizacionales, desarrollando relaciones formales con otras áreas de aseguramiento, coordinando todas las funciones de aseguramiento para una seguridad más rentable, garantizando que coincidan los roles y responsabilidades entre las funciones de aseguramiento sin dejar brechas en la protección, y empleando un enfoque de sistemas para la planificación, implementación, métrica y gestión de seguridad de la información.
A continuación, exploraremos en detalle dos de estos resultados fundamentales y cómo un gerente de seguridad de la información puede trabajar para lograrlos.
La alineación estratégica es fundamental porque asegura que la seguridad de la información no sea una función aislada, sino una parte integral del negocio que apoya directamente sus objetivos generales. Para lograr esto, un gerente de seguridad de la información puede enfocarse en las siguientes actividades clave:
El gerente debe comprender a fondo los objetivos de negocio de la organización. Por ejemplo, si un objetivo estratégico es expandirse a nuevos mercados digitales, el gerente de seguridad de la información debe asegurarse de que la estrategia de seguridad incluya requisitos específicos para proteger las nuevas plataformas de comercio electrónico y los datos de clientes en esas regiones, considerando las regulaciones locales. Esto implica una comunicación constante con los propietarios de los procesos de negocio para entender sus necesidades y traducir estas en requisitos de seguridad tangibles.
Es crucial que las soluciones de seguridad no obstaculicen las operaciones, sino que se integren fluidamente con ellas. Un gerente de seguridad de la información podría, por ejemplo, al implementar un nuevo sistema de autenticación multifactor, trabajar con los departamentos operativos para diseñar un flujo de trabajo que minimice las interrupciones para los usuarios, adaptándose a la cultura y estilo de trabajo de la empresa. Esto también incluye tener en cuenta la tecnología existente y la estructura organizativa.
En lugar de ver la seguridad como un centro de costos, el gerente de seguridad de la información debe demostrar cómo las inversiones en seguridad contribuyen a los objetivos del negocio. Por ejemplo, si la empresa busca reducir el riesgo de fraude en transacciones en línea, el gerente podría presentar un caso de negocio para invertir en tecnologías antifraude, mostrando cómo esta inversión reducirá pérdidas y mejorará la confianza del cliente, lo cual es un objetivo de negocio. Esto también implica desarrollar un perfil de amenaza, vulnerabilidad y riesgo bien definidos que justifiquen las inversiones.
Este resultado es clave para garantizar una cobertura de seguridad completa y evitar brechas, coordinando todas las funciones de aseguramiento dentro de la organización. El gerente de seguridad de la información juega un papel vital en esta integración:
El gerente debe identificar todas las áreas relevantes que contribuyen a la seguridad, como la seguridad física, la auditoría interna, la gestión de riesgos, las oficinas de privacidad y el cumplimiento. Por ejemplo, el gerente puede establecer reuniones regulares o un comité directivo de seguridad con representantes de estas áreas para compartir información sobre riesgos, incidentes y políticas. Esto ayuda a crear una visión unificada de la seguridad en toda la empresa.
La fragmentación de actividades de seguridad en silos puede llevar a resultados subóptimos y esfuerzos redundantes. El gerente de seguridad de la información puede, por ejemplo, liderar la implementación de una plataforma centralizada para la gestión de incidentes que sea utilizada por los equipos de seguridad de TI, seguridad física y gestión de riesgos, optimizando los recursos y reduciendo los esfuerzos duplicados. El objetivo es mejorar la eficiencia y efectividad general de la seguridad.
Las responsabilidades de seguridad de la información deben estar claramente definidas y comunicadas a todos en la empresa. Un gerente de seguridad de la información puede utilizar herramientas como la matriz RACI (Responsable, Quien Rinde Cuentas, Consultado, Informado) para definir explícitamente los roles y responsabilidades en diferentes actividades de seguridad, como la gestión de incidentes o la clasificación de datos. Esto asegura que no haya áreas sin cubrir y que todos los involucrados sepan cuál es su papel en la protección de los activos de información.
En resumen, un gerente de seguridad de la información efectivo no solo se enfoca en la tecnología, sino que también trabaja estratégicamente para alinear la seguridad con los objetivos de negocio y para integrar todas las funciones de aseguramiento, garantizando así una protección holística y robusta para la organización.