Alineación Estratégica en Seguridad de la Información
De la Protección de Activos a la Generación de Valor Empresarial
De la Protección de Activos a la Generación de Valor Empresarial
¡Bienvenidos a esta guía interactiva!
Aquí exploraremos cómo la **alineación estratégica** es fundamental para que la seguridad de la información no solo proteja, sino que también impulse el valor y el cumplimiento en una empresa.
El gobierno de la seguridad de la información es un componente esencial del gobierno corporativo. Implica que tanto el consejo de dirección como la alta dirección son responsables de proporcionar una dirección estratégica, garantizar el logro de objetivos, gestionar el riesgo y utilizar los recursos de la empresa de manera responsable.
Para que la seguridad de la información sea realmente valiosa, debe respaldar directamente la estrategia y los objetivos del negocio. Ya no es suficiente comunicar la existencia y el éxito de una organización, sino también cómo se protegerá esa existencia.
Una estrategia de seguridad de la información debe ser un plan de acción que permita al gerente de seguridad satisfacer las necesidades de la empresa, incluyendo alcanzar un nivel aceptable de riesgo y optimizar los recursos.
La integración de modelos como el Modelo de Madurez de la Capacidad (CMMI®) busca asegurar un enfoque reproducible e integrado para el gobierno y la gestión, haciendo que todos en la empresa trabajen en la misma dirección para optimizar el valor, el riesgo y los recursos. El marco COBIT también proporciona un enfoque integral para el gobierno y la dirección de la TI de la empresa, incluyendo la seguridad de la información, el riesgo y el cumplimiento.
Los objetivos de una estrategia de seguridad de la información deben definirse en términos de metas específicas que apoyen las actividades de negocio. Es crucial establecer interrelaciones directas con las metas y actividades específicas del negocio al determinar los objetivos estratégicos. Un programa de seguridad bien alineado puede hacer que los procesos de negocio sean más robustos, reducir errores y mejorar la productividad.
Importante:
La falta de una estrategia de seguridad integrada puede llevar a sistemas no integrados, más difíciles y costosos de gestionar y proteger, lo que puede resultar en consecuencias financieras mucho más onerosas en caso de incidentes graves, como se observó en un caso de brecha de tarjetas de crédito que costó cientos de millones de dólares.
El concepto de "estado deseado" en seguridad, que combina elementos cualitativos y cuantitativos, es clave para la planificación estratégica.
Incluye principios, políticas, marcos de referencia, procesos, estructuras organizacionales, cultura, ética, comportamiento, información, servicios, infraestructura, aplicaciones, personas, habilidades y competencias.
Este estado deseado se define en términos de atributos y resultados, como el cumplimiento regulatorio específico, lo que a su vez determina requisitos técnicos y de procesos significativos. La estrategia debe mitigar el riesgo, asegurar el cumplimiento legal y contractual, y brindar un apoyo comprobable a los objetivos comerciales, maximizando el valor para los interesados.
En el estudio de caso, la CISO observa una disminución en la influencia de la función de seguridad de la información y que sus recomendaciones sobre riesgos son ignoradas. Esto se manifiesta en su exclusión de reuniones clave y el cuestionamiento de su presupuesto por parte de los ejecutivos, incluyendo el CEO, quienes no comprenden el valor que aporta la seguridad de la información a la empresa.
La CISO reconoce que sus métricas actuales, aunque útiles operativamente (como el porcentaje de sistemas con antivirus actualizado o el tráfico monitoreado por firewall), no son relevantes o significativas a nivel táctico y estratégico, impidiendo que la gerencia aprecie el valor del programa de seguridad.
Para mejorar su posición y lograr la alineación estratégica, la CISO debe abordar varios aspectos clave:
Evolución de la Posición de la CISO:
Históricamente, la función de seguridad de la información solía reportar al CIO; sin embargo, esta estructura se ha vuelto inadecuada debido al creciente riesgo y a la sofisticación de los atacantes. Además, existe un conflicto de interés inherente. Por esta razón, la seguridad de la información está asumiendo cada vez más responsabilidades a nivel directivo (C-level), reportando al COO, CEO o al consejo de dirección, lo cual es esencial para alinearla con el negocio en lugar de solo con la tecnología.
La alta dirección no se interesa en detalles técnicos como el número de ataques de virus frustrados, sino en información de naturaleza estratégica, como:
Las métricas deben ser **SMART** (Específicas, Medibles, Alcanzables, Relevantes y con Plazo Definido) y relacionarse directamente con los objetivos del programa de seguridad que, a su vez, respaldan los objetivos del negocio. Ejemplos de métricas mejoradas que la CISO podría adoptar incluyen:
La identificación y clasificación de los activos de información basándose en su **criticidad y sensibilidad** es una tarea crucial para desarrollar una estrategia práctica y rentable.
Permite asignar medidas de protección en proporción al valor del negocio y evitar el desperdicio de recursos en información no esencial. La CISO debe ser proactiva en la comunicación con los dueños de los procesos de negocio para determinar qué información es crítica y cómo la seguridad puede mejorar sus operaciones.
En resumen, la alineación estratégica se logra cuando la seguridad de la información se integra intrínsecamente en el gobierno empresarial, y sus objetivos y métricas reflejan directamente el apoyo a las metas y operaciones del negocio, trascendiendo los aspectos puramente técnicos. La CISO desempeña un papel vital al comunicar este valor a la alta dirección en términos de negocio, justificando la inversión y demostrando cómo la seguridad contribuye a la preservación y el progreso de la organización.
Derechos de autor: EUD Academy.