domingo, 16 de agosto de 2009

Focalícese en la articulación de valor más que en el retorno de la inversión

Revisando un reciente documento de Forrester, denominado Articulation the business value of information security, se advierte un cambio interesante en la manera como se gobierna y gestiona la seguridad de la información en las organizaciones.

Dice el informe que hace algunos años al interregar a los Chief Information Security Officer - CISO, sobre ¿Cuál es el principal motivador para la implementación de controles en su organización? la respuesta natural era "porque necesitamos cumplir con las regulaciones o mandatos corporativos". Ahora cuando nuevamente son cuestionados estos ejecutivos, la respuesta es: "porque necesitamos administrar nuestro riesgos de información".

Al revisar este cambio de perspectiva, si bien la parte regulatoria sigue estando vigente en la agenda de los CISO, se advierte una necesidad de comprender más los flujos de información de la organización y cómo a través de la seguridad de la información se puede generar valor para los negocios. Cuando se establece que la información es un activo estratégico tan importante como las utilidades o las instalaciones, la gerencia establece los recursos y atención necesario para avanzar en una estrategia conjunta que permita asegurar la operación de la firma y la información que en ella se crea, transmite, transporta, almacena, recupera y destruye.

Cuando logramos incorporar la seguridad de la información dentro de los procesos de negocio, como parte normal de diseño y operación del mismo, las inversiones en seguridad dejan de ser un costo propio del área de TI, y se convierten en parte inherente de la operación del negocio. Lograr esta transformación no sólo requiere de un entendimiento de la seguridad dentro de la cultura organizacional, sino la materialización del concepto de seguridad dentro de los comportamientos de los individuos.

De otra parte, no podemos desconocer que la inseguridad continuará avanzando y con su avance nuevas sorpresas y motivaciones para continuar aprendiendo de sus efectos. En este sentido, se hace necesario refinar y reconstruir frecuentemente al equipo de seguridad informática, de tal forma que demuestre conocer los objetivos de negocio y los motivadores de la estrategia corporativa y así sugerir planes tácticos y técnicos que permitan al negocio fluir y administrar los riesgos propios de su operación.

Cuando logramos hacer evolucionar el lenguaje de la inseguridad, de los ataques o amenazas, por uno de resiliencia, de administración de riesgos y aseguramiento de la continuidad estamos asistiendo a la creación de una cultura de seguridad de la información que nace en el entendimiento mismo de los negocios. Es decir, cada área de la organización reconoce que la información y datos que maneja son parte de la sensibilidad del área y de los procesos de misión crítica de sus actividades. Hacer que esto ocurra, exige tanto del área de negocios como del área de seguridad de la información un lenguaje compartido de riesgos y controles que no son otra cosas que una comprensión sistémica de la estrategia de negocio corporativa.

Si bien la inversión en tecnologías de seguridad de la información no producen claramente un retorno de la inversión, si focalizan las energías en la generación de "expectativas y contextos" en los clientes que benefician directamente las relaciones con los terceros. La seguridad de la información al ser parte de la construcción de confianza y valor con los clientes, se hace una aliada estratégica del negocio y la extensión de la presencia del área de tecnologías de información la operación del negocio.

Ser estratégico en la gestión y gobierno de la seguridad de la información, es generar y agregar valor al cliente interno y externo, es ser el asesor confiable y capaz de tomar decisiones críticas que impliquen avanzar en una seguridad de perímetro extendido y móvil, que haga sumergir los negocios en una aldea global y ampliamente comunicada. Lo estratégico de la seguridad consiste en apalancar la dinámica de los negocios actuales, articulando la protección de la información en los procesos organizacionales, no como restricciones de hecho, sino como característica propia del hacer.

Para lograr lo anteriormente expuesto, se hace necesario repensar la figura del CISO, no como ese asesor técnico especializado en tecnologías de seguridad, sino como el ejecutivo de negocio que, reconociendo la complejidad de las condiciones de los mercados de la empresa, esta capacitado para ser flexible y analítico frente a los retos de la inseguridad de la información y así, buscar mayores niveles de continuidad operacional y tecnológica.

Por tanto, cuando sea interrogado sobre el retorno de la inversión en seguridad de la información, muestre el proceso continuado y sostenido donde se articulan los negocios y la protección de los activos de información, que no es otra cosa que el reconocimiento y aplicación de una cultura de seguridad inherente en la administración de los riesgos de negocio.

No hay comentarios:

Publicar un comentario