miércoles, 18 de agosto de 2010

Expectativas y motivaciones de la función de seguridad de la información

Existen múltiples publicaciones y reflexiones sobre la formación y evolución del ejecutivo responsable de la seguridad de la información, las cuales hablan sobre las competencias que debe desarrollar para incorporar en la dinámica de los procesos de negocio y la esencia misma de la protección de los activos de información. De igual forma y de manera complementaria, se plantea la inquietud sobre la posición del área de seguridad de la información dentro de la estructura organizacional, que por lo general entra en conflicto con múltiples entendimientos de la función de seguridad de la información: visión técnica, de riesgos o estratégica.

A raíz de este constante y sano debate, que habla de una función dinámica y evolutiva, Forrester Research ha desarrollado un interesante análisis denominado “Security Organization 2.0: Building a robust security organization”, que procura explicar con precisión las expectativas y motivadores de la seguridad de la información en las organizaciones.

Según este estudio y basado en la experiencia del autor, la función y el role del ejecutivo de la seguridad de la información responde a un proceso evolutivo de los motivadores de la empresa sobre el tema. Mientras hace más de 25 años, la seguridad de la información se entendía como la implementación de tecnologías de protección de información, hoy se mueven más por la administración de los riesgos en los flujos de información de los negocios. Así las cosas, la función de seguridad se viene transformando de un motivador eminentemente tecnológico y operacional (que se debe mantener en el radar) a uno más táctico y estratégico, orientado por el entendimiento de los riesgos críticos para el negocio como pueden ser la fuga y/o pérdida de la información.

En este contexto, el responsable de la seguridad de la información debe poseer una fuerte formación técnica en las tecnologías de seguridad, con un alto componente de visión de riesgos y gran capacidad de ejecución y aseguramiento de controles, que le permitan moverse eficientemente entre el control y la eficiencia de las medidas de seguridad y el apoyo a la generación de valor en el negocio.

De igual forma y de manera consistente, el CIO Executive Board publicó un reporte sobre el Futuro de la TI Corporativa a 2015, donde hace evidente que la información será el elemento donde estará fundada la ventaja competitiva de las organización, apalancada con cambios significativos en la manera como los clientes usan la información, analizan los datos y se facilita el desarrollo de los trabajadores del conocimiento. En razón con lo anterior, el encargado de la seguridad de la información deberá estar atento para desarrollar roles estratégicos que le permitan fundir la distinción de seguridad en este escenario futuro.

Un primer role es el de enlace de negocio. Esto significa que el área de seguridad debe hablar y comprender cómo el negocio genera valor, para mirar en ese contexto, aquello que el negocio necesita para ser exitoso y cómo la protección de los activos de información hace la diferencia en el logro de las metas organizacionales.

Un segundo role es el de coordinador con terceras partes. En un mundo global y con claras tendencias hacia la tercerización se hace necesario que el encargado de la seguridad de la información comprenda y asegure los requisitos básicos que deben atender los proveedores de servicios, incluir dentro de sus panoramas de riesgos (los de los negocios) aquellos que se derivan de la relación con terceros y el manejo de la información de la empresa. Así las cosas, este ejecutivo, puede apalancar al negocio, siendo el puente de entendimiento de las posibles amenazas que implican una operación de seguridad de la información con terceras partes.

Finalmente un tercer role, es el de arquitecto de seguridad. Esta distinción le permite al responsable de la seguridad de la información establecer los controles de línea base de la operación, los estándares de cumplimiento y la articulación de las iniciativas técnicas de seguridad, que le brinden al negocio la confianza y tranquilidad que los flujos de información, se encuentran modelados alrededor del entendimiento de los riesgos y asegurados con tecnologías adecuadas.

Estos tres roles exigen de los encargados de la seguridad, repensar la misión y visión del negocio de seguridad, para hacer de la función misma, una vista sistémica de gobierno, riesgo y cumplimiento, que considerando y alineando la correcta y eficiente operación de la infraestructura de seguridad, sea capaz de responder con celeridad y prudencia cuando la magia de la inseguridad se haga presente.

En consecuencia con lo anterior, la estructura organizacional del área de seguridad de la información deberá articular perfiles profesionales orientados por la gestión de riesgos de seguridad de la información, con capacidad de entrenar y asesorar a las áreas de negocio en la valoración de sus riesgos, así como asegurar la correcta operación de los controles que se tengan implementados. Lo que en definitiva se entiende como un desarrollo consistente y formal de una cultura de seguridad de la información apalancada en el individuo, que participa en un proceso de negocio y soporta una meta organizacional.

Así las cosas, la seguridad de la información como función y facilitador de las estrategias de negocio, debe asegurar el despliegue de prácticas de protección de la información, como parte de la operación del negocio, de tal forma, que cada persona que participe conozca y comprenda los riesgos e impactos de un inadecuado tratamiento de la información; que experimente de manera real y concreta la consciencia de que la información es un activo y como tal exige de cada uno su mejor esfuerzo para asegurarla.

Por lo tanto, construir una función de seguridad robusta en una organización, debe ser una resultante del trabajo continuado y sistemático del entendimiento de los riesgos de la información tanto en los procesos de negocio y sus flujos de información, como del apoyo y comprensión de los mismos por parte de los profesionales de seguridad en el lenguaje de la industria. Mientras mayor sea la comprensión del negocio y sus amenazas frente a las vulnerabilidades o fallas de seguridad, mejor será el resultado de la gestión de confiable de la información, pues son ellos mismos los que hacen la diferencia al reconocerla como parte de su estrategia para apalancar la generación de valor.

Cuando la función de seguridad de la información, entiende con claridad cómo la organización genera el valor, produce los resultados y alcanza sus metas, puede afinar y afianzar su discurso como una forma de cuestionar las creencias, las prácticas y los artefactos empresariales que permitan transformar su cultura organizacional hacia una gestión segura de la información que reconozca, entienda y comprenda el valor de la misma en un contexto global e interconectado.

Referencias

* CIO Executive Board (2010) The future of Corporate IT. Disponible en: http://www.executiveboard.com/it/pdf/The_Future_of_Corporate_IT.pdf
* FORRESTER RESEARCH (2010) Security Organization 2.0: Building a robust security organization. Disponible en: http://eval.symantec.com/mktginfo/enterprise/articles/b-article_security_organization_20_building_a_robust_security_organization.en-us.pdf