El crecimiento en el uso de la información ha llevado a que los temas relacionados con su seguridad cobren gran relevancia dentro de las organizaciones, llevándola a ser parte de todo el análisis de riesgos del negocio. Lo más complicado al momento de integrar los temas de seguridad de la información es que, generalmente, no están enfocados en los objetivos del negocio y sus intereses. Para que un modelo esté en los mismos términos de los objetivos del negocio, debería tener en cuenta tres áreas principales: los lineamientos de seguridad, la gestión de la seguridad y los grupos de interés.
Lo primero que es importante tener en cuenta son los lineamientos que se van seguir. Es decir, considerar las leyes o regulaciones que aplican a la realidad de la compañía y que deben cumplirse dependiendo de las normatividades vigentes en los países donde se desarrolla la actividad de la empresa. Por otra parte alinear la estrategia de seguridad con los objetivos de negocio, lo cual se ve reflejado en garantizar la protección de los sistemas y la información usada en los procesos de negocio, así por ejemplo si uno de los objetivos del negocio es garantizar un servicio en línea 24/7, el modelo de seguridad debe garantizar que los sistemas estén funcionando, libres de malware que puedan interrumpir o poner lenta la operación, además de protegerlos de ataques externos. Y finalmente un análisis de riesgos que permita conocer las principales vulnerabilidades que pueden afectar el negocio.
Todos estos lineamientos, apuntan a que el sistema de gestión que se implementa garantice en la información tres características: la integridad, la disponibilidad y la confidencialidad. Estas tres características son fundamentales, y podrían complementarse con otras tres, para formar lo que se conoce cómo el Parkerian Hexad: el control de la información que se refiere a que a pesar que la información se pueda perder esta no sea revelada, la verificación del origen de los datos y la utilidad de los datos. El análisis de la seguridad de la información agregando estas tres características hacen de la gestión un modelo más específico, y puede ser el avance hacía un mayor nivel de madurez en la gestión de la seguridad de la información.
La gestión de seguridad, debe desarrollarse a partir de estrategias, procesos y métricas. La estrategia formada por políticas, estándares y guías son los lineamientos de lo que la organización va a cumplir de acuerdo a los lineamientos de seguridad definidos y adoptados; esta estrategia debe llevar a definir controles de seguridad viables para ser implementados por la organización. Los procesos deben reflejar cómo se implementa lo que fue definido en la estrategia, por lo tanto deben reflejar de qué forma interviene el recurso humano y la tecnología para cumplir con los controles establecidos. Finalmente las métricas van a permitir la retroalimentación de todo el sistema, y van a permitir realizar ajustes sobre la estrategia y los procesos de tal forma que se cumpla con lo definido en los lineamientos.
La última de las áreas que debe tenerse en cuenta son los grupos de interés (stakeholders) involucrados en la gestión de la seguridad de la información. Todos deben estar al tanto de los resultados, según las métricas definidas, de tal forma que quede claro cómo la gestión de la seguridad aporta a los objetivos del negocio. Esta es quizás el área que más necesite cuidado, pues es la forma de evidenciar el cumplimiento de las expectativas que tiene la organización con la gestión de la seguridad.
Finalmente, la gestión de la seguridad debe existir para soportar las operaciones del negocio y no debe convertirse en parte de los objetivos del negocio. En otras palabras, una empresa a partir de la definición de su misión y su visión, debe establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y como parte de esta estrategia definir el sistema que garantice la seguridad de la información que permita alcanzarlos.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
