sábado, 12 de septiembre de 2009

12 Recomendaciones para configurar su estrategia de seguridad de la información

Una vez más comentamos un informe de Forrester Research, que establece 12 recomendaciones para considerar dentro de la estrategia de seguridad de la información en 2009. Bien podemos o no estar de acuerdo con este documento, sin embargo desarrollaremos algunos comentarios alrededor del mismo, como una excusa académica y prácticas para validar lo que ha ocurrido hasta el momento en el desarrollo de la inseguridad de la información durante este año.


De acuerdo con el estudio referenciado existen posibilitadotes de negocios (Business Drivers), cambios tecnológicos y aspectos económicos que definen la estrategia de seguridad de la información en 2009. A continuación detallaremos algunos de ellos y sus impactos en la estrategia de seguridad de la información.


Dentro de posibilitadotes de negocio (PN) tenemos:

  • Enfréntese con la conectividad y los requerimientos de un ambiente móvil.
  • Láncese a conocer y desarrollar nuevos modelos de negocio, pero considere sus riesgos.
  • Asuma su papel como enlace con los negocios.
  • Haga la seguridad invisible a los negocios y valor para sus clientes


Como cambios tecnológicos (CT) el documento enumera:

  • Combatir del cibercrimen con personas, procesos y tecnología
  • Separar los hechos de la ficción con respecto a la virtualización
  • Acoja el Web 2.0 pero mantenga la privacidad
  • Tome la aproximación del ciclo de vida de la información para proteger los datos


Detalla los aspectos económicos (AE) como:

  • Invierta su presupuesto para impactar la línea base
  • Sea flexible con los proyectos de grandes inversiones
  • Adopte la estrategia de servicios manejados por terceros
  • Evite los “ajustes” relacionados con el apetito al riesgo


Si revisamos cada uno de los elementos propuestos por Forrester, podemos ver que para los habilitadores de negocio, el factor riesgo es la variable más importante que el gerente de seguridad de la información debe tener en cuenta. No se trata de tomar todos los riesgos para lograr la estrategia de negocio, sino incluir dentro del diseño de la estrategia de negocio, la valoración de los riesgos de la información y su flujo en el nuevo modelo propuesto. Con ello no sólo alcanzará su papel como enlace con las metas de negocio, sino que hará evidente el nivel de exposición de la información cuando se haga realidad la nueva estrategia para la empresa.


Cuando tomamos lo relativo a los cambios tecnológicos se advierte con claridad que el enfoque está hacia la tercerización y las nuevas tecnologías de desarrollo, los cuales establecen grandes oportunidades para las organizaciones, pero de igual forma, grandes riesgos si sólo se toman y se ponen en funcionamiento. En este sentido, es deber del gerente de seguridad de la información hace evidente los posibles riesgos que ambas estrategias sugieren para la información de la organización, no como un ente que limite el cambio o vaya en contra de la estrategia corporativa, sino como un animador de la reflexión que permita establecer los acuerdos tácticos requeridos para hacer realidad la estrategia corporativa con el nivel de riesgo que acepta la organización frente a la información y los datos, tanto propios como los de sus clientes.


Finalmente los aspectos económicos, confirman las dos tendencias identificadas tanto en los cambios tecnológicos como en los habilitadores de negocio. La advertencia en este punto es modere sus riesgos frente a las grandes inversiones en seguridad de la información y avance con firmeza en el fortalecimiento de la línea base de las prácticas de seguridad de la información. Si bien, es necesario mantener un balance entre las necesidades de negocio y los riesgos de la seguridad de la información, es clave soportar dicho balance en una fuerte cultura de cuidado de los activos de información, que no es otra cosa, que reconocer en la información la misión misma del área de seguridad de la información.


En razón a lo anterior, la gerencia de seguridad de la información deberá mantener una mentalidad de servicio, que no busque protagonismos en las funciones de negocio, sino la perfecta sinergia que agrega valor al proceso y a sus clientes. Así mismo, deberá promover una cultura de apoyo y educación, que promueva desde su propio ejemplo, las prácticas que desea desarrollar en la organización. Finalmente y no menos importante, la gerencia de la seguridad, deberá entender y traducir las prioridades del negocio, como su insumo base para hacer de la experiencia de la seguridad de la información una práctica natural de los procesos organizacionales y no una restricción que sólo busca entender de manera individual los riesgos de la información.

No hay comentarios:

Publicar un comentario