La protección de la información y sus activos asociados es fundamental para la competitividad y la sostenibilidad de las organizaciones actuales. Por ello, es preciso enfocar la seguridad de la información adecuadamente. Pero no es un camino de vía única. Los profesionales en el área sostienen que ese enfoque también puede dirigir la seguridad de la información hacia el cumplimiento y el control interno, haciendo de la gestión un asunto de gobierno corporativo.
¿Cómo enfocar la seguridad de la información adecuadamente? Tres enfoques, tres vías. Analicemos cada una de ellas y las implicaciones que puede tener para el alcance del objetivo final, que no es otro que garantizar la seguridad de la información.
Un objetivo clave del gobierno corporativo es garantizar que la organización tenga un equilibrio adecuado entre el RIESGO y la RECOMPENSA por adoptar una adecuada estrategia de negocios. Este es el punto clave a considerar a la hora de examinar estas tres vías para enfocar la seguridad de la información:
1. Enfoque en la protección de los activos de información.
Este es el enfoque natural, que se basa en cuidar físicamente algo que apreciamos y valoramos. Para ello, se identifican los activos valiosos para la seguridad de la información y se preservan construyendo a su alrededor muros, contratando vigilantes, instalando alarmas…
Por ser un enfoque natural y obvio, es además tradicional. Son muchos los profesionales en el área de seguridad que han decidido enfocar la seguridad de la información en la implementación de antivirus, sistemas de detección, firewalls, entre otros.
Es un enfoque que ha funcionado bien. Pero el mundo ha cambiado. Ahora tenemos computación en la nube, dispositivos móviles, puertas traseras, hackers… Definir el perímetro de seguridad hoy es muy complejo, porque además a veces el peligro está dentro.
Si pensamos en una respuesta para la pregunta inicial, ¿hacia dónde enfocar la seguridad de la información? podríamos concluir, desde el punto de vista de ISO 27001, con que se requiere una acertada combinación de los tres enfoques para cumplir realmente con el objetivo establecido.
2. Enfoque en el cumplimiento
La protección y la confidencialidad de la información son hoy temas que preocupan a los gobiernos, hasta tal punto que se presenta una explosión de leyes, regulaciones y normas que representan nuevas obligaciones de cumplimiento para las organizaciones.
Surge entonces el enfoque en el cumplimiento para la seguridad de la información, que se evidencia en la redacción de políticas y la implementación de procedimientos encaminados a la reducción de incidentes y la seguridad de los procesos, siempre pensando en el cumplimiento de las normas.
¿Serán las políticas y procedimientos agentes de cambio en la reducción de riesgos y seguridad en los procesos? Desde luego que SI!, es mandatorio documentarlos y actualizarlos siempre.
3. Enfoque en el control interno como parte del gobierno corporativo
Es un enfoque especialmente habitual en una organización de gran tamaño en donde el objetivo principal es reducir el riesgo, asignando responsabilidades y definiendo quién toma las decisiones. Se trata de controlar en todo momento los procesos y quién lleva a cabo cada tarea, alineando la seguridad de la información con la dirección estratégica.
Por supuesto, el asunto requiere considerar el cumplimiento como factor esencial, pero no siempre se hace. Por ello, puede presentar algunos problemas en la comunicación o en la ausencia de una política unificada sobre seguridad de la información, así como dificultades en la adopción de normas corporativas.
Si pensamos en una respuesta para la pregunta inicial, ¿hacia dónde enfocar la seguridad de la información? podríamos concluir, desde el punto de vista de ISO 27001, con que se requiere una acertada combinación de los tres enfoques para cumplir realmente con el objetivo establecido.
En este Post se habla de:
Control de Procesos y Reducción de Riesgos de Seguridad de la Información
Enfoque de los Activos de Información
Enfoque de Cumplimiento para Seguridad de la Información
Enforque de Control interno como parte del Gobierno Corporativo
Temas relacionados:
Sistema de Gestión de Seguridad de la Información.
Gestión de Riesgos y Vulnerabilidades
Normatividad y Cultura de Seguridad de la Información
ISO27001
#SGSI, #Riesgos, #Seguridaddelainformacion
¿A qué problemáticas te enfrentas? ¿Como te ayudo?
MI PERFIL EN LINKEDIN:
https://www.linkedin.com/in/marco-antonio-lópez-lozada-74a40619/