|
EL "GOBERNADOR" DE LA SEGURIDAD DE LA INFORMACIÓN: ¿UNA NUEVA CARA EN EL EQUIPO DIRECTIVO? 
| Miguel García Menéndez
Miembro de la Junta Directiva de ISACA Capítulo de Madrid y
gerente de Gobierno y Procesos de TI de Atos Consulting |
Parece haber pasado una eternidad desde que el presidente de los Estados Unidos de América, William J. Clinton, pronunciara estas palabras: "… No podemos obligar a alcanzar nuestras metas a través de regulaciones legales. Cada sector [de la industria] debe decidir por sí mismo qué prácticas, procedimientos y normas le resultan necesarios para proteger sus sistemas clave. No obstante, como parte de esta colaboración [entre el sector público y el sector privado], el Gobierno Federal permanece preparado para ayudar …". Fue durante su discurso, pronunciado con motivo del encuentro sobre ciber-seguridad, mantenido en la Casa Blanca, en febrero de 2000; encuentro que supondría el pistoletazo de salida para el Proyecto "Garantizar las Infraestructuras Críticas", con el que se lanzaría una llamada de atención hacia la adopción de marcos de gobierno corporativo, y en cuyo ámbito se acuñaría el concepto de gobernanza de la seguridad de la información, dirigido a los miembros de los consejos de administración de la América corporativa.
Hoy día, a pocos de estos consejeros se les escapará el protagonismo que ha adquirido la información, y las tecnologías que la sustentan, en el logro de los objetivos corporativos. Paralelamente, la necesidad de mitigar los riesgos asociados al uso de tales tecnologías también ha ido en aumento. Ello ha conducido a una, a su vez, creciente conciencia de que la gobernanza ha de ser extendida a la seguridad de la información, lo que resulta más evidente si se tiene en consideración el actual panorama normativo.
Por tanto, la protección de los activos de información se considera, actualmente, una parte integrante del gobierno corporativo; esto es, se considera un medio de apoyar, reforzar y preservar la estrategia y objetivos de la organización.
Este escenario -con una creciente demanda de seguridad y una mayor sensibilización hacia la importancia de contar con buenas prácticas y modelos- abre un nuevo camino hacia el desarrollo y "despliegue" de la gobernanza de la seguridad de la información.
Como parte de dicho "despliegue", y dado que la dirección y el control (gobierno) de la seguridad de la información ha comenzado a verse como una responsabilidad de la alta dirección de la organización, en su conjunto, surge un nuevo actor a nivel ejecutivo: el Gobernador Corporativo de la Seguridad de la Información (del inglés, Chief [InfoSec] Governance Officer -CSGO-).
La aparición de este puesto dentro de la organización añadirá valor a la misma, en tanto que constituirá la demostración palpable del compromiso de aquella con la excelencia en las prácticas de gobierno de la seguridad de la información.
Orientación al negocio  En el nuevo contexto, será misión del CSGO proporcionar el debido apoyo al Consejo de Administración y al resto de la alta dirección, a fin de maximizar la contribución hecha por las iniciativas de seguridad de la información al éxito de la organización.
Ese nuevo "gobernador" deberá, asimismo, armonizar el valor de los modelos, marcos de referencia y metodologías de seguridad, e impulsar y dar soporte al establecimiento de buenas prácticas para el gobierno de la seguridad de la información a lo largo y ancho de la organización.
El perfil del CSGO
Entre las responsabilidades y, por tanto, habilidades, de los individuos a cargo del gobierno de la seguridad de la información deberían contarse las siguientes:• deberían ser capaces de garantizar que las iniciativas de seguridad de la información habiliten y apoyen el logro de los objetivos del negocio mediante la sincronización de los planes estratéticos de seguridad con los planes estratégicos del negocio y mediante la integración de los servicios prestados en el ámbito de la seguridad de la información con el resto de operaciones de la organización para optimizar sus procesos de negocio, a través del desarrollo de una estrategia corporativa de seguridad de la información;
• deberían, asimismo, responsabilizarse de garantizar que tanto las áreas de seguridad de la información, como las propias del negocio, cumplen con sus responsabilidades en relación a la creación y preservación de valor: las inversiones en seguridad de la información producen los beneficios esperados para el negocio y, al mismo tiempo, preservan los generados del uso de las TIC, mediante la puesta en marcha de un proceso sistemático de gobierno del valor;
• indudablemente, los gobernadores de la seguridad de la información, deberían garantizar que se habilitan los marcos de protección apropiados y que se ajustan a las normativas relevantes para identificar, evaluar, mitigar, dirigir, comunicar y supervisar los riesgos para el negocio asociados al uso de las TIC, dentro del entorno de gobierno corporativo general, mediante el desarrollo, mejora y mantenimiento de un proceso de gobierno de los riesgos corporativos continuado y analítico;
• los CSGO deberían encargarse de garantizar que la función de seguridad de la información dispone de recursos suficientes, competentes y capaces para ejecutar los objetivos estratégicos actuales y futuros y para responder a las demandas del negocio, a través del desarrollo de procesos sistemáticos y continuos de planificación, gestión y evaluación de recursos; y,
• finalmente, deberían garantizar que se establecen, en colaboración con los grupos de interés clave, objetivos medibles relacionados con la protección de la información requerida por el negocio y que dichos objetivos -materializados en indicadores clave de riesgo (Key Risk Indicator -KRI-)- son supervisados y evaluados, a través de procesos contínuos de gestión y evaluación del rendimiento. 
| Se trata, en suma, de capacidades y actividades relacionadas, directamente, con la definición, puesta en marcha y mantenimiento de un marco de gobierno de la seguridad de la información -como Risk IT, actualmente en desarrollo por parte de ISACA/ITGI-, dotado de liderazgo, estructuras organizativas y procesos para: garantizar la sincronía con el marco de gobierno corporativo global existente; controlar la información del negocio y el entorno de seguridad de la información a través de la adopción de buenas prácticas; y asegurar la conformidad con los requisitos normativos, tanto internos, como externos, a que esté sujeta la organización. |
Nuevo paradigma: "las 4 A"
El nuevo enfoque holístico dado por una estrategia de gobernanza de la seguridad de la información, debería ir acompañado, asimismo, de una evolución de la aproximación tradicional C-I-A ([C]onfidencialidad, [I]ntegridad, Disponibilid[a]d), en línea con las últimas tendencias relativas a los riesgos corporativos derivados del uso de las TIC. Estos nuevos riesgos conforman cuatro categorías, el llamado "Paradigma de las 4 A":
X Disponibilid[a]d (Availability): Mantener los sistemas -y sus procesos de negocio asociados- en ejecución, y recuperarlos/restablecerlos cuando se produzcan interrupciones (cualesquiera que sea la gravedad de éstas).
X [A]ccesibilidad (Accesibility): Garantizar un acceso apropiado a los datos y a los sistemas de forma que la gente "adecuada" disponga del acceso que necesite y la gente "inadecuada" no.
X Ex[a]ctitud (Accuracy): Proporcionar la información correcta, completa y en tiempo, que cumpla con las necesidades de los diferentes grupos de interés (la Dirección, el personal, los clientes, los proveedores y los organismos reguladores).
X [A]gilidad (Agility): Disponer de la capacidad de cambiar -desde el punto de vista de las TI- a una velocidad y a unos costes controlados (por ejemplo, tras la adquisición de otra compañía, tras finalizar un rediseño importante de los procesos de negocio o de cara a lanzar nuevos servicios). Es decir, caerá en esta categoría de riesgo todo aquello que limite las opciones de acción de la organización.
Una reflexión final Plantéese, por último, esta cuestión: ¿constituye, realmente, el perfil descrito, el correspondiente al de un nuevo miembro del equipo directivo (CxO)? O, acaso, ¿no es sino una definición del camino que habrían de seguir, de forma natural, los actuales responsables de la Seguridad de la Información de nuestras organizaciones?
Probablemente, sea esta segunda pregunta la que se ajuste más adecuadamente a la situación actual. En el ámbito TI, aquellos encargados de dirigir y gestionar los aspectos relativos a la seguridad de la información deberían aprender y adquirir las competencias y habilidades necesarias para asesorar a sus respectivas organizaciones sobre el modo de poner en marcha y mantener un marco de gobernanza de la seguridad de la información que permita a los Consejos de Administración y a los equipos de alta dirección cerrar las brechas entre los objetivos de su negocio, los objetivos de su TI y los procesos tecnológicos puestos en marcha y, al mismo tiempo, comprender cómo abordar los emergentes riesgos para el negocio derivados de la creciente adopción de las TIC. Ello permitiría a estos profesionales ampliar su visión dentro de una perspectiva corporativa -holística- de gestión del riesgo (Enterprise Risk Management -ERM-), pasando de una seguridad de las tecnologías de la información a una mitigación del riesgo corporativo.
|
