¿Acompañando al Negocio?
Muchas veces leí acerca de la importancia de alinear la seguridad con el negocio, los objetivos de TI a los objetivos Corporativos, etc.
En principio pareciera algo fácil, pero en muchas ocasiones es muy difícil encontrar compañías en lo que esto se logre eficientemente.
¿Por donde podríamos empezar? Quizás por el organigrama, o mejor dicho la ubicación del área de seguridad dentro de la Organización. Si bien las buenas prácticas indican que debería ser un área de staff o principalmente debería estar fuera de sistemas de información, ¿donde la encontramos generalmente? En sistemas de información. En este lugar se presenta uno de los principales conflictos, dado que el Director de TI coordina al Responsable de Seguridad, el Director de TI está principalmente enfocado en la disponibilidad de los servicios, mientras que el Responsable de Seguridad tiene en cuenta la integridad, confidencialidad y también la disponibilidad. Entonces, ¿quién gana generalmente esta batalla? Si, TI.
Ahora bien, si generalmente Seguridad de la Información se encuentra dentro de TI, ¿es factible que podamos acompañar al Negocio en forma objetiva e independiente? ¿Cómo podríamos definir un plan eficiente cuando el presupuesto de seguridad es un % del de TI?
No hay recetas en este tema, y todas las organizaciones son distintas, generalmente las regulaciones son las que impulsan los temas de seguridad, cuando en realidad debería ser el propio negocio quien genere la necesidad, dado que debería el negocio requerir un sistema de gestión, que a través de controles genere la transparencia de las operaciones y garantice la continuidad de los servicios y por consiguiente la continuidad del negocio.
Quizás esto último sea el verdadero problema y el motivo por el cual "al que sabe de sistemas" le piden que vea los temas de seguridad. "Porque hay que tener un responsable de seguridad, me lo piden las normativas".
En fín, lo que está demostrado es que tanto TI como la Seguridad deberían brindarse como un servicio al negocio para acompañar las operaciones y colaborar efectivamente en el cumplimiento de los objetivos estratégicos. TI debería identificar las necesidades tecnológicas del negocio y Seguridad debería definir los lineamientos para que estas nuevas tecnologías o servicios garanticen el nivel de seguridad requerido por la organización.
Los procesos de gestión de cambios e incidentes deberían alimentar estos planes y todo esto debería formar parte de un sistema de gestión de TI y Seguridad, cuyos indicadores permitan identificar las mejoras oportunas que alimenten permanentemente el sistema.
Hay mucho por recorrer, pero a diario se percibe algún avance en cuanto a la importancia que se le está dando a la seguridad y a la óptica de servicio dentro de las organizaciones. Los estándares, buenas prácticas y regulaciones están ayudando mucho para que lo que debería ser, resulte más frecuente.
Fuente: SecureTech
En principio pareciera algo fácil, pero en muchas ocasiones es muy difícil encontrar compañías en lo que esto se logre eficientemente.
¿Por donde podríamos empezar? Quizás por el organigrama, o mejor dicho la ubicación del área de seguridad dentro de la Organización. Si bien las buenas prácticas indican que debería ser un área de staff o principalmente debería estar fuera de sistemas de información, ¿donde la encontramos generalmente? En sistemas de información. En este lugar se presenta uno de los principales conflictos, dado que el Director de TI coordina al Responsable de Seguridad, el Director de TI está principalmente enfocado en la disponibilidad de los servicios, mientras que el Responsable de Seguridad tiene en cuenta la integridad, confidencialidad y también la disponibilidad. Entonces, ¿quién gana generalmente esta batalla? Si, TI.
Ahora bien, si generalmente Seguridad de la Información se encuentra dentro de TI, ¿es factible que podamos acompañar al Negocio en forma objetiva e independiente? ¿Cómo podríamos definir un plan eficiente cuando el presupuesto de seguridad es un % del de TI?
No hay recetas en este tema, y todas las organizaciones son distintas, generalmente las regulaciones son las que impulsan los temas de seguridad, cuando en realidad debería ser el propio negocio quien genere la necesidad, dado que debería el negocio requerir un sistema de gestión, que a través de controles genere la transparencia de las operaciones y garantice la continuidad de los servicios y por consiguiente la continuidad del negocio.
Quizás esto último sea el verdadero problema y el motivo por el cual "al que sabe de sistemas" le piden que vea los temas de seguridad. "Porque hay que tener un responsable de seguridad, me lo piden las normativas".
En fín, lo que está demostrado es que tanto TI como la Seguridad deberían brindarse como un servicio al negocio para acompañar las operaciones y colaborar efectivamente en el cumplimiento de los objetivos estratégicos. TI debería identificar las necesidades tecnológicas del negocio y Seguridad debería definir los lineamientos para que estas nuevas tecnologías o servicios garanticen el nivel de seguridad requerido por la organización.
Los procesos de gestión de cambios e incidentes deberían alimentar estos planes y todo esto debería formar parte de un sistema de gestión de TI y Seguridad, cuyos indicadores permitan identificar las mejoras oportunas que alimenten permanentemente el sistema.
Hay mucho por recorrer, pero a diario se percibe algún avance en cuanto a la importancia que se le está dando a la seguridad y a la óptica de servicio dentro de las organizaciones. Los estándares, buenas prácticas y regulaciones están ayudando mucho para que lo que debería ser, resulte más frecuente.
Fuente: SecureTech
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!