¿Por qué seguridad de la información?

Cada día más organizaciones están implementando controles relacionados con la protección de su información crítica de negocio, incluyendo los datos personales, aunque esta tendencia no se debe por que los directivos de las organizaciones quieran apostar sobre este aspecto, si no a los actuales requerimientos legales que se vienen desarrollando a nivel global por parte de muchos de los gobiernos.

 

¿Para qué seguridad de la información?

Al momento de realizar la implementación de cualquier sistema dentro de una organización, las preguntas más comunes que surgen parte de quien aprueba los recursos para el proyecto suelen ser:

¿Cuánto nos cuesta?

¿En cuanto tiempo recuperamos la inversión?

¿Que beneficios nos trae?

Pero la pregunta que regularmente no hacen es:

 

¿Cual es el riesgo de no implementar esto?

Y para eso último se plantean y ejecutan este tipo de proyectos, para reducir el nivel de riesgo de incumplimientos, no sólo a nivel legal, que puede considerarse el más importante, sino también el riesgo reputacional, el riesgo contractual y el que se deriva de que cualquiera de estos riesgos se materialice, el riesgo económico.

 

¿Qué se necesita para iniciar?

Lo primordial, el compromiso de la alta gerencia de la organización, no solo con la asignación de recursos, también con el cumplimiento de las políticas, controles o procedimientos que se establezcan para el aseguramiento de la información.(creo que esta expresado en lo anterior)


¿Cuales son los recursos que se necesitan?

Una forma simple de responder a esto es:

  • Aprobación del plan de implementación por parte de la dirección.
  • Compromiso de la dirección para la asignación de recursos.
  • Consecución de recursos financieros, tecnológicos y humanos.

 

Listo, ya tengo todo lo que necesito para implementar.

Aquí empieza la parte más compleja de la implementación, por que si en la primera iteración del ciclo de mejora continua el compromiso de la dirección se reduce únicamente a la entrega de recursos y no “dan ejemplo” cumpliendo las políticas creadas y los procedimientos establecidos, esta fase del proyecto puede llevar incluso a la cancelación del mismo, debido a que no se lograran cumplir las metas establecidas para el SGSI y se perderían los recursos asignados.

Otra de las preocupaciones  en la fase de implementación, es que esta se  convierta en un ciclo permanente de  aplicación de controles,  creación de documentación, pero que no generan un valor agregado para mantener el nivel de riesgo de la organización en un nivel aceptable.

De aquí surge una pregunta:

 

 

¿Como hago que la dirección se comprometa?

La implementación de controles de seguridad basado en normas ISO, PCI/DSS, ISACA, etc., tienen una ventaja enorme sobre otro tipo de estándares para organizaciones, y es que está implementación no depende de lo que quieran o no quieran hacer los demás equipos de trabajo de la organización, entonces, lo mejor que se puede hacer, previo a la presentación del plan a la dirección, iniciar pruebas controladas de implementación en ambientes pequeños, para que junto al plan que se presenta a la dirección, ellos comprendan y asuman que la seguridad de la información de la organización no depende únicamente de un equipo de personas, sino de todos los integrantes de la organización, incluyendolos a ellos como altos directivos.

 

 

 

 

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like