Dentro de este artículo:
La adopción de nuevos sistemas, sin duda, puede mejorar los procesos de una empresa. En un mundo globalizado, donde las innovaciones y ataques tecnológicos se encuentran a la orden del día, es importante prestar atención a cualquier detalle que pueda ocasionar violaciones a los sistemas de seguridad.
Recientemente, la seguridad de la información de reconocidas empresas internacionales ha sido vulnerada. Organizaciones vinculadas con sectores del entretenimiento; retail; banca y finanzas; tecnología y telecomunicaciones, han reportado robo y exposición de información sensible.
Estos descuidos en sus controles, en la mayoría de las ocasiones, han afectado o interrumpido la prestación de algunos de sus servicios, ocasionando pérdidas considerables.
Actualmente, las compañías están vinculando sus estrategias de negocio con las últimas tendencias e innovaciones en materia de tecnología. Esto hace que los activos de la información sean más vulnerables y por lo tanto es indispensable reforzar continuamente los programas de la seguridad de la información.
Governance Institute
El IT Governance Institute define la Gobernanza de la seguridad de la información como
“un subconjunto de la gobernanza empresarial que proporciona dirección estratégica, garantiza que se alcancen los objetivos, maneja riesgos y usa responsabilidad de recursos de la organización, y supervisa el éxito o fracaso del programa de seguridad empresarial”.
Definición de gobernanza de la seguridad de la información
En general, la gobernanza de la seguridad de la información requiere de una estructura organizacional, la asignación de roles y responsabilidades, así como de mediciones y tareas definidas; todo desarrollado estratégicamente y definido por la junta directiva y la gerencia ejecutiva.
Gobernanza estratégica de la seguridad de la información
Una gobernanza estratégica de la seguridad de la información es vital para que todas las organizaciones le aseguren a sus clientes, socios y empleados que están trabajando con una empresa segura.
Ya que los datos corporativos se vuelven más accesibles para los empleados a través de dispositivos móviles y la nube, es importante que las empresas mantengan actualizadas las prácticas de seguridad para garantizar que los empleados adecuados tengan acceso a esos datos. Y, por supuesto, para asegurarse de que los delincuente no tengan acceso a datos confidenciales.
Aunque la seguridad debe ser una preocupación para todos los equipos y empleados, el liderazgo es responsable de establecer y mantener una estructura para la gobernanza de la seguridad de la información. Independientemente de que sea la junta directiva, gerencia ejecutiva o un comité directivo — o todos estos — la gobernanza de la seguridad de la información requiere planificación estratégica y toma de decisiones.
Programa de seguridad de la información
Las empresas deben tener presente que mantener un programa de seguridad de la información representa un trabajo continuo. Para mantenerlo vigente y efectivo hay que alinear constantemente la estrategia al contexto organizacional de una manera periódica.
Por este motivo destacamos cinco características claves que debe poseer un programa de seguridad óptimo y actualizado:
- Alinearse al contexto organizacional: es vital considerar los riesgos, carencias, metas, estrategias de negocio y cualquier otro aspecto que requiera mejoramiento o soporte dentro de la organización. La mayoría de las iniciativas subsiguientes se fundamentan en esta alineación.
- Mecanismos de defensa robustos: controles que anulen o limiten el accionar de un ataque sobre los activos de información. Estos serán robustos a medida que proporcionen una protección efectiva y continua. Para garantizar tal protección, es conveniente realizar un diseño integral de los controles; considerando los requerimientos de protección y posibles escenarios de ataques.
- Capacidades efectivas de detección y monitoreo continuo: permiten descubrir anomalías y/o posibles ataques. Si complementamos los mecanismos de defensa con estos dos puntos, se puede reaccionar y contener cualquier afectación de manera oportuna.
- Procedimiento de respuesta ante incidentes: cuando los sistemas de detección muestran indicios precisos de un evento maligno, los equipos encargados de reaccionar necesitan de un plan de respuesta, que les proporcione control sobre estas situaciones de crisis. Dependiendo del incidente y del proceso de respuesta, la organización tiene grandes probabilidades de contener el daño y recuperarse ante un incidente.
- Verificar la efectividad de los mecanismos implementados: todas las implementaciones realizadas, incluyendo las previamente mencionadas, requieren de una verificación de sus funciones. Las pruebas sobre cada implementación son necesarias. Sin embargo, hacer un ejercicio de pruebas de penetración, que haga auditorías internas a las gestiones de seguridad y de TI, puede agregar mucho valor.
Conclusión
Una gobernanza de la seguridad de la información exitosa no llega de la noche a la mañana; es un proceso continuo de aprendizaje, revisión y adaptación. Aunque cada empresa puede tener sus necesidades específicas, asegurar los datos es una meta común para todas las organizaciones.
Las tecnologías emergentes y las amenazas informáticas seguirán evolucionando. Las filtraciones de datos y los incidentes de seguridad ocurrirán. En lugar de luchar con una infracción de la seguridad, las organizaciones deben poner una gobernanza de la seguridad de la información proactiva y estratégica al frente.
La meta de todas las empresas debe ser proveer seguridad de la información y reducir los impactos adversos y riesgos a un nivel aceptable.
Las amenazas y los incidentes ocurrirán, pero con un plan de gobernanza de la seguridad de la información implementado, fortalece la postura de seguridad de su organización mientras protege su valiosa información.
Contenido relacionado
LCP Yeni López León
CPC Jorge Gispert Uruñuela, MA LCP Daniel Antonio Gómez Gómez, CPC MA Hugo Alejandro González Anaya y Mtro. PCCAG Gilberto Horacio Topete Horta
