Skip to content

La seguridad de la Información: ¿Objetivo de los procesos de negocio?

24/08/2012

En los momentos actuales, la complejidad de las organizaciones ha crecido mucho, debido en gran parte a la expansión a nuevos mercados y por consiguiente la aparición de nuevos marcos regulatorios  que originan un aumento de la complejidad en el tratamiento y seguridad de la información.

Lo más complicado en el momento de integrar los temas de seguridad de la información es que generalmente ésta no está contemplada como parte de los objetivos del negocio (estrategia)  y, por consiguiente, si se llega a implementar se suele hacer desde la perspectiva de los sistemas informáticos de la compañía, aplicándose una visión parcial, cuando debería abordarse teniendo en cuenta una visión global y transversal del negocio. La cuestión es:

¿Cuánta información sensible se maneja  fuera de los sistemas centrales de información de una compañía….?

Si reflexionamos sobre nuestras compañías, veremos que la respuesta a la pregunta puede llegar, como poco a preocuparnos. Pongamos un ejemplo: pensemos en una organización que se encarge de certificar a ciertas empresas en algun sistema de calidad. Estas empresas aportan normalmente, un volúmen de información importante y crítica para ellas a esta compañía de certificación. En algunos casos, esta información puede ser aportada incluso en formato papel. Pensad ahora en vuestras compañías casos parecidos, ¿creeís que toda la información, está protegida en los sistemas de información?¿Que pasa con la información en papel?, o más importante la información en esos famosos ficheros excel, word, etc, que el día a día hace que se vayan generando.

El crecimiento en el uso de la información debería conducirnos a una sensibilidad mayor en lo relativo a la seguridad en nuestras organizaciones,  llevándola a ser parte de la Estrategia de la compañía y considerándola como parte del  análisis de riesgos del negocio, en otras palabras: una organización a partir de la definición de su misión y su visión, debe establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y como parte de esta estrategia definir el sistema que garantice la seguridad de la información que tenga que manejar para alcanzarlos (propia o de terceros).

Consideramos de especial relevancia tener en cuenta varios puntos:

En primer lugar los alineamientos que se van seguir, a nivel legislativo, es decir, considerar las leyes o regulaciones que aplican a la realidad de la compañía y que deben cumplirse dependiendo de las normatividades vigentes en los países donde se desarrolla la actividad de la empresa.

En segundo lugar,  alinear la estrategia de seguridad con los objetivos de negocio, de manera que permita garantizar la protección de la información usada en cualquiera de los procesos de negocio y a través de cualquiera de los mecanismos tecnológicos o humanos que la traten.

Finalmente planificar un análisis de riesgos que permita conocer las principales vulnerabilidades que pueden afectar el negocio y establecer un plan de contingencia.

Todos estos alineamientos, apuntan a que el sistema de gestión de seguridad de la información que se implementa garantice al menos en la información, tres características fundamentales: la integridad, la disponibilidad y la confidencialidad. Si además, este sistema se complementa con  otras tres características: el control de la información, es decir, a pesar quela información se pueda perder esta no sea revelada; la verificación del origen de los datos y la utilidad de los datos, convertiremos la gestión en un modelo más específico, que  puede ser el avance hacía un mayor nivel de madurez en la gestión de la seguridad de la información y por consiguiente del cumplimiento de los objetivos de la Empresa.

La gestión de seguridad, debería desarrollarse a partir de estrategias, procesos y métricas, dónde:

  • La estrategia formada por políticas, estándares y guías es la base de lo que la organización se compromete a cumplir de acuerdo a los alineamientos de seguridad definidos y adoptados.
  • Los procesos darán respuesta a la estrategíca a través de la descripción de los modos operativos para llevarlas a cabo, describiendo los medios, recursos y personas necesarias para llevarla a cabo, así como todas las acciones o medidas necesarias para garantizar el cumplimiento de sus objetivos, entre los que se deben encontrar la seguridad de la información entre otros
  • Las métricas, son los mecanismos de medida que nos permitirán identificar posibles ineficiencias o vulnerabilidades.

La forma que las organizaciones tienen de gestionar el grado de cumplimiento de la estrategia es a través de la definición de controles viables para ser implementados por la organización y embebidos como parte de los procesos. Aquí es donde suele haber un punto de ruptura. Tal y como comentaba al principio, normalmente las organizaciones suelen emprender proyectos de seguridad de la información ajenos a la Estrategia y Objetivos estratégicos de la compañía, surgiendo muchas veces la necesidad de los propios departamentos de Tecnologías de la información, como consecuencia de preservar la información de ataques externos e incluso de fugas internas. Esto origina que la gestión de la seguridad establezca procesos y procedimientos con controles en ocasiones no alineados con la estrategia, o no completos, ya que como también comentábamos, en las organizaciones existe gran volumen de información no controlado o no gestionada por los sistemas de información, originando ciertas inviabilidades para su cumplimiento. De ahí, la importancia de considerar estratégico el alineamiento de la Estrategia- operativa – personas- tecnología y establecer sobre este alineamiento los controles necesarios y viables.

Por consiguiente es imprescindible que las organizaciones definan su Estrategia teniendo en cuenta en la misma como objetivo estratégico la seguridad de la información en su sentido más amplio y transversal, para  acto seguido definir sus procesos con esta visión. Son los procesos los que deben reflejar cómo se implementa lo que fue definido en la estrategia, por lo tanto deben reflejar de qué forma interviene el recurso humano, la información y la tecnología y establecer sobre ellos los controles a realizar.

Una vez, la compañía ha establecido los procesos y sus controles, quedaría el paso final, consistente en el establecimiento de métricas, las cuales permitirán por un lado, la retroalimentación de todo el sistema, y por otro identificar y realizar ajustes sobre la estrategia y los procesos de tal forma que se cumpla con lo definido en los alineamientos.

Llegado aquí, consideramos fundamental tener en cuenta a las personas y los grupos de interés involucrados en la gestión de la seguridad de la información. Todos deben estar al tanto de los resultados, según las métricas definidas, de tal forma que quede claro cómo la gestión de la seguridad aporta y garantiza los objetivos del negocio.

En el punto en el que nos encontramos  surge la siguiente cuestión:

¿cómo conseguimos unos grupos de interés involucrados con estos mecanismos que sean proactivos y no reactivos, para que las organizaciones reaccionen de manera eficiente, eficaz y ágil, garantizando en todo momento la seguridad de la información…?

La pregunta no es sencilla de contestar,”Se podría decir que la automatización de los procesos de la compañía, sería lo optimo”. Pero, desafortunadamente, muchas compañías llegan al alineamiento de la estrategía y los procesos pero en la fase de definición, gestión y control manual, haciendo, por consiguiente, el sistema de control mucho más complejo, costoso y menos fiable, ya que en muchos casos, tendremos que ir a buscar cada cierto tiempo, información en diversas fuentes, a través de complejos sistemas de BI o Datawarehouse, analizarla para obtener un valor o conclusión y después decidir. En este momento quizás, la decisión ya no tenga mucho sentido, el riesgo ya se produjo y originó el daño no deseado. Por el contrario, consideramos que para conseguir esos objetivos es necesario dar un paso más y llegar al nivel de automatización de los procesos, por ejemplo, a través de sistemas de BPM (Business Process Management), estos se pueden implementar para que realicen los controles de la información automáticamente y a través de reglas de negocio estén evaluando los valores de los mismos contra la métrica establecida en tiempo real pudiendo desencadenar de manera automática nuevos procesos, procedimientos o alarmas también en tiempo real, ganando en fiabilidad, control, costes, eficiencia y agilidad. Sin olvidar, otro beneficio muy importante para las organizaciones, pasar de empresas enfocadas a tratamiento de información en papel, a empresas gestionadas por sistemas de gestión informáticos

Pero aunque reconocemos que la automatización de los procesos sería la solución ideal, también es cierto que existen barreras y dificultades para su consecución, sustentadas principalmente en la propia decisión de gestionar la empresa a través de la implementación y automatización de la estrategia y sus procesos ya que esto requiere, entre otras muchas cosas:

  • Convicción por parte de los líderes de la compañía,
  • Cultura de trabajo y gestión a través de un modelo más transversal e
  • Inversión en tecnología y formación,

hechos que a veces no son fáciles de ver dentro de las organizaciones.

Juan Emilio Alvarez
Director Gerente
Albatian Consulting

Anuncios

From → Artículos

Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: