Actualmente, la Seguridad de la Información se ha vuelto esencial dentro de las estrategias de las empresas para que tengan continuidad de sus procesos. Pero, todavía tiene el desafío de conquistar un lugar en el board de las organizaciones
La Seguridad de la Información (SI), como actividad comercial, ciertamente ya ha recorrido un largo camino en la última década, compelida por el creciente uso de Internet y por la facilidad, tal vez se lee vulnerabilidad, con que las informaciones pueden ser divulgadas al público. Varios factores han contribuido a la madurez de la Seguridad de la Información, permitiendo que ella opere en gran estilo, alineada a los negocios y servicios dentro de las organizaciones, sea del sector público o privado. Sabemos además que en esa área no hay espacio para actuación de aficionados o para errores, ya que las consecuencias de sistemas inseguros son devastadoras para la imagen de la empresa y para sus sistemas financieros.
Desafíos de la Seguridad de la Información y el diálogo con el board
El desafío para los especialistas en seguridad es desarrollar un diálogo permanente con la junta de la empresa sobre la importancia de la seguridad de la información en el contexto de las metas organizacionales. Al final, colocar rejas en las ventanas después del robo es lo mismo que aprobar un presupuesto de Seguridad de la Información después de que su empresa fue invadida por un grupo de hackers o activistas de la información, por ejemplo. En los tiempos actuales, la información es el motor de la empresa global, luego, Seguridad de la Información es fundamental para la identificación, la gestión o incluso la mitigación de riesgos empresariales. Las necesidades urgentes de las empresas, catalizada por inmensos escándalos ocasionados por la filtración de información, dieron lugar a que el mercado se regulara y surgiera leyes y normas internacionales, como Sarbanes-Oxley (SOX) e ISO 17799, para dar lugar al tema las agendas del board y los principales ejecutivos de las organizaciones.
Necesidad diaria de seguridad de la información
Cada día más, los usuarios están despertando a la necesidad de ser y recibir seguridad en sus informaciones, haciendo que las organizaciones dirigidas al público refuercen su control en las políticas de privacidad. El imperativo corporativo para la Seguridad de la Información está ganando fuerza a medida que más empresas tercerizan sus operaciones y hacen de la movilidad su premisa para subsistencia. Es posible observar que las organizaciones más “eficaces” en el tema Seguridad de la Información tienden a demostrar tres características bien latentes: a)En primer lugar, ellas se mueven por resultados en lugar de las actividades – no money, no love; b)En segundo lugar, la credibilidad de la Seguridad de la Información se relaciona directamente con la cantidad de empresas que son “conscientes de sus riesgos”. Una evaluación realista de los riesgos proporciona inversiones en la medida correcta, nunca más allá de lo esperado – Seguridad de la Información es un trabajo de evangelización. Educar para proteger; c)Por último, están comprometidas con estándares independientes de evaluación y conformidad; en muchas organizaciones maduras, Seguridad de la Información opera independientemente de cualquier estructura de TI, reportando directamente al board de la compañía – Independencia e isonomía son imprescindibles a la Seguridad de la Información, especialmente cuando de auditorías internas.
Gestión de Riesgos
La mayoría de las organizaciones se reestructuran, garantizando a la Seguridad de la Información la responsabilidad no sólo por la seguridad corporativa digital, sino también a las amenazas físicas y problemas relacionados con el fraude de la marca. Obviamente, que la Seguridad de la Información no debe tener en manos un plan para responder a incidentes y amenazas ordinarias, pero debe estar preparada para tomar medidas a largo plazo, proactivamente, blindando a la empresa contra amenazas futuras, a fin de que ella saque el máximo el beneficio de sus negocios, con bajos riesgos de interrupciones. En última instancia, la Seguridad de la Información corporativa debe ser efectivamente integrada y alineada con la estrategia de la empresa, sus objetivos y, principalmente, al negocio de la empresa. Para que la Seguridad de la Información obtenga su asiento en el board de la empresa, ante todo, debe hablar la lengua del negocio de forma persuasiva. No sólo demostrar, pero convencer al Board acerca de todos los dividendos tangibles que una estrategia fuerte de seguridad traerá a su entorno ya sus negocios.
Aluisio Andrade
