REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

¿Dónde colocamos al área de seguridad de la información?

La asignación de recursos para crear un nuevo cargo o área que sea responsable de la gestión de la seguridad de la información es un reto que implica demostrar que la seguridad no es un gasto, por el contrario, es una inversión que genera valor al negocio, controla y previene diversos tipos de riesgos. También se requiere utilizar otros argumentos convincentes que permitan lograr el apoyo y compromiso de la dirección. Sin embargo, la historia no termina ahí, uno de los temas que la mayor parte de las empresas pasan de forma desapercibida es definir dónde estará ubicado este nuevo cargo o área dentro del organigrama o estructura de la organización.

Una visión estratégica

A partir de experiencias propias y vivencias de algunos colegas, la imagen y percepción del personal del área de seguridad, o en general del área, puede impactar directamente la labor a realizar. Esto se debe a diversos factores: el más significativo de ellos es la visión como un área técnica enfocada a temas de tecnología, la cual, con el paso de los años, se ha ido cambiando para buscar un rol más estratégico y de apoyo en la toma de decisiones, por encima de la definición de reglas de firewall y gestión de antivirus, entre otras actividades.

 

Obtener este rol estratégico toma tiempo, además se basa en la generación de indicadores o métricas (relacionados con la gestión) que apalanquen las actividades del negocio, un ejemplo de esto puede ser la aparición y seguimiento de proyectos o actividades de seguridad de la información en el Balanced Scorecard (Cuadro de Mando Integral) o dentro de la planeación estratégica de la organización, de esta manera se logra trascender aquel estigma del área que da permisos, autoriza, detiene proyectos, etc., cambiando esa imagen y permitiendo ser un actor importante en la toma de decisiones en la organización, con ese rol de consejero o asesor que se mencionó al inicio.

Los esquemas tradicionales

Ahora bien, retomando la idea inicial, con respecto a la ubicación del área de seguridad de la información o del personal dedicado a estas funciones, hay varias opciones que a continuación se analizan de manera detallada con sus pros y contras.

Al interior de tecnología

Esta posición es una de las más usuales y, en realidad, una de las más complejas de tratar. Aunque se trabaja de la mano con el personal responsable de las tecnologías de información de la organización, pasa directamente a ser parte de este equipo de trabajo, de tal manera que es común enfrentarse a situaciones en las que se presentan conflictos de intereses, un ejemplo de esto puede ser cuando se realiza un análisis de vulnerabilidades o pruebas de intrusión a la infraestructura tecnológica y los resultados obtenidos no son favorables para la imagen del área, por lo que será necesario ocultar información o presentarla de otra forma a la dirección, restándole importancia a los hallazgos identificados. Obviamente, esta situación se soluciona al buscar cómo proteger la imagen de la función del personal del área ante la dirección, esta situación resulta en ocasiones común.

Sin embargo, un punto a favor de esta ubicación es el conocimiento y participación activa dentro de las actividades que realiza el área, pudiendo así implementar controles y estrategias de seguridad de la información desde la fuente, lo que puede reducir las debilidades o fallos de la seguridad de tecnologías y, a final de cuentas llevar a entornos productivos. Un punto final y que resulta decisivo, consiste en que, bajo esta posición dentro de la organización, la percepción de la seguridad de la información se orienta a lo técnico y se presenta la situación mencionada hace algunos párrafos, donde no se ve la labor como se requiere que sea percibida.

Al interior de auditoría

Un segundo caso o situación, es la existencia del área de seguridad de la información o ubicación del personal responsable de ésta al interior del área de auditoría. Bajo este esquema se cuenta con una percepción orientada al cumplimiento, en algunos casos, también policiva, lo cual es bueno en la medida en que se propongan y entran en vigor políticas, procedimientos y otras medidas necesarias, sin embargo, también hay conflictos de intereses en juego, dado que esta área usualmente es la responsable de validar que el resto de la organización cumpla con las reglas y normativas establecidas como marco interno de comportamiento o lineamientos. Por consiguiente, desde esta posición no sería posible esperar que el área de seguridad implemente proyectos e iniciativas, dado que cae en el rol de juez y parte, contra uno de los principios de la auditoría y del control interno.

Al interior de la unidad de riesgos

Las organizaciones que cuentan con un área establecida para la gestión de riesgos y el manejo del ciclo de vida de estos, tienen la posibilidad de estructurar proyectos e iniciativas en pos de la mitigación y con la responsabilidad del manejo de riesgos de seguridad de la información. Desafortunadamente, hay una posición a la que se puede enfrentar el área, verla como un obstáculo para el negocio. Lo anterior suele ocurrir cuando, desde el área de riesgos, se actúa de forma reactiva y se detienen iniciativas, proyectos o labores, al tratar de identificar riesgos que pueden tener un alto impacto y consecuencias adversas para la organización. Es decir, se puede terminar observando a la seguridad de la información como un obstáculo y se entraría en contra de una de las expectativas de la labor a desarrollar: ser vistos como generadores de valor para el negocio.

¿Y entonces dónde?

Luego de visualizar cada escenario, podría concluirse que ningún espacio sirve, pero esto es falso, ya que hay una posición que estratégicamente es la más óptima y, al mismo tiempo, la más compleja de lograr: depender directamente de la dirección, es decir, organizacionalmente sería un área independiente de otras y reportaría a los altos mandos.

Esta idea no es utópica, se conocen organizaciones que arduamente han logrado salir de roles técnicos y llegado a una posición de aporte y consejería para el negocio, que hace tangible la posición de un área consejera, de acompañamiento, estratégica e importante para el negocio. Bajo este esquema se evitan intermediarios y se alcanza una posición en la que acercarse a la dirección es más simple y se tiene más peso dentro de la organización.

¿Y el presupuesto?

Decir que la implementación de seguridad de la información se puede hacer sin presupuesto es una idea errónea, por más que se cuenten con recursos de acceso abierto a nivel tecnológico, existen factores como la pedagogía y la concienciación, por nombrar algunos, que implican contar con recursos para ejecución de campañas y generación de material. Por supuesto, es necesario contar con un músculo económico para inversión en soluciones, actividades y otros factores igual de relevantes.

La recomendación es responsabilizar a cada área transversal del negocio de contar con presupuesto para seguridad de la información, esto se basa en una primera idea que es simple, el área de seguridad no cuenta con fondos abundantes, por el contrario, es un área que en muchos casos, por más que genere valor, aún es percibida como un gasto y no se dispondrá a manos llenas de presupuesto. Una segunda razón radica en que los servicios se prestan para el negocio, si éste aportará valor o brindará mejoras para unos procesos o actividades de un área, entonces el área correspondiente es la que lo debe costear, es decir, el usuario del mismo. Esto ayudará a cambiar la percepción de que el área de seguridad compite con la de tecnología por ser quien logra gastar más recursos económicos, recursos humanos y, por supuesto, físicos.

Resumiendo, el área debe contar con presupuesto propio, pero no es quien debe costear los proyectos de seguridad asociados a las áreas del negocio, sino por el contrario, las mismas áreas deben aportar para estas inversiones, lo cual quiere decir que se deben hacer labores de planeación estratégica para determinar oportunamente qué proyectos tendrá el negocio y qué se requerirá en términos de seguridad y que así sean asignados recursos por la dirección y las áreas responsables.

Una última idea que apalanca lo anteriormente presentado es una frase coloquial que tiene mucho sentido: “Si no le duele a las áreas la inversión en seguridad, no la valorarán igual”, el principio es simple, si todo lo carga el área de seguridad, entonces a las demás no les implicará un esfuerzo técnico, físico, de recurso humano y, principalmente, económico, por lo que probablemente no valoren la inversión como debería ser.

Conclusión

En la actualidad, en mi labor como Oficial de Seguridad de la Información, trabajo en un área diferente a las anteriormente mencionadas, pero he percibido una estrategia provechosa y consiste en descentralizar la responsabilidad de la seguridad de la información en una estructura de roles que, a través de varias áreas del negocio, permitan hacer esos roles tácticos, operativos, de control, legales a lo largo de la empresa, contando con responsables en diferentes unidades organizacionales. Esta visión ha permitido apalancar proyectos de una manera más óptima, ayudando también a reducir tanta labor de lobby consiguiendo “patrocinio” área por área, que aunque es una labor necesaria, por momentos llega a ser desgastante.

Al final, independientemente del lugar en el que se coloque el área o el personal, lo primero y más importante es contar con ese apoyo de la alta gerencia para contratar y dedicar recursos. Además, desde el principio es importante mostrar que “no somos un gasto, somos una inversión que genera valor” y no solo con palabras, sino con hechos.

Jeffrey Steve Borbón Sanabria

Ingeniero de sistemas con estudios de máster en seguridad Informática y especialización en Gestión de Riesgos. Ha desarrollado roles en torno a la gestión de TI y de la seguridad de la información en diversos mercados tales como Energía, Educación, Financiero, entre otros. Actualmente se desempeña como oficial de seguridad de la información de un grupo empresarial del mercado energético. Cuenta con algunas certificaciones y estudios complementarios.

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2018.