Las personas que
iniciamos nuestra carrera profesional como técnicos tenemos tendencia a
intentar resolver los problemas también desde un punto de vista técnico. Es de
esta manera como pensamos en abordar los retos asociados a la seguridad de la
información. La gran mayoría de las soluciones existentes en el mercado tienen
su nicho de mercado, su utilidad y su beneficio para la organización. Sin
embargo nos olvidamos de dos aspectos fundamentales asociados a la seguridad:
- Más vale poner una tirita en la herida que una venda fuera de ella
Esto básicamente
significa que las medidas de seguridad que implantemos deben estar asociadas a
los riesgos que tengamos y a las obligaciones legales que sea necesario
cumplir. Esto hará, sobretodo, que la seguridad sea rentable para la
organización ya que ayudará a hacer un uso racional de los recursos en base a
la eliminación de inversiones innecesarias o ineficientes. Una vez tenemos
claros los requisitos de seguridad podemos pensar en qué solución existente en
el mercado se adapta mejor.
- La seguridad de nuestra organización viene determinada por la seguridad del eslabón más débil.
Si únicamente vemos la
seguridad como un “problema” técnico es como si estuviéramos poniendo una
puerta blindada en nuestra casa mientras dejamos la ventana abierta. No podemos
olvidarnos de las personas y de los procesos que nos van a ayudar a ser
eficientes y eficaces a la hora de trabajar la seguridad.
2. No pensar en montar un
sistema de gestión
Las organizaciones y su
entorno son organismos vivos. La regulación, los procesos de negocio, los
servicios de TI, la infraestructura, personas y
procesos que los soportan cambian con el tiempo.
El sistema de gestión nos
va a permitir planificar los proyectos y tareas necesarios para garantizar la
seguridad de nuestra organización, ejecutar adecuadamente dichos proyectos y
tareas, chequear que se están realizando según lo planificado y actuar en
consecuencia. En definitiva el sistema clarifica qué se debe hacer, quién y
cuándo gracias a la introducción de un modelo de mejora continua que garantice
que los objetivos de seguridad se alcanzan y mantienen e incluso mejoran a lo
largo del tiempo.
3. Pensar en que la
seguridad es sólo un problema del Departamento de TI
Nuestra experiencia nos
dice que, generalmente, el negocio ve como algo burocrático, “molesto”,
innecesario, las medidas de seguridad que pretende adoptar el departamento de
TI. Para que el negocio vea que estas medidas son útiles es necesario que se
justifiquen por la necesidad de reducir o eliminar riesgos asociados a los
procesos de negocio. Es por tanto imprescindible realizar un análisis de
riesgos y un análisis de impacto den el negocio. Es obvio que además es
importante concienciar, formar e
implicar a toda la organización en temas de seguridad de TI.
No hay comentarios:
Publicar un comentario