En muchas organizaciones se nota una confusión a la hora de asignar o distinguir las funciones que debe cumplir un área de Seguridad Informática versus el área de Seguridad de la Información. En algunas de ellas, ni siquiera existen como áreas independientes.
Debido a que la mayoría poseen una infraestructura tecnológica de seguridad instalada, ya sean herramientas de defensa perimetral o de profundidad, el Gerente de Tecnología "asume" como suyo el Rol de Responsable de todo aquello que suene a "seguridad" incluyendo el área de Seguridad de la Información.
¿Cuál es la diferencia entre ellas?
Podemos decir que Seguridad Informática es el conjunto de procedimientos, que apoyados en herramientas tecnológicas, proveen mecanismos de "Seguridad" para la información que reside, se almacena o se transmite por medios "telemáticos".
¿Pero que ocurre con la "Información" que no se transmite por esos medios?
¿Que hacer con los peligros que acechan al negocio como los atentados terroristas, la Ingeniería social o la difamación que afectan a una Marca o personas de la Organización?
Como ejemplo, recordemos como se afectó el valor de la acción de Apple Computers, cuando se divulgó la noticia que Steve Jobs (su fundador) sufría de cáncer de páncreas. Era cierto, pero creó una desvalorización inmediata.
¿Y la basura física arrojada a la caneca donde puedo encontrar datos importantes de Estrategia, manejo de clientes o finanzas?
Ninguno de los interrogantes anteriores puede ser respondido por el Gerente de Tecnología de la Empresa (o CTO). Y así podríamos ennumerar miles de interrogantes parecidos.
Para atender todo lo relacionado con "SEGURIDAD DE LA INFORMACIÓN" de la compañía, sin que necesariamente sean herramientas tecnologicas se debe contar con un área de Seguridad de la Información.
¿Quién manda a quién?
Debido a su ámbito más amplio el área de Seguridad de la Información es evidente que "controla" a su contraparte tecnológica - es decir la Seguridad Informática-.
Adicionalmente existen otros Roles que no puede ser cubiertos por el Departamento de TI, debido a que sus Ingenieros poseen el máximo nivel de privilegios sobre la Infraestructura. Ellos podrían borrar logs, eliminar evidencia, escalarse permisos, instalar, desinstalar entre otros.
Por esta razón el Departamento de Tecnología necesita que alguien más lo "vigile" y controle que los mecanismos de protección se cumplan, incluso por ellos mismos.
Así mismo, la operación normal del departamento de TI, no incluye manejo y control de Información en papel, como documentos, contratos que están a cargo de otras áreas de la compañía. Esta información vital del negocio no puede quedar desprotegida sólo porque no está en medios digitales.
Tampoco podemos asignarle la vigilancia de los controles de Seguridad Física al departamento de TI, ya que por lo general depende de Servicios Generales y Administrativos. Con este panorama tan complejo y amplio, es evidente que debe existir un área independiente, desligada de TI, que vigile por el efectivo cumplimiento de los controles necesarios para salvaguardar el activo más importante de las Empresas : LA INFORMACIÓN.
Por último la Norma ISO/IEC27001 en su apartado de segregación de funciones exige que un área independiente vigile y audite todos los controles de la Norma de Seguridad de la Información. Es evidente que para cumplir esto, Seguridad Informática está impedida ya que sería Juez y Parte.
¿Pero como controlar al Departamento de Tecnología de una empresa, sin generar conflicto al interior o ir en contra del statu quo o la jerarquía misma?
Para ello las mejores prácticas adoptadas por las empresas maduras en seguridad, separan totalmente la Seguridad de la Información del área de Tecnología, de tal forma que no pertenezcan jerarquicamente a la misma división de la compañía.
Es altamente recomendable impedir que:
- El Gerente de TI, asuma el control de la Seguridad de la Información.
- El área de Seguridad de la Información pertenezca en organigrama a la misma división que pertenece TI, por aquello de ser juez y parte y poder exigir el cumplimiento de los controles al dueño de la tecnología.
Se aconseja que:
- El dueño de Seguridad de la Información tenga el mismo nivel jerarquico o cargo que el dueño de la Tecnología. Para tener la suficiente autoridad y poder exigirle a TI el cumplimiento de los controles. Muchas orgazaniciones crean un área que está asociada directamente a la Presidencia.
- Delimitar claramente las funciones de seguridad con el área de TI. Recordemos que ellos administran tecnología, pero no vigilan los procesos.
Desafortunadamente otro es el panorama real, donde las organizaciones no desean crear más cargos, ni dependencias de alto costo porque visualizan la Seguridad de la Información como un gasto más.
Alli termina el área de Seguridad de la Información como un apéndice más de otro Departamento, sin peso alguno ni autoridad en la organización. Y entonces es cuando esperamos que algún incidente grave ocurra, para que los encargados de la Seguridad de la Información esgriman su frase lapidaria: SE LES ADVIRTIÓ....
Suscribirse a:
Enviar comentarios (Atom)
Muy buena información, gracias.
ResponderEliminarestimado si puedes describir con mayor detalle sobre los dominios y control del iso 27001 y cuales son los controles que se aplican a la capa de aplicacion
ResponderEliminar