El Oficial de Seguridad de la Información.

De la misma manera en las empresas en El Salvador lograron entender la necesidad de un Administrador de Bases de Datos tendrán que entender la necesidad de un Oficial de Seguridad de la Información. Este término, denominado en Inglés CISO – Chief Information Security Officer, ha tomado relevancia, debido principalmente a la necesidad de que la información de la organización se mantenga segura y cumpla con sus objetivos de negocio. El primer paso es entender que en materia de seguridad de la información, no se puede ser juez y parte, por lo que no es saludable pensar que la Gestión de TI podrá realizar la tarea de planificar las operaciones de TI, organizarlas, ejecutarlas, monitorearlas y a la vez proporcionar seguridad a la información de manera integral. Entendamos bien esto. Todos los componentes de TI tienen algún nivel de seguridad de manera inherente. El tema de seguridad no puede ser extraído de la configuración de equipos y aplicaciones, por lo tanto, los responsables de TI deben de incluir las configuraciones de seguridad que sean necesarias de acuerdo con su criterio profesional y las necesidades de la organización. El rol del Oficial de Seguridad viene a garantizar de que la seguridad de la Información se esta abordando de una manera integral, acorde con el nivel de riesgo de la organización y siguiendo una arquitectura de aplicaciones e infraestructura robusta que es mantenible y actualizable de acuerdo a necesidades futuras. Asegura además que se han diseñado las políticas y procedimientos relacionados con la seguridad de la información además de verificar que los no relacionados no interfieren con los objetivos de seguridad de la información. Asegura además que se están implementando los proyectos correctos para eliminar vulnerabilidades en la infraestructura y aplicaciones. El Oficial de Seguridad incluso puede intervenir como  visor independiente en los procesos de Gestión de TI, para ayudar a garantizar que elementos críticos de la Seguridad de la Información no serán comprometidos por causa de las operaciones normales de TI. Es decir, mientras el departamento de TI realiza su función de soportar el negocio a través de las Tecnologías de la Información, el Oficial de Seguridad mantiene el enfoque en la Seguridad de la Información. Incluso, en organizaciones grandes, tareas como la asignación de permisos y privilegios ha sido delegado al Oficial de Seguridad. Por supuesto, en estos casos estamos hablando de que el Oficial de Seguridad cuenta con personal bajo su cargo para poder realizar estas tareas cumpliendo con los Niveles de Servicio pactados con el negocio.

Es innegable que a todas las organizaciones les interesa la función de Seguridad de la Información. Lo discutible es ¿A qué nivel debe de cumplirse con esta función? Se necesita solo una persona a tiempo completo o un equipo de 5 o 10 personas. Incluso, puede pensarse en utilizar outsourcing para realizar la evaluación, diagnóstico, organización y monitoreo de la función de seguridad. Esta última modalidad ayuda a una organización a recolectar datos para evaluar más objetivamente la necesidad de formalizar una plaza o un departamento de seguridad de la información dentro de la organización.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 1 de octubre de 2012 en Seguridad de TI y etiquetado en , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

A %d blogueros les gusta esto: