Archivo del sitio
El Oficial de Seguridad de la Información.
De la misma manera en las empresas en El Salvador lograron entender la necesidad de un Administrador de Bases de Datos tendrán que entender la necesidad de un Oficial de Seguridad de la Información. Este término, denominado en Inglés CISO – Chief Information Security Officer, ha tomado relevancia, debido principalmente a la necesidad de que la información de la organización se mantenga segura y cumpla con sus objetivos de negocio. El primer paso es entender que en materia de seguridad de la información, no se puede ser juez y parte, por lo que no es saludable pensar que la Gestión de TI podrá realizar la tarea de planificar las operaciones de TI, organizarlas, ejecutarlas, monitorearlas y a la vez proporcionar seguridad a la información de manera integral. Entendamos bien esto. Todos los componentes de TI tienen algún nivel de seguridad de manera inherente. El tema de seguridad no puede ser extraído de la configuración de equipos y aplicaciones, por lo tanto, los responsables de TI deben de incluir las configuraciones de seguridad que sean necesarias de acuerdo con su criterio profesional y las necesidades de la organización. El rol del Oficial de Seguridad viene a garantizar de que la seguridad de la Información se esta abordando de una manera integral, acorde con el nivel de riesgo de la organización y siguiendo una arquitectura de aplicaciones e infraestructura robusta que es mantenible y actualizable de acuerdo a necesidades futuras. Asegura además que se han diseñado las políticas y procedimientos relacionados con la seguridad de la información además de verificar que los no relacionados no interfieren con los objetivos de seguridad de la información. Asegura además que se están implementando los proyectos correctos para eliminar vulnerabilidades en la infraestructura y aplicaciones. El Oficial de Seguridad incluso puede intervenir como visor independiente en los procesos de Gestión de TI, para ayudar a garantizar que elementos críticos de la Seguridad de la Información no serán comprometidos por causa de las operaciones normales de TI. Es decir, mientras el departamento de TI realiza su función de soportar el negocio a través de las Tecnologías de la Información, el Oficial de Seguridad mantiene el enfoque en la Seguridad de la Información. Incluso, en organizaciones grandes, tareas como la asignación de permisos y privilegios ha sido delegado al Oficial de Seguridad. Por supuesto, en estos casos estamos hablando de que el Oficial de Seguridad cuenta con personal bajo su cargo para poder realizar estas tareas cumpliendo con los Niveles de Servicio pactados con el negocio.
Es innegable que a todas las organizaciones les interesa la función de Seguridad de la Información. Lo discutible es ¿A qué nivel debe de cumplirse con esta función? Se necesita solo una persona a tiempo completo o un equipo de 5 o 10 personas. Incluso, puede pensarse en utilizar outsourcing para realizar la evaluación, diagnóstico, organización y monitoreo de la función de seguridad. Esta última modalidad ayuda a una organización a recolectar datos para evaluar más objetivamente la necesidad de formalizar una plaza o un departamento de seguridad de la información dentro de la organización.
Los nuevos cargos responsables de las Tecnologías de la Información
De acuerdo al nivel de operaciones de la empresa, sus riesgos tecnológicos y su nivel de dependencia de la tecnología han surgido nuevas posiciones, para lograr segregación de funciones y una cobertura razonable de las responsabilidades de brindar beneficios al negocio y evitar riesgos por uso de las tecnologías. Hace muchos años el único cargo pensable era el Gerente de Sistemas o Informática. Impensable pensar en Gerente de Tecnologías de la Información, porque el uso de computadoras estaba supeditado a un centro de datos y las comunicaciones no eran tan importantes como hoy en día. En la medida que las Tecnologías de la Información crecieron para brindar más servicios al negocio, al grado de ser parte vital de la entrega de servicios o fabricación o venta del producto, el cargo de Gerente de Sistemas ascendió en el organigrama, trascendiendo del soporte, mayormente considerado parte del aparataje administrativo, hacia un elemento vital en el funcionamiento de la organización. Esto ha dado lugar a que en muchas empresas ya se utilicen cargos como Gerente de Tecnologías de la Información o Gerente de Tecnologías y Operaciones. Más aún, estos cargos, en las empresas que han iniciado emprendimientos de Gobierno Empresarial, están ubicados también a nivel de Vice-presidencia y tienen un lugar en juntas directivas. Me recuerdo que en Japón, hace dos años, ya se discutía si se seguirían nombrando CEOs, Chief Executive Officer, dado que sus contrapartes, los CIO, Chief Information Officer, estaban tomando control sobre las operaciones de los negocios en la medida de que las Tecnologías de la Información pasaron a ser la principal materia prima para entregar servicios y crear productos. Pero esto sólo nos indica que el nivel de envolvimiento del responsable de Tecnologías de la Información, por lo general subió de nivel en la jerarquía de los organigramas. Otros desarrollos se han generado a partir de la dependencia que las organizaciones tienen de las TI. La más notable es la que se refiere a seguridad. En organizaciones en las que la seguridad se considera un factor importante a cuidar para no perder o disminuir el ingreso, se han nombrado Oficiales de Seguridad (CISO – Chief Information Security Officer). Estos cargos no dependen de TI, si no más bien reportan a Junta Directiva o el CEO o Gerente General, con el objetivo de tener una función independiente, asesora y de supervisión sobre la creación de medidas de seguridad, así como la verificación de su cumplimiento y evaluación constante de los resultados. En general, es conveniente que las funciones de seguridad de la información no sean asumidas por el mismo personal de TI. De esta manera, se logra aseguramiento de una sana segregación de funciones respecto a la Seguridad de la Información.
Una tercer función, más sutil y refinada, es la del Oficial de Riesgos Tecnológicos. Esta función va más allá de los elementos de seguridad y evalúa factores que puedan llevar a cese de operaciones por causas atribuibles a las TI, creando un sistema de monitoreo que permita detectar, prevenir y administrar los riesgos tecnológicos a los que una empresa esta expuesta. Por supuesto, la creación de estos cargos dependerá de la decisión que tengan las máximas autoridades sobre el uso de las Tecnologías de la Información. En algunos países la decisión ha sido apoyada por regulaciones, pero mientras estas no existan, la decisión seguirá siendo de la Alta Dirección. Es recomendable ser visionario en este tipo de decisión, para no tomar decisiones en base a experiencias negativas pasadas, sino de una manera proactiva. Como el costo de crear un cargo adicional es a veces la principal determinante para no tomar la decisión, hay que recordar que estas funciones se pueden realizar también por servicios de outsourcing, lo que les permitirá realizar una inversión adecuada para iniciar funciones de seguridad y riesgo tecnológico sin perder la rentabilidad de las operaciones. Probablemente, al empezar a recibir datos de un consultor dedicado a evaluar, recomendar y proveer monitoreo periódico de las operaciones, la Alta Dirección llegará a tener la información suficiente para optar por un nombramiento de los cargos de manera permanente en la organización. Lo importante es empezar a hacer algo.
Gestión y Auditoría de TI 