Aprovecho esta entrada para dar respuesta a la petición de Gianluca, presidente del ISMS Forum Spain, que ha realizado en el grupo de linkedin. La verdad es que me ha parecido una reflexión muy interesante y como Gianluca comenta, pocas disertaciones existen al respecto. Este es el tema planteado:
"Estimados amigos y socios del ISMS, Aprovechando este grupo de Linkedin me gustaría emplazaros a participar en un debate sobre la eterna cuestión de donde ubicar estratégicamente la función de Seguridad de la información. ¿Dentro o fuera de IT? Razones, ventajas y/o inconvenientes de las dos opciones. Personalmente creo que es una cuestión todavía poco debatida y analizada. Sin embargo es de crucial relevancia a la hora de planificar estrategias y objetivos. Os advierto que utilizaré vuestros argumentos, reflexiones y análisis (referenciados en la medida de lo posible) para redactar un editorial que será publicado en un medio de comunicación del sector. Gracias a todos de antemano por vuestras participación, Gianluca"
Pues de entrada diría que DEPENDE ..... cada organización tiene su propia idiosincrasia, cultura, política interna, etc. que con absoluta seguridad condicionan la ubicación de tan "sagrada" función. Me temo que no hay una formula universal. No obstante, en términos generales se podrían establecer las siguientes consideraciones con objeto de facilitar el posicionamiento de esta "unidad de negocio":
Estratégicamente: debería ser omnipresente. En cualquier proceso de negocio de cualquier área, departamento, dirección, etc. debe existir la óptica de la seguridad. Es obvio que SIEMPRE, en un soporte u otro, en un formato u otro, en una cantidad u otra, con una criticidad u otra, ..... hay información por medio, desde el diseño del último producto que saldrá al mercado hasta el email de un cliente al que se le envía un boletín de noticias. Todo es información, hasta las charlas espontáneas mientras se toma un café....... Se debe aplicar el habitual tópico de siempre: la Dirección debe estar implicada por completo.
Jerárquica/organizativamente: Creo que es un aspecto secundario. También influye mucho si hablamos de una pyme de 10 empleados o una megacorporación de 100.000 empleados. Es más debería ser un "ente" multidisciplinar, transversal a toda la organización y con suficiente "poder". Cuanta más cercanía y línea directa con la cúpula mucho mejor. En nuestro caso particular tenemos constituido un comité de seguridad para consensuar y acordar de forma global (distintas ópticas/implicaciones) los temas de cierta relevancia. La aplicación de las grandes decisiones y el día a día es otra historia.....
Tecnológicamente: Dependerá del grado de dependencia de la tecnología y de la propia infraestructura tecnológica (hablamos de un servidor de datos o de 2 cpds replicados con sus Hosts, sistemas críticos 24x7, SANs, cluster de servidores, entornos virtualizados, comunicaciones con miles de delegaciones, etc....), aunque en cualquier caso creo que la visión estratégica debería estar fuera de TI. Sólo mencionar que hay sectores en que la información más crítica e importante no está soportada en medios tecnológicos. En este punto también comentar que existen interesantes tendencias que apuntan hacia una gestión global de la seguridad, además de los aspectos de TI hay que contemplar la seguridad de las instalaciones, de las personas, de la imagen, de la reputación, etc. Por tanto, esa asociación tan directa a TI empieza a disolverse un poco.
Funcionalmente: también se deberían observar cuáles son las actividades que se realizan desde la función de Seguridad de la Información. Estas pueden pasar por la definición de normas y procedimientos corporativos, supervisión/revisión de su cumplimiento e implantación, concienciación, formación, monitorización, informes, métricas, LOPD, SGSI, PCN, etc. En ocasiones son aspectos muy relacionados pero su aplicación se gestiona desde puntos totalmente separados de la organización. En determinados escenarios es casi obligado segregar o especializar partes de la función de seguridad en unidades independientes, en cualquier caso todas ellas dependerían de un órgano único central (léase comité, staff, ......).
Operativamente: otro punto a considerar es la forma de llevar a cabo esta función. Recursos internos, externos (permanentes/eventuales) presencialmente, externalización, mix de todo, ..... en función de la tipología y la magnitud de la estructura necesaria para el desarrollo de las actividades relacionadas con la seguridad de la información dependerá su ubicación/dependencia.
Un inciso final, personalmente creo que bajo ningún concepto puede contemplarse la posibilidad de que la función "estratégica" de Seguridad de la Información sea depositada en terceros, ya sea asesores consultores, gurús, expertos o afines (por muy buenos, eficientes, fieles, independientes, etc. que sean o parezcan).
En resumen, recapitulando creo que la solución es ............ ni dentro ni fuera sino todo lo contrario :-) Hay muchos y diversos factores intrínsecos a toda organización que intervienen en esta "decisión". No obstante, más que dónde estoy ubicado me preocupa mucho más cómo alcanzar los objetivos de inculcar, concienciar, implantar, etc. la seguridad de forma eficiente y global en una organización.
Lo siento pero no puedo aportar referencias de nada, para bien o para mal, todo es de cosecha propia.... soy muy poco dado a utilizar normas, estándares, etc. como dogma de fe. Son muy útiles como modelos de referencia pero son muy teóricos, ambiguos, generalistas, etc. que no son aplicables en todos los casos, siempre hay particularidades específicas. Hay tanta literatura referente a estos temas (COBIT, ITIL, BS, ISO, SANS, etc.) que es fácil encontrar referencias a lo comentado, o no ! :-)
CITA DEL DÍA: "La puerta de la cocina sólo debe abrirse desde dentro ........"
No hay comentarios:
Publicar un comentario