Gobierno para la seguridad de la información

1.Introducción al Gobierno para la seguridad de la información

Basandome en la esperiencia del Gobierno para la seguridad de la información, hace algún tiempo tuve la oportunidad de laborar en una empresa desempeñando un cargo de liderazgo en seguridad de la información y ciberseguridad, como es costumbre, inicie por realizar una evaluación del estado actual para definir los planes de acción a seguir y trazar la hoja de ruta de lo que seria la seguridad de la información, encontrando ciertos problemas.

Abordando las situaciones presentadas, descubrí que esta compañía tenia un serio problema con el gobierno, tanto corporativo como el de seguridad de la información.

Este post trata precisamente sobre como montar un gobierno de seguridad de la información y reconocer situaciones donde sea necesario mejorar este aspecto en las empresas.

Efectivamente, cuando se llega a una nueva compañía existen dos situaciones que se podrían presentar; un escenario en donde no existe ningún tipo de gobierno de seguridad de la información y otro escenario donde ya se tiene algo establecido en este contexto.

2. Escenarios

El primer escenario parece, a primera vista, ser más complejo, pero en realidad, según mi experiencia, es un excelente escenario, dado que permitirá la implantación de un gobierno de seguridad de la información desde cero, por lo que tendríamos la oportunidad de hacerlo bien a la primera.

El segundo escenario en realidad es un poco más complejo dado que se debe tomar la decisión de arreglar o mejorar el gobierno existente o montar todo desde cero.

Pero bueno vayamos al punto, un gobierno de seguridad de la información es básicamente un conjunto de elementos que permiten ver como funciona la seguridad de la información en una compañía y hacia donde se dirige. Entre mejor este implementado un gobierno, tiende a ser más fácil para cualquiera poderlo reconocer y comprender fácilmente.

3. Implantación de un gobierno de seguridad de la información

– Alineación estratégica

En la industria existen múltiples guías, normas, estándares y marcos de referencia para poder implantar un gobierno de seguridad de la información, se pueden usar libremente a gusto, aun así, se darán cuenta que existen varios retos al intentar implementar una buena practica escrita en un papel y llevarla a la realidad.

Lo primero que se debe considerar es algo que en la industria se conoce como “Alineación estratégica” y no es más que la forma en que el área de seguridad de la información se integra y se alinea con el negocio. Esto se puede hacer de muchas maneras, pero una de las más prácticas es hacer un documento en donde se pongan los siguientes aspectos:

• Nombre del Área.
• Integrantes del área: Se documentan todos los integrantes del área, con una breve descripción del cargo y funciones de cada integrante
• Misión del área: Porque o para que existe esa área.
• Visión del área: Que se espera lograr a futuro para esa área.
• Objetivos del área: Estos en realidad son los más importantes, se deben definir una lista de objetivos que tendrá el área en un cierto periodo de tiempo.
• Relación de como cada objetivo del área apoya cada objetivo de la compañía.
• Modelo de seguridad de la información o ciberseguridad: aunque no es estrictamente obligatorio, brinda una imagen y posición más confiable sobre cómo funciona la seguridad en una compañía.
• Indicadores: Si o si se deben definir un conjunto de indicadores para medir el desempeño de la seguridad de la información en la compañía, esto apalancara la mejora continua en si misma.

– Requisitos para la implantación

En general esos serían unos requerimientos mínimos para una buena alineación estratégica entre el área de seguridad de la información y el negocio.

Lo segundo para tener un muy buen gobierno deben ser los documentos de las “Políticas de seguridad de la información” o directrices o normas, varía el nombre dependiendo principalmente de la región y el tipo de empresa.

En general una buena política de seguridad de la información debería contener como mínimo la siguiente información:

• Definición: Que es lo que define esa política.
• Objetivo: Se describe el objetivo principal de la política, aunque podrían ponerse objetivos secundarios.
• Alcance: Se indica el alcance de la política, es decir a que o quienes aplica y en que escenarios.
• Política: Se describe puntualmente cual es la política, que en si misma debe reflejar la posición de la empresa con respecto al tema que se está regulando.
• Roles y Responsabilidades: Se describen todos los roles, áreas y responsabilidades que se deben ejecutar para poder cumplir con la política.
• Normas: Se listan y se describen las normas o leyes que se emplean.
• Excepciones: Se indica cómo se manejarán esas situaciones en las que no se pueda cumplir con alguna norma de la política.
• Sanciones: Se describen los sanciones o tipos de sanciones o incluso que pasara si no se cumplen o se violan las normas descritas en la política.
• Referencias documentales: Aunque no es obligatorio se recomienda indicar marcos de referencia, guía, estándares o buenas prácticas.
• Glosario: En general siempre es recomendable documentar los términos que se usaran dentro de la política.

4. Conclusiones

Implementar un buen gobierno no parece tan complejo, y de hecho, no lo es. Aunque es cierto que se requerirán un par más de cosas, aun así, con esto será un inicio más que sobresaliente para un buen gobierno de seguridad de la información y ciberseguridad.

Autor: Miguel Angel Beltran Vargas. Máster en Seguridad de la Información y Continuidad del Negocio – Modulo II – Edición 0722