Una de las discusiones mas interesantes sobre gestión que se escuchan en las mesas de profesionales de seguridad, ya sean charlas de colegas, almuerzos de negocios, o cafés informales, es la relación entre el departamento de seguridad informática y el resto de la empresa. Así, aparecen algunos organigramas complejos y otros bien sencillos, donde es difícil hacer coincidir el sentido común, que según dicen es el menos común de los sentidos.
Normalmente la conformación de las estructuras organizacionales están sujetas a discusión, pese a todos los tratados que se han escrito al respecto. Hay ciertas áreas o unidades de negocios que naturalmente se comprende lo que deben abarcar, pero otras que no es tan obvia su ubicación dentro de un organigrama. Tal es el caso de seguridad informática, ¿o deberíamos decir seguridad de la información? Para el caso no seria lo mismo, veamos por qué.
Es bien sabido que al referirnos a seguridad informática, nos estamos focalizando especialmente en el aspecto tecnológico de la seguridad (desde firewalls y antivirus hasta IDS y DLP) en tanto que seguridad de la información abarca además aspectos no técnicos (físicos y administrativos, por ejemplo). En el primer caso, pareciera natural pensar que debería depender de algún órgano técnico, como ser el área de sistemas o de tecnologías de a información. De esta manera, dependiendo del tamaño de la empresa, podrá existir una gerencia o una dirección de sistemas, de informática, o de tecnología, de la cual se desprenda el área de seguridad. Esta solución resulta bastante trivial, y es debido a que el verdadero problema se encuentra al intentar ubicar el segundo caso. Ahora pues, se tiene un área que abarca temas relacionados con la tecnología, pero también vinculados a los recursos humanos, al área de legales, y hasta a la vigilancia del edificio. Entonces ¿de dónde nace la línea que conecta los cuadros en el organigrama?
Algunas empresas hacen depender seguridad de la información también del área de sistemas o tecnología, lo cual limita mucho el alcance y la capacidad operativa de la misma. Por otro lado, a veces se hace depender curiosamente del departamento de recursos humanos, o incluso de auditoría, ¡o hasta de finanzas! Aunque parezca insensato, no es obvia la ubicación relativa del área de seguridad en una empresa.
La aproximación mas abarcativa supone que podría existir una dependencia directa de a gerencia general, es decir, que exista una gerencia o dirección de seguridad de la información. De esta forma, se le daría una importancia mayor y se pondría de manifiesto el compromiso con la seguridad en la compañía. Esta última opción permitiría además generar mejores interrelaciones entre los distintos sectores, y facilitaría la operatoria de las tareas de seguridad, así como también las acciones estratégicas.
Como siempre, las normativas como la serie ISO 27000 dan recomendaciones al respecto y es bueno tenerlas en cuenta. Por otra parte, el tamaño de la organización también definirá la necesidad, jerarquía y rol del oficial de seguridad y su área.
En conclusión, tal vez no exista una única respuesta a esta pregunta. Tal como en muchos aspectos de los negocios, no hay particularmente una forma correcta de hacer las cosas, como tampoco existen formas claramente incorrectas. Cada estructura supone ventajas y desventajas, que solo tienen sentido en el contexto de la propia organización y su relación con su personal, sus clientes y sus proveedores. No obstante, observar los modelos de empresas y organizaciones exitosas ayuda a crear mejores estructuras, evitando años de aprendizaje y aprovechando la vasta experiencia de los que hicieron verdadero camino al andar. En palabras de Voltaire: "Hay personas tan inteligentes que también aprenden de la experiencia de los demás".
Federico Pacheco
Education & Research Manager