El inicio de año es un buen momento para poner en marcha nuestro programa de seguridad, o bien desarrollarlo en busca de proteger nuestra información y otros activos dentro de las organizaciones. Para ello, es necesario tener en cuenta varias consideraciones que veremos en este artículo.
Comencemos por el principio: ¿qué es un programa de seguridad?
De acuerdo con PMI, un programa es un conjunto de proyectos que se articulan alrededor de un objetivo único. El programa tiene como propósito generar a la organización beneficios que no podrían obtenerse a partir del desarrollo de los proyectos que lo conforman, si estos se realizaran de manera individual.
El programa genera beneficios que no podrían obtenerse si los proyectos que lo conforman se realizaran de forma individual
A su vez, un proyecto es un conjunto de actividades sistemáticas que tiene un principio y fin. Por lo tanto, el programa se debe realizar de manera permanente incluyendo los distintos proyectos, es decir, no tiene un plazo y deriva de una estrategia, por lo que tiene un mayor alcance.
En términos específicos, el programa de seguridad de la información se conforma de un conjunto de proyectos, iniciativas y actividades realizadas de manera coordinada para lograr una estrategia de seguridad, es decir, llevar a la práctica un plan trazado que busca alcanzar los objetivos de protección de una organización.
La gestión del programa pretende dirigir, monitorear, evaluar y mejorar todas las actividades relacionadas con la seguridad, por lo que debe considerar y utilizar los recursos de manera óptima, así como brindar información oportuna que permita tomar las mejores decisiones para la protección del negocio, la información y otros activos.
Aspectos esenciales del programa de seguridad de la información
Ahora que hemos repasado sus conceptos básicos, es necesario tener otras consideraciones para su desarrollo, ya que sin ellos, es probable que todas las iniciativas enfocadas hacia la protección resulten ineficaces.
-
Patrocinio
El principal elemento que se debe tener en cuenta antes de la puesta en marcha del programa es el respaldo de la alta dirección con relación a las actividades de seguridad de la información. La iniciativa puede surgir en cualquier nivel dentro de la organización, pero requiere del patrocinio de los niveles jerárquicos más elevados, así como de las partes interesadas. El soporte y compromiso de la alta dirección refleja un esfuerzo compuesto, no solo un proyecto aislado y administrado por un subordinado.
Del mismo modo, resulta útil la formación de estructuras dentro de las organizaciones, que permitan la colaboración y cooperación de los representantes de las diferentes partes con roles y funciones relevantes. En este sentido, una buena práctica consiste en desarrollar la estructura adecuada para la toma de decisiones en torno al programa, a través de la conformación de un foro o comité de seguridad, que permita llevar a la práctica lo que se ha denominado gobierno de seguridad de la información, es decir, todas aquellas responsabilidades y acciones que ejerce la alta dirección en cuanto a la seguridad.
-
Estrategia
El programa de seguridad es el resultado de una estrategia trazada para proteger a la organización y sus activos; por lo tanto, debe perseguir objetivos específicos que se desean alcanzar. Su definición puede provenir de diferentes enfoques, por ejemplo, la alineación con los objetivos estratégicos de la empresa. Otro enfoque establece que puede tratarse del resultado de una evaluación de riesgos de seguridad.
La definición de los objetivos también puede surgir a partir de un análisis de brechas (GAP Analysis), un estudio preliminar que permite conocer la forma en la que se desempeña una organización en materia de seguridad de la información, con relación a las mejores prácticas reconocidas en la industria y el estado deseado. O bien, puede surgir como producto de un análisis de impacto al negocio (BIA), que busca estimar la afectación que podría padecer una organización como resultado de algún incidente o desastre. Independientemente de la fuente, el programa debe implementar la estrategia y alcanzar los objetivos trazados.
-
Recursos
El primer recurso necesario para el programa es el tiempo, tanto para el desarrollo de la estrategia como su posterior aplicación y ejecución. Por la misma característica de no tener principio ni fin, el programa puede observarse como un proceso de mejora continua que opera en diferentes ciclos, de ahí la idea de iniciar el programa con el principio de año. Aunque no se tiene un período específico, se deben considerar diversos factores como los continuos cambios en los riesgos, en las prioridades de la dirección con respecto a la protección de activos, nuevas amenazas y vulnerabilidades, entre otras.
La ejecución del programa también requiere recursos financieros necesarios para alcanzar el estado deseado en materia de seguridad de la información. Se debe tener en mente que la estrategia puede derivar en la aplicación de controles técnicos, físicos o administrativos. Por otro lado, la organización debe contar con personal con las habilidades, capacidades o conocimientos necesarios para llevar a cabo las actividades técnicas y administrativas relacionadas con el programa, por lo que puede optar por capacitar a miembros de la organización o contratar los servicios de personal con estas aptitudes.
-
Métricas
Otro elemento esencial para el desarrollo y aplicación del programa de seguridad son las métricas, es decir, las variables a las cuales se les asigna un valor cuantitativo como resultado de la medición, para conocer la efectividad e idoneidad del programa. En esta actividad, la medición es fundamental para la toma de decisiones. Se mide para caracterizar, evaluar, predecir y principalmente mejorar.
Esta actividad adquiere relevancia para los objetivos de mejora del programa, ya que lo que no se mide no puede ser mejorado. En este sentido, resulta necesario especificar cómo se van a utilizar las mediciones para evaluar la efectividad con resultados reproducibles y comparables. Las métricas permiten obtener retroalimentación para guiar la ejecución del programa hacia los objetivos inicialmente definidos.
El programa de seguridad como punto de partida para la seguridad organizacional
En esta primera entrega abordamos las definiciones básicas y características esenciales de un programa de seguridad. Sin embargo, se trata de un trabajo de gran alcance, puesto que busca abordar los distintos niveles y ámbitos de una organización.
Los recursos, la estrategia, el patrocinio o las métricas son variables y deber ser adoptadas, adaptadas y aplicadas a las características, necesidades y condiciones de cada organización. En publicaciones posteriores revisaremos otros elementos importantes del programa de seguridad, un elemento indispensable para dar dirección a todas las iniciativas y proyectos de seguridad organizacionales.