7 hábitos de los líderes efectivos en seguridad de la información
El equilibrio entre la eficiencia operativa y la seguridad de la información presenta algunos desafíos especiales. Por el lado de la escala, las operaciones comerciales deben ser lo más eficientes posible para lograr los objetivos de la empresa. Por otro lado, los profesionales de la seguridad de la información buscan proteger los activos de información sensible y crítica para proteger a las empresas, clientes, empleados y…
El equilibrio entre la eficiencia operativa y la seguridad de la información presenta algunos desafíos especiales. Por el lado de la escala, las operaciones comerciales deben ser lo más eficientes posible para lograr los objetivos de la empresa. Por otro lado, los profesionales de la seguridad de la información buscan proteger los activos de información confidencial y crítica para proteger a las empresas, los clientes, los empleados y los inversores. Estos dos esfuerzos tienen una relación inversa, a medida que uno aumenta, el otro disminuye. Entonces, ¿cuál es la respuesta? ¿Cómo reconciliamos estas dos fuerzas opuestas?
En el Boletín ACM de marzo de 2007, hay un artículo de Stephen J. Andriole que creo que puede ayudar a abordar estos desafíos («7 hábitos de los líderes tecnológicos efectivos», p. 67). Tomé los 7 hábitos de los líderes tecnológicos efectivos de Andriole de ese artículo y los modifiqué en un esfuerzo por diferenciar a los gerentes de seguridad de los líderes de seguridad. Los líderes de seguridad pueden lograr el equilibrio adecuado entre las necesidades comerciales y la protección de los activos de información.
Hábito n.º 1: los líderes de seguridad de la información se centran en los modelos y procesos comerciales antes de centrarse en la infraestructura o las aplicaciones de seguridad.
Los responsables de seguridad suelen agotar e implementar listas de control, tanto de hardware como de software, que actualmente circulan en los medios o entre sus pares. El jefe de seguridad hizo una pausa antes de subirse al carro del pasado.
Evalúa controles de seguridad razonables y apropiados en función de la realidad operativa del negocio. Esto generalmente se hace realizando una evaluación de riesgos y luego comparando los costos de remediación y la productividad con el impacto comercial real del incidente de seguridad relevante. Los objetivos de mitigación de riesgos se convierten entonces en el resultado de procesos que deben diseñarse e implementarse. Al igual que con las soluciones de tecnología general, lograr el nivel correcto de seguridad de la información comienza con el proceso adecuado para definir los resultados.
Hábito n.º 2: los líderes de seguridad de la información realizan un seguimiento de las tecnologías importantes centrándose en la diferencia entre tecnologías operativas y estratégicas…
La figura 1 muestra las capas tecnológicas estratégicas y operativas de Andriole. Según Andriole, las dos capas inferiores son mercancías. Agregan poca o ninguna ventaja competitiva al negocio. Si se alinean correctamente con la estrategia comercial, los dos primeros niveles pueden proporcionar una ventaja significativa sobre la competencia.
Figura 1: Capas tecnológicas operativas y estratégicas de Andriole
Al igual que las aplicaciones y soluciones comerciales que impulsan el negocio, las soluciones de seguridad también deben contribuir a avanzar. Las soluciones de seguridad deberían permitir a las empresas alcanzar sus objetivos estratégicos al proteger la integridad y disponibilidad de los activos de información. Además, se debe proteger la confidencialidad de la información del cliente para proteger la marca de la empresa. Sin embargo, estos objetivos deben lograrse de manera coordinada con los procesos operativos.
Hábito 3: los líderes de seguridad de la información identifican y priorizan el dolor comercial y las formas de aliviarlo en el proceso de crear placer comercial.
Los líderes de seguridad deben hablar el idioma de los negocios. Deben desarrollar el tipo de relación con los líderes empresariales que les permita comprender el dolor que se siente cuando se implementan o faltan los controles de seguridad incorrectos.
Los líderes empresariales se están moviendo hacia formas más eficientes de lograr resultados comerciales mediante la reducción de costos y la mejora de la satisfacción del cliente. Los líderes de seguridad entienden estos problemas y trabajan en estrecha colaboración con los líderes empresariales para lograr el nivel adecuado de garantía de la información mientras sirven como un socio que alivia el dolor.
Hábito #4: Los líderes de seguridad de la información optimizan el valor de los servicios compartidos en empresas centralizadas y descentralizadas, y se organizan en torno a la distinción entre tecnologías operativas y estratégicas. Los líderes de seguridad también apoyan la gobernanza tanto dentro como fuera de la línea operativa/estratégica.
Es un error común que los gerentes de seguridad desarrollen soluciones para los desafíos de aseguramiento de una sola línea de negocios sin tomarse el tiempo para dar un paso atrás y mirar el panorama general. El líder de seguridad trabaja con el equipo de gobierno de tecnología comercial para garantizar que la solución esté diseñada para maximizar el valor comercial. A menudo, esto se logra mediante la implementación de una solución que aborde múltiples problemas en todos los departamentos o líneas de negocios casi al mismo costo que la implementación de la solución para una sola entidad dentro de la organización. En otras palabras, los líderes de seguridad están tratando de resolver el problema de un bosque, no de un árbol o dos.
Hábito 5: Los líderes en seguridad de la información administran de manera profesional y rentable la seguridad de la infraestructura informática y de comunicaciones a través de acuerdos de nivel de servicio (SLA) negociados y mejores prácticas de medición.
Siempre es una buena idea que un líder de seguridad comprenda las expectativas de los líderes empresariales a los que apoya. Estas expectativas deben establecerse en uno o más SLA. Se deben crear métricas para medir la tasa de éxito en el cumplimiento de los objetivos de nivel de servicio. Las pautas para crear y reportar métricas de seguridad se pueden encontrar en SANS.org.
Hábito n.° 6: los líderes de seguridad de la información se comunican con frecuencia y de manera predecible; los líderes comunican buenas y malas noticias en términos comerciales…
En muchas empresas, los éxitos y fracasos de los equipos de seguridad pasan desapercibidos hasta que ocurre un incidente de seguridad importante. Para los administradores de seguridad responsables, es un atajo al desempleo. Los líderes de seguridad informan sobre los éxitos y los fracasos expresando el impacto relativo en el negocio. Además, proporciona a la dirección empresarial planes de acción para corregir situaciones en las que no se consiguen resultados óptimos.
Hábito 7: Los líderes de seguridad de la información promueven activamente su papel en la empresa y la contribución continua de la seguridad al negocio…
Uno de los peores errores que puede cometer un gerente de seguridad es no comunicar de manera consistente la importancia de la seguridad a través del departamento de SI, los departamentos corporativos y todas las líneas de negocios. La conciencia de la importancia de la seguridad se traduce en la conciencia del valor de los equipos de seguridad y las políticas, normas y directrices que aplican. El marketing adecuado de los resultados de seguridad exitosos puede brindarle a un líder de seguridad un «lugar» que puede ayudar a incorporar el aseguramiento de la información en los objetivos estratégicos.
