Falta empoderamiento de la función de Seguridad de la Información

Autor: Guido Rosales

Tratamos de ser imaginativos para decirle al negocio que la unidad de seguridad necesita ser empoderada. Es decir, requiere ser dotada de AUTORIDAD, JERARQUÍA y PODER para realmente ser efectiva dentro el negocio.

Por supuesto que no son todos, pero solo veamos organigramas para responder donde pasa esto. Y salarios por supuesto. Si tu gerente de TI recibe el doble que tu supuesto “Gerente” de Seguridad, no será un tema de jerarquía, pero si de empoderamiento y consecuente autoridad.

La misma regla aplicamos a las comparativas con gerencias de ventas, créditos, operaciones contra sistemas y seguridad.

Ya no podemos decir que sea una quinta rueda del automóvil por cuanto su presencia ya es más participativa. Pero creo que paso de ser una rueda de auxilio, a ser un aditivo decorativo al momento de recibir la visita del Ente regulador o salir en los medios públicos para decir que la Entidad se preocupa por la seguridad.

Creo que ya pasamos de que sea la quinta rueda, pero aun falta. En algunos casos son como las cadenas que se usan para la nieve. Son convocados cuando el ENTE regulador visita con su talonario de multas.

En otros casos son como un talismán de la buena suerte!! a ver si con prenderles una vela se repele a los hackers!!

Debería haber un equilibrio caso contrario aún están en la época del talismán, la quinta rueda o las cadenas de seguridad para nieve.

¿En que basamos la opinión? Tanto en temas externos como campañas de marketing y publicidad que no contemplan la exposición y riesgo, así como en la capacidad de decisión que tienen las unidades de seguridad sobre la infraestructura de protección. Al final sigue siendo la unidad de TI que elije Antivirus, compra firewalls, gestores de logs y demás elementos que deberían ser tuición de las unidades de seguridad. Por supuesto en coordinación con TI, pero con el poder de decisión.

Se aprecia que los requerimientos de negocio no toman en cuenta la opinión de riesgo de la unidad de seguridad. O se les pregunta cuando el Ente regulador solicita tal documento.

El negocio debe darle el silbato a su unidad de seguridad junto con toda la autoridad para detener proyectos que salen a producción con debilidades de seguridad. Pero como pude mas la necesidad de salir en la foto, adelante, que después arreglamos.

Otro factor relevante que tomaremos en cuenta en otro articulo tiene que ver con la madurez del personal en la función de seguridad. Las entidades de regulación no están definiendo el perfil profesional que estos deben tener.

Asi que un ingeniero junior que sabe lanzar unos cuantos ataques de hacking, pronto es el Oficial de Seguridad, sin la suficiente barba como para sentarse en una mesa de Directorio o Comités de Negocio y defender el Riesgo en Seguridad. Falta del joven profesional? o del Sistema que lo ha contratado?

El resultado es muy claro. Las unidades de seguridad son avasalladas por el negocio, por TI y otras áreas con mayor poder en el negocio. Aun pasara mucha agua antes de que se entienda sobre el equilibrio de poderes.

Empoderar la unidad de seguridad no va con un MEMO de Poder, sino con un cambio en la mentalidad de los emigrantes digitales. el mundo esta cambiando. Deben actualizarse o ceder espacio al empuje de las nuevas tecnologías.