¿A quién no le ha sucedido en algún momento de su labor diaria proponer una acción referida a proteger los activos de información y contar con todo el apoyo del Directorio y escuchar la famosa frase “Hazlo para toda la empresa pero excluye a la Alta Gerencia de esa acción”?, es decir, protege pero a la vez mantén desprotegida toda la información más sensible de la organización, puesto que esas áreas son las que manejan, como ninguna otra, políticas, estrategias y planes de acción sensibles para el desarrollo del negocio.

¿Todo un desafío verdad? Este es un problema muy común referente a la resistencia a ser controlado sólo porque eres el director o gerente general y consideras que no deberías estar al alcance de dichos controles. En cualquier empresa, sea chica, mediana o grande, si no existe el compromiso de la Alta Gerencia para adherirse a las normas, la aplicación de las mismas tiende a fracasar de manera inexorable.

Lógicamente es más fácil si la empresa debe cumplir con normas que le exige su casa matriz, como es el caso de SOX, o bien el cumplimiento de requisitos que los entes contralores de cada país imponen, ya que no cumplir con el nivel exigido conlleva el riesgo de multas o calificaciones que atentan contra el desarrollo del negocio.

Pero qué pasa con aquellas que no están obligadas y no les interesa mejorar el control interno, argumentando además que gastar presupuesto en software y hardware sobre un evento que tal vez no suceda no es prioritario, frente a los gastos que desean hacer para obtener más volumen de negocio y por ende más ganancia. En estos casos la estrategia a seguir desde las áreas de protección de activos de la información es diagramar una política de capacitación y concientización sobre aspectos de seguridad en TI, apoyada por un análisis de riesgos que permita mostrar a la Alta Gerencia las consecuencias de no poseer políticas de protección. El desafío es presentar resultados cuantitativos de la pérdida que provoca no poseer la política antes mencionada.

Siempre hay que tener en cuenta que la mayoría de los profesionales que forman parte del directorio o accionistas no comprenden el negocio en términos computacionales, sino más bien en términos monetarios, por lo tanto, ese es el lenguaje que debemos utilizar para hablar con ellos.

Otro enfoque muy útil es representar una amenaza de riesgo de TI materializada desde el punto de vista del riesgo reputacional, ya que este riesgo afecta directamente la credibilidad ante los clientes y ante todas las organizaciones que interactúan con la empresa. Si se demuestra que el hecho ocurrió porque no se tomaron las precauciones necesarias, lo más probable es que el cliente que se vio afectado comente con otros lo que le sucedió, de manera tal que la pérdida de confianza y la incertidumbre impacta directamente sobre la rentabilidad del negocio.

Así pues, para realizar nuestra tarea no solo basta tener claro cuáles son las medidas de seguridad a adoptar, sino que cobra relevancia el diseño de la estrategia que se llevará a cabo para aplicarlas y para que todos los integrantes de la organización, en especial la Alta Dirección, se adhieran a esas medidas. Un área de protección de activos de la información que no cuente con el respaldo y patrocinio adecuado, fracasará inevitablemente en su intento de mejorar los controles internos en materia de seguridad de TI.

.

[email protected]