Cambiando la cultura sobre protección de activos de la información

Conexiones¿A quién no le ha sucedido en algún momento de su labor diaria proponer una acción referida a proteger los activos de información y contar con todo el apoyo del Directorio y escuchar la famosa frase “Hazlo para toda la empresa pero excluye a la Alta Gerencia de esa acción”?, es decir, protege pero a la vez mantén desprotegida toda la información más sensible de la organización, puesto que esas áreas son las que manejan, como ninguna otra, políticas, estrategias y planes de acción sensibles para el desarrollo del negocio.

¿Todo un desafío verdad? Este es un problema muy común referente a la resistencia a ser controlado sólo porque eres el director o gerente general y consideras que no deberías estar al alcance de dichos controles. En cualquier empresa, sea chica, mediana o grande, si no existe el compromiso de la Alta Gerencia para adherirse a las normas, la aplicación de las mismas tiende a fracasar de manera inexorable.

Lógicamente es más fácil si la empresa debe cumplir con normas que le exige su casa matriz, como es el caso de SOX, o bien el cumplimiento de requisitos que los entes contralores de cada país imponen, ya que no cumplir con el nivel exigido conlleva el riesgo de multas o calificaciones que atentan contra el desarrollo del negocio.

Pero qué pasa con aquellas que no están obligadas y no les interesa mejorar el control interno, argumentando además que gastar presupuesto en software y hardware sobre un evento que tal vez no suceda no es prioritario, frente a los gastos que desean hacer para obtener más volumen de negocio y por ende más ganancia. En estos casos la estrategia a seguir desde las áreas de protección de activos de la información es diagramar una política de capacitación y concientización sobre aspectos de seguridad en TI, apoyada por un análisis de riesgos que permita mostrar a la Alta Gerencia las consecuencias de no poseer políticas de protección. El desafío es presentar resultados cuantitativos de la pérdida que provoca no poseer la política antes mencionada.

Siempre hay que tener en cuenta que la mayoría de los profesionales que forman parte del directorio o accionistas no comprenden el negocio en términos computacionales, sino más bien en términos monetarios, por lo tanto, ese es el lenguaje que debemos utilizar para hablar con ellos.

Otro enfoque muy útil es representar una amenaza de riesgo de TI materializada desde el punto de vista del riesgo reputacional, ya que este riesgo afecta directamente la credibilidad ante los clientes y ante todas las organizaciones que interactúan con la empresa. Si se demuestra que el hecho ocurrió porque no se tomaron las precauciones necesarias, lo más probable es que el cliente que se vio afectado comente con otros lo que le sucedió, de manera tal que la pérdida de confianza y la incertidumbre impacta directamente sobre la rentabilidad del negocio.

Así pues, para realizar nuestra tarea no solo basta tener claro cuáles son las medidas de seguridad a adoptar, sino que cobra relevancia el diseño de la estrategia que se llevará a cabo para aplicarlas y para que todos los integrantes de la organización, en especial la Alta Dirección, se adhieran a esas medidas. Un área de protección de activos de la información que no cuente con el respaldo y patrocinio adecuado, fracasará inevitablemente en su intento de mejorar los controles internos en materia de seguridad de TI.

.

[email protected] 

Miguel Alejandro Gallegos

Egresado de Universidad Blas Pascal (Argentina), posee además un Postgrado en Auditoria y Seguridad de la Información (Universidad Tecnológica Nacional). Silver Member de ISACA y miembro fundador del AAIC (Asociación Civil de Auditores Internos de la Provincia de Córdoba - Argentina) Ha sido disertante en las conferencias de Auditoria Interna y Riesgo de TI organizadas por el Grupo Casino en Paris y Lyon, referidas a metodología CobiT. Ha dictado cursos para AAIC (Asociación Civil de Auditores Internos de la Provincia de Córdoba - Argentina) Ha sido docente en la cátedra de programación Cobol en Institución Cervantes (Provincia de Córdoba - Argentina) Se ha desempeñado como Gerente de Protección de Activos de la Información en el Banco Provincia de Córdoba(Argentina) y Auditor Informático en Groupe Casino (Francia). Se ha especializado en Auditoria de TI y Riesgos de TI, diseñando planes estratégicos, implementación de metodologías de análisis de riesgo de TI, BIA, DRP, canales electrónicos e integración de Riesgo de TI al Riesgo Operacional e implementación de CobiT en organizaciones financieras y de retail. 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*