Para los que tenemos suerte, a veces nos encontramos en una organización donde de un momento para otro surge la necesidad (o deseo) de aplicar seguridad de la información dentro de esta. Entonces, designan a alguien (en la organización que pertenezco fui yo el elegido) para que coordine y gestione tal hazaña.
Podrás ver el resto la serie publicadas, a continuación:
A partir de ese momento comenzamos a idear las estrategias más certeras para comenzar esta tarea, desde mi punto de vista (y de muchos especialistas) una de las estrategias más significativa es obtener el apoyo de la alta gerencia, debido a que la intención de implantar la Seguridad de la Información dentro de la organización proviene de uno o más directivos pero no es la de todos; esto hace más difícil nuestra labor como Oficiales de Seguridad de la Información (CISO, es el acrónimo empleado en ingles) de implantar nuestro mundo utópico de Seguridad de la Información, ya que sin este soporte resulta casi imposible llevar a cabo esta función.
Probablemente existen muchas formas para logra el apoyo de la alta gerencia, sin embargo yo considero que el más efectivo es el de la creación de un Comité de Seguridad de la Información (CSI), por su puesto que la formación de un «Comité» aplicaría en organizaciones medianas y/o grandes; ya que esto no tendría sentido en una que solo posee dos o tres gerentes (empresa pequeña), no obstante, las actividades que emplea estés grupo de trabajo es de interés para todo tipo de organización.
Podemos definir el Comité de Seguridad de la Información como un cuerpo integrado por representantes de todas las áreas sustantivas de la organización, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad para lograr un trabajo eficaz y seguro.
Es decir, que la estrategia que estaríamos aplicando como Oficial de Seguridad de la Información es crear un grupo de trabajo donde estamos comprometiendo directamente a las áreas que sustentan la razón de ser de la organización (áreas/gerencias de negocios); y esto traería como consecuencias que las áreas de apoyo deberán ajustarse a los lineamientos generados por el Comité de Seguridad de la Información.
En el mismo orden de ideas, como Oficial de Seguridad de la Información muchas veces no tenemos la autoridad para dar directrices a toda la organización, y no me estoy refiriendo a nuestra posición en el organigrama de la organización, sino a aquella autoridad que se va ganando por los años de experiencia dentro de la misma; es aquí donde podemos sacar otro beneficio del Comité de Seguridad de la Información, ya que al generarse las decisiones en este grupo, venderemos nuestras intenciones de Seguridad de la Información como si fueran del equipo o incluso como si fueran idea de alguien más.
Debemos recordar que nuestro fin no es buscar estatus o fama dentro de la organización, sino crear un ambiente de Seguridad de la Información. Con la creación y operación del Comité de Seguridad de la Información, nos resta protagonismo individualmente y se le da más importancia al equipo de trabajo, hago esta aclaratoria porque he visto casos donde rechazan esta idea por miedo a perder sus trabajos o sus estatus dentro de las organizaciones, sin embargo, estoy seguro que las organizaciones que empleen esto verán un beneficio mayor para la misma en el corto plazo.
¿Se les ocurre algún otro beneficio del Comité de Seguridad de la Información?¿qué otras estrategias podríamos aplicar? dejen sus comentarios.
NOTA: Para los efectos de este blog se considerará «Alta Gerencia» a las máximas autoridades de una organización, sea esta empresa pequeña (un solo Jefe), empresa mediana (algunos Gerentes y Coordinadores) o empresa grande (Presidente, Vicepresidentes y Gerentes), es importante aclarar este punto, ya que la mayoría de las personas al escuchar de «Alta Gerencia» piensa en grandes corporaciones.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
