Desde hace 10 años el CEO (Chief
Executive Officer) ha comenzado a entender como la seguridad TI y los
responsables de seguridad pueden convertirse en habilitadores de negocio.
Esto se debe a que los
responsables de la seguridad TI han conseguido el camino para traducir los
problemas de seguridad a un lenguaje de negocio que el CEO puede entender.
Tradicionalmente el negocio cuida
la caída de la línea de producción (ensamblado de coches, empaquetado de
productos, procesamiento de materia prima) y no cuida la caída de TI.
Es importante hacer ver al
negocio que detrás de las operaciones de producción del negocio hay una serie
de elementos de TI que necesitan ser reparados, cambiados y configurados de forma
segura.
Los responsables de seguridad
deben ser capaces de conectar el impacto actual de la caída del negocio con los fallos de seguridad que
impacten en la caída del negocio. En este punto se unen la línea de protección
del negocio y la de reducción del riesgo del negocio.
El CEO debe tener claro que 1
hora de caída de TI tiene como resultado 40 coches menos ensamblados por caída
de la línea de ensamblado. El problema está cuando el CEO reporta en su
inventario 40 coches menos y no una caída de TI, en esta caso el CEO está
preocupado por la producción del coche y no por los servicios TI.
En todo caso si se reporta una
perdida en el inventario estamos hablando de un problema de negocio. Si hay un
problema de negocio, el área de TI y de seguridad
deben informar las cosas que necesitan ser corregidas cada uno desde su ámbito.
Al equiparar el problema de negocio con los elementos TI y de seguridad
necesarios y que impactan en el problema estamos habilitando a la empresa a ser
más eficiente, aumentar la producción y, como consecuencia, aumentar los
beneficios.
Hay que eliminar la cultura de
desconectar, que consiste en que la seguridad es un problema técnico que puede
ser resuelto por TI, los problemas técnicos deben ser resueltos por los administradores
u operadores de TI y los de seguridad deben ser resueltos por los responsables
de seguridad TI.
Hay que direccionar dentro de la
gestión del riesgo la seguridad TI, se estima que sólo el 30% por ciento de las
organizaciones adoptan un enfoque basado en riesgos para la seguridad TI. En
lugar de ser los defensores de la organización, los administradores de
seguridad de TI están interesados en ser facilitadores de ese equilibrio
entre la necesidad de proteger y las necesidades para ejecutar el negocio.
Un responsable de seguridad no se
preocupa de si un hacker hará un ataque a la página de la compañía, un
responsable de seguridad se preocupa de preparar la compañía para afrontar
riesgos mediante la implementación de medidas y prácticas.
La seguridad no es una persona al
lado de un firewall, la seguridad es desarrollar programas de riesgos alineados
con las necesidades del negocio.
No hay comentarios:
Publicar un comentario