Presiones de negocio, de mercado y regulatorias colocan al profesional de la seguridad de la información en una situación difícil. Desde hace ya algún tiempo, éste debe manejar no sólo aspectos operacionales del área, sino que también temas regulatorios, demandas de negocio y mitigación de riesgos, entre otros. Los aspectos normativos provienen de diferentes puntos, tales como reglamentos federales, de mercado y financieros internacionales, y aparecen de acuerdo a factores que no están dentro del control de este profesional. ¿Ante tantas demandas, cómo puede éste encontrar el equilibrio para manejar tanta presión?
Como vivimos en una economía global, lo que pasa en un país muy probablemente afectará a otros. La Ley Sarbanes Oxley es un ejemplo clásico. Cuando una empresa americana como la Enron & WorldCom hizo quiebra, ocasionó que las firmas cambiaran la manera de gestionar sus controles internos.
Por ejemplo, si una compañía en Brasil o Europa desea que sus acciones se negocien en la Bolsa de Nueva York (NYSE), estas empresas tienen que implementar todos los controles requeridos y obtener los informes independientes sobre la eficacia de éstos. Incluso aquéllas que no son afectadas por algunos reglamentos acaban por seguir el mismo camino, para mantenerse competitivas en el mercado.
Además, cada país tiene sus propias normativas relacionadas directa o indirectamente con la seguridad de la información y el profesional de seguridad debe estar bien informado sobre éstas, así como estar actualizado sobre lo que ocurre en otras naciones.
Por ejemplo, en Brasil no existe una ley específica referente a privacidad como las de los países norteamericanos y europeos, pero otros reglamentos, especialmente los de mercado, tales como el Payment Card Industry Data Security Standard (PCI-DSS), se están volviendo populares y realmente requeridos por la industria para que se disponga de una “patronización” de controles que ya se hayan mostrado efectivos en otros países.
Dentro de esta línea de pensamiento, el profesional debe entender cómo funcionan las leyes de privacidad consolidadas en otros países, pues muy probablemente éstas se sancionarán algún día por aquí y, al estar preparado anticipadamente, ya tendrá las estructuras de controles internos de su empresa listas para acomodar tales leyes.
Obviamente, el negocio, las TI y la seguridad no viven sólo en función de la conformidad a leyes y reglamentos.
Más que sólo normativas
La implementación de controles de seguridad a través de la utilización de soluciones tecnológicas, incluyendo software y hardware, soportados por procesos implantados correctamente, puede garantizar esta conformidad combinándola con una efectiva mitigación de riesgos. Pero para que se alcance este objetivo, el profesional de seguridad debe obtener por parte de la alta administración el presupuesto y el apoyo adecuados. Muchos reglamentos están todavía por surgir y él debe implementar un proceso o un framework, con el objeto de encontrar controles que puedan cumplir diversas normas, mitigar riesgos y satisfacer las demandas de negocio, haciendo uso de recursos e inversiones ya efectuados. En caso contrario, el aporte financiero se volverá más difícil ya que la alta administración no verá efectividad en la manera en que el profesional está gestionando y concentrando las inversiones en seguridad.
Para conseguir un equilibrio para satisfacer las demandas de negocio, cumplir los reglamentos y mitigar los riesgos de una manera eficaz, existe una receta muy bien conocida. El profesional de seguridad debe convencer a la alta administración y a los gestores de que ellos son parte del problema y de la solución.
Al fin y al cabo, es la compañía, no el área de seguridad, la que debe estar en adherencia a las leyes, o sólo el área de seguridad sufrirá las consecuencias de pérdida o fuga de datos, interrupciones y otras materializaciones de riesgos. El profesional no debe ser un “cowboy” solitario tratando de hacer lo que es correcto o crear un “feudo” aislado de toda la organización con una perspectiva limitada de su visión y misión.
Tanto la alta administración como los gestores deben estar involucrados en esa “lucha”, a través de comités relacionados con la seguridad de la información, campañas masivas de toma de conciencia y otras medidas, para que todos conozcan sus responsabilidades y apoyen las iniciativas lideradas por el área de seguridad.
En el caso de que no se cumplan estas iniciativas por impactar estrategias y procesos de negocios, además de la famosa frase “no disponemos de presupuesto”, todos tendrán conciencia y compartirán las consecuencias en el caso de que un riesgo de seguridad se materialice.
El autor, Walmir Freitas, CISSP, CISM, CISA y CBCP, cuenta con más de 12 años de experiencia en seguridad de la información, IT governance, auditoría de sistemas y gestión de riesgos. Actualmente se desempeña como profesional independiente.
