Sin el apoyo de la gerencia, es probable que cualquier grupo funcional en una empresa falle o al menos necesite de remediación extensa y costos por errores y omisiones. El grupo de seguridad podría muy bien ser el líder en este sentido.
Muchos pasan por alto la importancia de la seguridad de la información y la ven como un mal necesario requerido por la regulación, las leyes o los órganos de supervisión que demandan mayores niveles percibidos de seguridad y controles innecesarios. Lo mismo podría decirse de la garantía de calidad, el cumplimiento y la auditoría de TI.
El miedo, la incertidumbre y la duda (Fear, Uncertainty y Doubt o FUD) se han propuesto por algunos para conseguir que la gerencia apoye las iniciativas de seguridad de la información, pero FUD tiene éxito limitado. ¿De verdad quiere que la gerencia apoye la seguridad de la información, debido a un alto factor de FUD? Si bien FUD puede tener un efecto temporal, en última instancia, se transformará en sentimientos de resentimiento, abuso y renuencia.
De acuerdo con la "La jerarquía de necesidades de TI", de 451 Research, una firma de investigación de TI con sede en Boston, la seguridad de la información tiende a ser la más baja prioridad para las empresas. La seguridad de la información podría potencialmente ser impulsada hacia arriba de la jerarquía de necesidades de TI vinculándola a las prioridades más altas, tales como el cumplimiento, pero a menudo sigue siendo una ocurrencia tardía en muchas empresas. Esto, sin embargo, no tiene por qué ser el caso. El enfoque de la Tres C –Cooperación, Comunicación y Contrapeso– puede ayudar a determinar lo que mejor encaja con su organización en términos de una estrategia y un programa de seguridad de la información eficaz.
Cooperación
La seguridad de la información tiene que trabajar con prácticamente todos los niveles de personal, incluida la gerencia ejecutiva. Si se ve como contradictorio, obstruccionista o quijotesco, su eficacia y cooperación se reducirán considerablemente. En su lugar, el equipo de seguridad debe:
La seguridad de la información tiene que trabajar con prácticamente todos los niveles de personal, incluida la gerencia ejecutiva. Si se ve como contradictorio, obstruccionista o quijotesco, su eficacia y cooperación se reducirán considerablemente. En su lugar, el equipo de seguridad debe:
- Contratar a un CISO que sea técnico, pero que aún llegue a los gerentes de las unidades de negocio y de gestión ejecutiva para garantizar que la seguridad de información se ajuste a sus necesidades y que se haga a un lado cuando sea apropiado.
- Integrar la seguridad de la información en la cultura empresarial.
- Tener en cuenta que un profeta no es aceptado en su propio país. A veces se necesita la ayuda de otras personas fuera de su grupo u organización para apoyar lo que usted ha estado diciendo todo el tiempo.
- Solicitar la cooperación de los equipos de auditores, cumplimiento y jurídico. Muchos ven estos tres grupos con renuencia, principalmente por miedo a los informes negativos o a la carga percibida de requisitos que podrían afectar negativamente el cumplimiento de objetivos personales.
- Mejorar la conciencia de seguridad entre la empresa. Hágala informativa y divertida.
Comunicación
A nadie le gustan las sorpresas. La seguridad de la información necesita mantenerse en comunicación con la gerencia sobre el estado de seguridad de la información. Sin esta "C", cualquier noticia adversa, sin importar qué nivel de gravedad tenga, será vista de manera desfavorable. En lugar de ello, los profesionales de seguridad deben:
- Hablar el mismo idioma que la gerencia y hacerles saber que entienden lo que es importante para ellos.
- Tener reuniones programadas, informativas y educativas, con la dirección.
- Darle a la dirección ejecutiva una respuesta a los eventos de ciberseguridad actuales que sea positiva, rentable y adaptada con los objetivos estratégicos y de negocios de la compañía.
- Hacer presentaciones a la dirección ejecutiva que sean completas, flexibles y fáciles de entender. Utilice iconos de color rojo, amarillo y verde, pero enfóquese en por qué es importante para ellos. Puede comenzar con FUD, pero siempre proporcione una solución positiva, viable y rentable.
- Dar a los demás una razón para alabarlo ante la gerencia. Esto incluiría los gerentes de negocios, TI y usuarios.
Contrapeso
La seguridad de la información tiene que desplegar el nivel adecuado de protección con base en los requisitos de riesgo y cumplimiento. La sobreprotección, así como la falta de protección, puede ser perjudicial para una organización. En su lugar, se debe:
- Ser un peso que actúe para equilibrar otro. No aparecer como opuestos a las iniciativas corporativas, sino mantener el nivel apropiado de escepticismo profesional.
- Recomendar e implementar controles que deberían ser proporcionales a los riesgos.
- Equilibrar el valor de los activos, la inversión en TI y los riesgos generales para establecer las metas y los objetivos de seguridad de la información.
- No haga grandes las cosas pequeñas, ni pequeñas las grandes. Asegúrese de que usted se centra en lo que es importante para la empresa en su conjunto.
- Centrarse en los modelos de negocio y de TI y garantizar que la seguridad de información apoya sus metas.
- No compre un Cadillac si le funciona una camioneta Chevy. Usted no tiene que tener lo mejor. Usted tiene que tener lo que es correcto.
- Ser visto como un experto en la materia (SME) y como un socio de negocios.
- Asegurarse de no comprometer la ética profesional.
Conclusión
La gerencia quiere lo que hará que la empresa sea exitosa y fiscalmente rentable. Ellos ven hacia la seguridad de la información para proporcionar valor y el nivel adecuado de controles. Utilice cualquiera de las tres C que funcionarán en su cultura corporativa. Muchas de estas tres C dependen del carácter y la personalidad de la dirección ejecutiva, de TI y de usted. Encuentre la combinación adecuada, pero haga lo que haga, no se conforme con ser considerado una ocurrencia tardía.
Cómo incrementar la importancia de la seguridad de TI en las empresas