- Centrarse en maximizar la ecuación coste-beneficio en relación a la gestión del riesgo.
- Integrar la seguridad con la innovación, incorporándola a la fórmula del éxito.
- Implementar soluciones de seguridad transparentes e intuitivas, de modo que sean lo menos intrusivas posible y permitan a los usuarios centrarse en su actividad de negocio.
- Orientar las soluciones de seguridad a las amenazas reales en lugar de dejarse guiar por factores como el miedo o el cumplimiento normativo.
- Centrar el foco de la seguridad en la propia información y su nivel de sensibilidad, en lugar de hacerlo en los sistemas.
- Orientar la seguridad de forma dinámica en lugar de estática, orientándola por tanto al comportamiento del usuario.
En general estoy de acuerdo con los planteamientos realizados, y la única objeción sería quizás que el cumplimiento normativo no me parece una mala orientación, ya que se puede entender tanto desde el punto de vista del cumplimiento legal o regulatorio, en cuyo caso sería una orientación "obligada", como desde el punto de vista de consecución de un "premio" a la seguridad (certificación u otro tipo), en cuyo caso puede ser una orientación válida desde el punto de vista de beneficios para el negocio derivados del marketing en seguridad.
¿Estais de acuerdo con estas líneas de actuación? ¿Añadiríais o eliminaríais alguna?
3 comentarios:
Bueno yo me estoy encontrando, dentro de la problemática de Entidades Finacieras y Basilea II que están planteando la seguridad de la información como una herramienta para mitigar el riesgo operacional. El funcionamiento es sencillo y podría llamarse una gestión del post-riesgo. Cada Entidad hace unas estimaciones de daños asociados a diferentes riesgos al comienzo del año y al final, realiza una valoración. De esta manera, se generan la cuantificación del impacto real. Hasta aqui esto sería una estrategia reactiva. Sin embargo, esta información es utilizada como entrada para la gestión del riesgo del siguiente año, de forma que según las tendencias detectas, se apuesta por aquellas medidas preventivas que más pudieran interesar.
Yo remarcaría un condimento fundamental, que deben poseer quienes toman las decisiones a la hora de invertir en seguridad y aquellas directamente afectadas por la inversión: CONCIENCIA de SEGURIDAD (Concientización de TODOS, Entrenamiento de CARGOS ESPECIFICOS y Educación de PROFESIONALES de Seguridad). Todo se hace más fácil, con una organización consciente de los riesgos a los cuales está expuesta.
También comparto la idea que el cumplimiento normativo es una buena opción, sobre todo cuando se está ante una realidad carente de lineamientos, metas u objetivos a cumplir,obviamente sin que lo obligatorio fuese lo único a conseguir en materia de seguridad.
Por otro lado creo que el miedo también puede en ciertas ocasiones ser un aliado ya que la seguridad como dicen tiene un componente de sensación.
Empezando por el final, me parece un planteamiento muy interesante: concienciación --> para todos, entrenamiento --> para cargos específicos y educación --> específico para el personal de seguridad. Es una buena forma de sacarle partido a unos términos que muchas veces mezclamos...
El planteamiento de encajar la seguridad de la información dentro del riesgo operacional es clásico en entidades donde el control interno está muy asentado. Y en este mundo los pesos pesados son las entidades financieras y aseguradoras. De todas formas, me gusta el planteamiento de cuantificar a posteriori los riesgos estimados a priori y utilizar esas desviaciones como proyecciones para el siguiente ejercicio. Es una forma muy útil de ajustar los análisis de riesgos. Lástima que sean pocas las organizaciones con capacidad real para hacer ese ejercicio...
Publicar un comentario