docGobierno de la Seguridad de la Información Se puede definir
download 
Demanda Transcripción
Gobierno de la Seguridad de la Información Se puede definir
Gobierno de la Seguridad de la Información Se puede definir Gobierno como: “El conjunto de responsabilidades y prácticas ejercidas por la junta directiva y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se administren en forma apropiada y verificar que los recursos de la empresa se utilicen con responsabilidad”. Una extensión de la definición de gobierno incluye: “La estructura a través de la cual se establecen los objetivos de la empresa, y se determinan los medios para alcanzar dichos objetivos y monitorear el desempeño” tal como lo describe la Organización para la Cooperación y el Desarrollo Económico (OCDE) en su publicación de 1999 titulada “Principios de Gobierno Corporativo de la OCDE”. La estructura y los medios incluyen la estrategia; políticas y sus respectivas normas, procedimientos y lineamientos; planes estratégicos y operativos; sensibilización y capacitación; administración de riesgos; controles; auditorías y otras actividades de aseguramiento. Introducción al Gobierno de la Seguridad de la Información Información se puede definir como “datos dotados de propósito”. En la actualidad, la información desempeña una función cada vez más importante en todos los aspectos de nuestra vida y se ha vuelto un componente indispensable para realizar negocios para casi todas las organizaciones y en un número cada vez mayor de empresas, la información es el negocio. Sería difícil encontrar un negocio que se haya mantenido al margen de la tecnología de la información y que no dependa de la información que procesa. Los sistemas de información han dominado la sociedad y los negocios, y la dependencia de estos sistemas y la información que manejan, es casi, indiscutiblemente absoluta. Gobierno de la Seguridad de la Información De acuerdo con el Instituto de Brookings, tanto la información como otros activos intangibles de una organización representan más del 80 por ciento de su valor de mercado. En consecuencia, los daños a la integridad de la información pueden ser devastadores para una empresa y sus altos directivos, a quienes se les responsabiliza cada vez más por la información financiera de su organización. Peter Ducker afirmó en su libro Management Challenges for the 21st Century, que la información es un recurso que tiene igual relevancia que los recursos importantes por tradición como la tierra, el trabajo y el capital Durante los últimos 12 años, la tendencia al alza en el valor de la información y la dependencia de ésta se han incrementado de manera exponencial. Recientemente, Gartner calculó que en menos de 10 años, las organizaciones trabajarán con 30 veces más información de la que trabajan ahora. Sin embargo, con el caos, las vulnerabilidades, los delitos y el vandalismo informáticos, la información se ha vuelto la opción de un creciente grupo de delincuentes discretos. Los terroristas y otros enemigos de la sociedad han acogido con descaro a la misma tecnología de la información que Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: [email protected] /Casilla de Reclamos: [email protected] 1 afirman despreciar profundamente para anunciar su cosmovisión y revelar sus actos hostiles. A fin de cumplir con la tarea de brindar una protección adecuada a los recursos de la información, el tema tiene que elevarse a una actividad a nivel de consejo tal como sucede con otras funciones críticas de gobierno. La complejidad, la importancia y la criticidad de la seguridad de la información y su gobierno exigen un tratamiento de respaldo por parte de los niveles más altos dentro de la organización. De manera progresiva, aquellos que comprenden el alcance y la profundidad de los riesgos están tomando la postura de que, al ser un recurso crítico, la información debe tratarse con el mismo cuidado, precaución y prudencia que recibiría cualquier otro activo esencial para la supervivencia de la organización y, tal vez, de la sociedad misma. La seguridad de TI trata la seguridad de la tecnología y, por lo general, se maneja desde el nivel del director de información (CIO). La seguridad de la información abarca la totalidad de riesgos, beneficios y procesos que están relacionados con la información y debe ser impulsada por la dirección ejecutiva y respaldada por el consejo de administración. El gobierno de la seguridad de la información es responsabilidad de la junta directiva y la dirección ejecutiva. Debe ser una parte integral y transparente del gobierno de la empresa, y consiste en el liderazgo, las estructuras y los procesos organizacionales que protegen la información. Importancia del Gobierno de la Seguridad de la Información Desde la perspectiva de una organización, el gobierno de la seguridad es cada vez más crucial a medida que aumenta la dependencia de la información. Tal como dijo Arthur Sulzberger Hays en 1947 “El juicio de un hombre no puede ser mejor que la información en la cual ha basado dicho juicio”. La información definida como “datos dotados de significado y propósito” es la esencia del conocimiento. El conocimiento a su vez, se capta, transporta y almacena como información organizada. Tal como comentó Peter Drucker, “El conocimiento se está volviendo rápidamente en el único factor de la productividad, dejando de lado al capital y la mano de obra”. Para la mayoría de las organizaciones, la información y el conocimiento en el que ésta se basa se han vuelto uno de sus activos cada vez más importantes sin los cuales sería imposible dirigir el negocio. Tanto los sistemas como los procesos que manejan dicha información han invadido el negocio y las organizaciones gubernamentales en todo el mundo. Esta creciente dependencia de las organizaciones de su información y los sistemas que la manejan, junto con los riesgos, beneficios y oportunidad que representan dichos recursos, han hecho del gobierno de la seguridad de la información un aspecto cada vez más crucial del gobierno en su conjunto. Las gerencias prudentes han llegado a entender que ofrece una serie de beneficios significativos, entre los que se encuentran: Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: [email protected] /Casilla de Reclamos: [email protected] 2 ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ ‐ Tratar la creciente posibilidad de que la organización y su alta dirección se enfrenten de manera habitual a la responsabilidad civil o legal como resultado de imprecisiones en la información o la ausencia del debido cuidado para protegerla. Brindar la confianza en el cumplimiento de las políticas. Aumentar la previsibilidad y reducir la incertidumbre en las operaciones de negocio al reducir los riesgos a niveles definibles y aceptables. Proporcionar la estructura y el marco para optimizar la distribución de los recursos limitados de seguridad. Brindar un nivel de certeza de que las decisiones cruciales no se basan en información errónea. Proporcionar un fundamento sólido para tener una administración de riesgos y una mejora de procesos eficientes y eficaces, así como una respuesta rápida a incidentes. Brindar una mayor confianza en las interacciones con socios comerciales. Mejorar la confianza en las relaciones con los clientes. Proteger la reputación de la organización. Posibilitar nuevas y mejores formas para procesar las transacciones electrónicas. Establecer la responsabilidad para proteger la información durante actividades críticas de negocio, tales como fusiones y adquisiciones, recuperación del proceso de negocio y respuestas regulatorias. Por último, dado que la nueva tecnología de información brinda la posibilidad de una mejora radical en el desempeño del negocio, una seguridad eficaz de información puede añadir un valor significativo a la organización al reducir las pérdidas derivadas de incidentes que estén relacionados con la seguridad y brindar la confianza de que tales incidentes y las violaciones a la seguridad, no son catastróficos. Además, algunas pruebas demuestran que una mejor percepción en el mercado resulta en un mayor valor por acción. Gobierno de la Seguridad de la Información El gobierno de seguridad de la información incluye los elementos que se requieren para brindar a la alta dirección la certeza de que su dirección y empeño se reflejan en la postura de seguridad de la organización al utilizar un enfoque estructurado para implementar un programa de seguridad. El objetivo de la seguridad de la información es desarrollar, implementar y administrar un programa de seguridad que alcance los siguientes seis resultados básicos de un gobierno eficaz de seguridad: 1.- Alineación estratégica: Alinear la seguridad de la información con la estrategia de negocio para apoyar los objetivos organizacionales. 2.- Administrar los riesgos: Ejecutar medidas apropiadas para mitigar los riesgos y reducir el posible impacto que tendrían en los recursos de información a un nivel aceptable. 3.-Entrega de valor: Optimizar las inversiones en la seguridad en apoyo a los objetivos del negocio. 4.- Administración de recursos: Utilizar el conocimiento y la infraestructura de la seguridad de la información con eficiencia y eficacia. 5.- Medición del desempeño: Monitorear y reportar procesos de seguridad de la información para garantizar que se alcancen los objetivos. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: [email protected] /Casilla de Reclamos: [email protected] 3 6.-Integración: Integrar todos los factores de aseguramiento relevantes para garantizar que los procesos operan de acuerdo a lo planteado de principio a fin. ISACA, 2008 Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: [email protected] /Casilla de Reclamos: [email protected] 4
