Seguridad de la Información y asignación de recursos
Es cierto que nuestro país no se está quedando atrás en materia de Seguridad de la Información y menos aún en el ranking de Sistemas de Gestión de Seguridad de la Información (SGSIs) certificados, donde nos encontramos desde hace ya tiempo en el top ten mundial.
Esta situación tiene aún más mérito del que pudiera parecer, ya que al menos por nuestra experiencia, la empresa española en general no ha terminado de aceptar que la Seguridad de la Información en sentido amplio como la entiende un SGSI basado en ISO 27001, requiere de recursos específicos. Hasta ahora lo que vamos observando en casi todas las empresas es un “aprovechamiento” de recursos que, casi siempre, se sufre desde los departamentos de TI de las empresas debido al alto componente informático de la seguridad de la información en general y del estándar 27001 en particular.
Esto supone encontrarse con SGSIs que no explotan todo su potencial y con Responsables del Sistema de Gestión o Responsables de Seguridad de la Información que no pueden dedicarse a la tarea de velar por la seguridad de los activos de información empresariales con la dedicación requerida.
Pero sobre todo supone hacer juez y parte a las áreas de TI de nuestras empresas, ya que son las encargadas de desplegar y gestionar la mayoría de los recursos de tratamiento de la información y de la infraestructura de comunicaciones, y a su vez se encuentran con la responsabilidad añadida de mantener la seguridad de dichos recursos e infraestructura. Lo cual, aparte de mermar la capacidad del personal de tecnología para dar servicio a los usuarios porque debe dedicar tiempo a los aspectos de seguridad y al mantenimiento del propio SGSI (y esto es algo que cualquier Responsable de Seguridad sabe lo que implica), supone que la Seguridad de la Información nunca se tratará de forma independiente, con los peligros que ello entraña.
Por tanto, tenemos en España una vía sobre la que avanzar en el ámbito de la Seguridad de la Información, y es asumir de una vez por todas que igual que disponemos de un departamento de Recursos Humanos o de un departamento Financiero, debería parecernos ya inconcebible no contar con un departamento de Seguridad de la Información que pueda trabajar de forma independiente y con los recursos que necesite. Sólo así nos situaremos de forma real –y no sólo formal- a la vanguardia de la Seguridad.
Departamento de Gestión
Áudea Seguridad de la Información
www.audea.com