¿Cómo no morir en el intento de establecer políticas de seguridad de la información?
La base principal para establecer sólidas políticas de seguridad de la información es contar con el apoyo total de la dirección de gerencia. Al lograr venderle a gerencia los beneficios del proyecto de implementación de una norma de seguridad de la información (como puede ser la Norma internacional ISO 27001), y no necesariamente enfocándose en el tema marketero, si no más bien en la cultura organizacional que se obtendrá tras la implementación; tendremos ganado gran parte del éxito de la implementación.
Pero ¿Cómo obtener este apoyo?
El lenguaje de la alta dirección o gerencia se basa en utilidad y tiempo, si nosotros demostramos con gráficos de indicadores los porcentajes de crecimiento de utilidad y el tiempo con el que se obtendrán estos beneficios, la alta dirección o gerencia mostrará interés tras percibir preocupación por parte de los consultores o equipo encargardo de la implementación de seguridad de la información sobre estos dos conceptos claves en la alta dirección: utilidad (dinero) y tiempo.
¿Cuál es el primer paso?
Tras obtener la dirección y apoyo de la gerencia se deberá evaluar la visión de la implementación en base al cumplimiento con los requisitos de la organización y las leyes de regulaciones vigentes en ella. Lo primero entonces es analizar los objetivos, principios y reglas para la gestión de seguridad de la información, tras ello se plasmarán a un documento que tiene que cumplir con la gestión de documentos implementados en la organización. Si no existiera esta gestión de documentos, deberá aprovecharse en iniciar con ello pues es una pieza vital para cualquier organización que desea mantenerse ordenada. Tras documentar estas políticas, deberá buscarse la aprobación de la alta gerencia para proceder a la propagación de la misma dentro y fuera (según sea el caso) de la organización.
¿Y después?
Las políticas no deben quedar como un saludo a la bandera o solamente para salvar la auditoría, las políticas deben correr por las venas de la cultura organizacional y generar conciencia de su ejecución y obtención de beneficios. En esto nos puede ayudar el área de recursos humanos con capacitaciones y charlas de concientización. Esto dará buen pie para los siguientes pasos como definición de roles y responsabilidades, segregación de funciones o gestión de proyectos.
Consejo AudIT
Un correcto entendimiento del negocio permitirá establecer adecuadamente las políticas de seguridad de la información de acuerdo a los objetivos estratégicos de la organización. Mientras la alta dirección tenga claro que el soporte de tecnologías de la información en la toma de decisiones es una pieza clave para la gestión estratégica, podrá empujar el carrito de seguridad de información a favor de ambas partes (consultores e interesados).