En los pasados días he participado en eventos de seguridad muy interesantes, el día 16 en el IBM Security day y el día 17 el equipo de seguridad de E&Y presento su reporte global sobre la seguridad, con un enfoque muy particular de México.
Mis reflexiones de ambos días son muy similares... Los altos directivos, como CFO o CEO, no se han dado cuenta que la seguridad de la información no es un tema que pueda ser un rubro mas de las actividades y funciones del CIO. Po mas capaz, inteligente, brillante y/o visionario que pueda ser un CIO, nunca podrá tener toda la visión de negocio que pueden tener los que gobiernan y dirigen las compañías.
Tuve la experiencia hace unos años de trabajar con una empresa de consultoría en la creación de un BIA (Business Impact Analysis), y cuando empezamos el proyecto, coordinamos el hacer un ejercicio en el cual a todos los mandos medios y altos de la compañía se les harían 10 preguntas, sobre los planes de contingencia y remediación de la empresa. La reacción de todos y cada uno de ellos fue la de voltear a ver al gerente de TI (léase yo) para ver que respondían y con una risa entre nerviosa e ignorante, todos y cada uno de los presentes no tuvo mas de 6 preguntas correctas... Creen que alguien salió de aquella sala de juntas preocupado, molesto, motivado o tan siquiera inquieto de involucrarse en lo que podría mejorar? Quieren la respuesta o la imaginan?
Todo quedaría como una anécdota sino tuviéramos situaciones como la de Julio a Septiembre de 2006 en la avenida reforma de nuestra bella ciudad de México o los constantes temblores que sufre nuestra ciudad o mas recientemente la influenza. Citando la Biblia “Nadie sabe el día ni la hora...”, lo que si sabemos es que la seguridad de la información dentro de las empresas tiene un valor intangible (No tan intangible como los 96 millones de euros de Cristiano Ronaldo), y el problema es que quienes empiezan a conocer mejor el valor del negocio y la información son los delincuentes que ven con ojos de beneplácito como los dueños y altos directivos no se reúnen a revisar sus planes de seguridad y continuidad.
He leído en diferentes lugares, la seguridad no es un proyecto, o no es un fin, sino un proceso, el problema es que al proceso le falta la cereza, es decir directivos que no sean de TI o de auditorias o de cumplimiento, sino directivos como pueden ser los directivos de recursos humanos de áreas de negocio, ventas, mercadotecnia, finanzas, administración, etc.
Solo cuando todos pongan en sus funciones diarias una parte de trabajo de mantenimiento y mejoramiento de la seguridad, podremos hablar que hemos iniciado el proceso de seguridad, antes de eso, solamente podemos hablar de esfuerzos aislados por despertar a la realidad.
El trabajo a realizar depende de TODOS, ¿quienes son TODOS? Pues desde los estudiantes de las universidades en entender los temas de seguridad de la información, el que cada empleado sienta que es parte de su función el proteger los activos de la compañía, de los gerentes de cumplimiento, TI, auditoria y demás áreas que hasta el día de hoy han cargado con la responsabilidad de la seguridad y continuidad de los negocios y por ultimo y los que mas requieren de involucrarse en estos temas, a la alta dirección de las empresas
No comments:
Post a Comment