• Sáb. Dic 4th, 2021

Astra Coin

Empresa de Ciberseguridad, mantenimiento de paginas web, análisis forense, llama para más información

Roles de seguridad de la información

Porastracoinsolutions

Oct 27, 2021
two person standing under lot of bullet cctv camera

Al evaluar el gobierno corporativo de las empresas modernas, no se puede dejar de prestar atención a los problemas obvios con la seguridad de la información. Para solucionar estos problemas, se requiere que la alta dirección lleve a cabo iniciativas que, por un lado, son complejas, multifacéticas y poco obvias, y por otro, implican la implicación de todos los empleados de la empresa, y sobre todo de los responsables de gestión. varios departamentos clave. De esto se trata este artículo.

La seguridad de la información no funciona sin la ayuda de dentro de la organización

Enumeremos, omitiendo al jefe del servicio de seguridad de la información, alrededor de siete puestos gerenciales diferentes en empresas responsables como los principales ejecutores de la resiliencia operativa, la infraestructura segura, la asignación adecuada de recursos, los riesgos para la reputación, la respuesta a incidentes y otros aspectos de la seguridad de la información:

  • alta dirección;
  • servicio de personal;
  • Servicio de TI;
  • gestión de riesgos;
  • servicio de auditoría interna;
  • servicio legal;
  • seguridad general.

Analicemos los posibles puntos de interacción de estos departamentos, y sobre todo de sus líderes, en el contexto de la seguridad de la información de la empresa.

Alta dirección

CEO (director ejecutivo), director ejecutivo – director ejecutivo

La gestión de la empresa asegura la creación y mantenimiento de un entorno interno que permita a los empleados participar plenamente en el logro de los objetivos estratégicos de la empresa. IB comienza con el director general y desciende, cubriendo a todo el personal. Es la alta dirección la responsable de crear una cultura sólida de comportamiento seguro, y él personalmente debe dar un ejemplo de la actitud correcta hacia los requisitos de seguridad de la información. Esta actitud de liderazgo conducirá a un mayor diálogo entre quienes definen la cultura de la empresa y requieren el cumplimiento de ciertas reglas, y quienes son responsables de las actividades comerciales.

Las empresas de hoy necesitan líderes internos que combinen un alto nivel de conocimiento tecnológico con una perspectiva amplia. Es importante que la empresa cree un entorno abierto en el que no solo se fomente la información sobre el éxito, sino también la información negativa sobre cualquier proceso. Crear una atmósfera de transparencia es otra tarea de la alta dirección a la hora de desarrollar una estrategia de seguridad.

Servicio de RRHH

CHRO (Director de recursos humanos), Director de recursos humanos

La seguridad de la información depende en gran medida de la estructura organizativa y la cultura corporativa de la empresa, y el papel del director de RR.HH. es uno de los clave para garantizar la seguridad de la información.

¿Cómo se expresa esto? En primer lugar, dicho líder debe asumir parte de la responsabilidad de los empleados contratados por la empresa. La causa de cualquier incidente de seguridad de la información puede ser una intención maliciosa o la incompetencia del empleado. Comprender los intereses y las motivaciones del día a día de los empleados contratados es una parte importante del trabajo del departamento de recursos humanos.

Las organizaciones pueden tratar a sus empleados contratados y despedidos. Pero en este caso, no se debe contar con la alta calidad del personal y una buena reputación en el mercado laboral. Gestionar la contratación y la salida de los empleados, teniendo en cuenta los riesgos emergentes asociados, por ejemplo, a las brechas de información, es una de las contribuciones más importantes del departamento de RR.HH. a la seguridad de la empresa.

Otra parte importante de RR.HH. es la aplicación de programas de formación avanzada en seguridad de la información y su difusión en toda la organización.

El papel del departamento de RR.HH. también es importante para asegurar la ética de las medidas de seguridad aplicadas por la empresa, en la alineación de sus tareas, metas e intereses con las tareas y metas de los empleados. Un gobierno corporativo eficaz no puede depender de empleados que se ven obligados a actuar en contra de sus propios intereses. El seguimiento de las acciones de los empleados a menudo plantea preguntas sobre la confianza de los empleados. Recursos Humanos comprende mejor los fundamentos éticos de estos temas y puede asesorar a la alta dirección y a los servicios de seguridad de la información sobre si las políticas de seguridad adoptadas funcionarán y si están en consonancia con la cultura corporativa.

Servicio de TI

CIO (director de información), director de información

Es importante para el CIO que la seguridad de la información aumente la estabilidad y confiabilidad de los sistemas de TI y esto afecta la capacidad de recuperación operativa de los procesos comerciales.

En cuanto a los aspectos técnicos, la dirección de la empresa se preocupa principalmente por las interrupciones en el funcionamiento de los sistemas de TI o la insatisfacción de los empleados con su uso, ya que estos sistemas apoyan los procesos comerciales actuales y, en cierta medida, respaldan las actividades comerciales.

A lo largo del ciclo de vida de una empresa, a menudo sucede que el equipo de seguridad de la información entra y se va después de un breve período de tiempo, mientras que el equipo de TI permanece durante mucho tiempo. Esto es consecuencia de las prioridades estratégicas del negocio, que se formaron con el desarrollo e implementación de tecnologías de TI. De hecho, una empresa madura ha estado viviendo con el servicio de TI durante más o menos 40 años y está acostumbrada a seguir y confiar en todo lo que dice (todos en la empresa lo saben: cómo se lanzó la infraestructura de TI hace 20 años, por lo que todo sigue funcionando. por lo menos) … En el caso de un cambio en el equipo de TI, será necesario reevaluar cómo funciona el sistema de TI desactualizado, cómo el proceso de actualización no es trivial, etc.

Las empresas han estado familiarizadas con la seguridad de la información durante los últimos 10 a 15 años, en el mejor de los casos. Y es el servicio de seguridad de la información el que informa al top sobre todas las jambas de TI: incumplimiento de los empleados (por ejemplo, en materia de cambio de contraseñas de administradores de red), presencia de cuentas técnicas en Active Directory, cierre intempestivo de vulnerabilidades etc.

En la confrontación entre los equipos de seguridad de la información y las «jambas» de TI, estos últimos están formalmente del lado de la seguridad de la información, pero de hecho, en el mundo real, hay malentendidos, rivalidad, acciones abiertas o encubiertas por parte de los ingenieros de TI ( «Gurús de TI») que están acostumbrados a instalar determinadas reglas de forma independiente. Está en el poder del CIO cambiar la situación en la dirección de la conciencia de sus empleados sobre la importancia de la seguridad de la información para la sostenibilidad de la empresa.

Gestión de riesgos

CRMO (Director de Gestión de Riesgos), Director de Riesgos, Director de Riesgos

La mejora continua debe ser uno de los objetivos estratégicos obligatorios y constantes de la empresa. La identificación de riesgos en el contexto de las prioridades comerciales es uno de los objetivos clave de la empresa en el campo de la seguridad de la información.

La gestión de riesgos monitorea todos los riesgos de la organización. Por tanto, la participación del Director de Gestión de Riesgos en velar por la seguridad de la información de la empresa puede considerarse derivada directamente de sus responsabilidades.

La priorización de riesgos no es una tarea técnica. Ésta es la tarea de administrar la empresa. El Director de Riesgos tiene un papel importante que desempeñar en el desarrollo del programa de seguridad de la información y supervisar cómo se documentan, aceptan y eliminan los riesgos identificados.

Tampoco se debe suponer que todos los enfoques de la gestión de riesgos son ideales o simplemente razonables. El sector tecnológico necesita deshacerse de la ilusión de que solo él es capaz de comprender la tecnología de la información y sus sutilezas. Necesita compartir más información sobre estas sutilezas para que la alta dirección y el personal de gestión de riesgos las comprendan mejor.

Servicio de Auditoria Interna

CAE (Director Ejecutivo de Auditoría), Director de Auditoría Interna

Las actividades del servicio de auditoría interna son muy importantes tanto para los departamentos de seguridad de la información y TI como para la gestión de la empresa. Para la seguridad de la información y los servicios de TI, esta es una visión de terceros de los problemas de seguridad de TI, centrada en las áreas más importantes de las actividades comerciales de la empresa. Para la alta dirección, la actividad del servicio de auditoría interna ahorra mucho tiempo y elimina los procedimientos de supervisión de rutina.

Las infracciones reveladas en el curso de la auditoría interna se escalan inmediatamente «hacia arriba», ya que el servicio de control interno ha establecido tradicionalmente comunicaciones con la dirección de la empresa. Todo lo que pueda tener consecuencias negativas para la empresa (multas, sanciones, medidas punitivas por parte de los reguladores) se discute con la dirección con el fin de desarrollar medidas para prevenir consecuencias negativas.

Pero también existen dificultades en las actividades de auditoría interna. Para este servicio, cumplir con los requisitos reales de seguridad de la información puede ser menos prioritario que cumplir con las regulaciones y leyes de la industria. La alta dirección no debe tener la ilusión del control de auditoría interna de que el cumplimiento de las normas protegerá a la empresa de cualquier problema. Aquí es importante no descuidar otras medidas preventivas propuestas por todos los grupos de interés de la empresa.

CLO (Director Jurídico), Asesor Jurídico, Director de Servicios Legales

El director del departamento legal está llamado a influir significativamente en las creencias y puntos de vista de la dirección de la empresa, incluida la estrategia.

Si los especialistas del servicio legal están bien versados ​​en la legislación relacionada con la protección de datos personales, comprenden los conceptos básicos de la tecnología, conocen prácticas legales confiables en el campo del cumplimiento de la legislación de seguridad de la información, entonces esto puede indicar que la empresa tiene antecedentes legales experiencia en tecnologías de seguridad.

Los especialistas legales juegan un papel clave en la determinación de la política de la empresa sobre el intercambio de información significativa con las agencias gubernamentales, participan en los procedimientos judiciales, están involucrados en la evaluación de los requisitos de las autoridades reguladoras, en la evaluación de las cuestiones procesales de respuesta a las inspecciones e investigaciones. El servicio jurídico desempeña un papel particularmente importante desde el punto de vista de la seguridad de la información en la respuesta a las filtraciones de información restringida y datos personales.

Seguridad general (seguridad interior, seguridad económica, régimen de servicio)

CSO (Director de seguridad), director de seguridad empresarial, jefe de seguridad

En las empresas modernas, la organización de la seguridad física suele subcontratarse y el servicio de seguridad suele estar dotado de la funcionalidad de seguridad interna y / o económica. Los agentes de seguridad controlan la trayectoria de los candidatos, tratan de descubrir episodios negativos en sus biografías y otros puntos que son importantes desde el punto de vista de la fiabilidad del candidato para un puesto en la empresa.

Al investigar incidentes, el servicio de seguridad tradicionalmente pasa a primer plano. El servicio de seguridad de la información proporciona todas las facturas necesarias para el empleado multado: logs, correos electrónicos, etc., y el servicio de seguridad lleva la investigación a su conclusión lógica.

Conclusión

Los líderes divisionales anteriores a menudo ven los problemas de seguridad de la información de diferentes maneras, pero bajo el liderazgo de la administración de la empresa, pueden llegar a un entendimiento común que determinará la estrategia de seguridad en las actividades comerciales de la empresa.

Una de las condiciones clave para la cooperación de un gran número de participantes es reconocer los roles que debe desempeñar cada grupo en la empresa. Los representantes de la alta dirección son responsables del papel de los líderes en estos procesos. Solo ellos tienen la autoridad para determinar qué es importante para la empresa y qué no.

Las anteriores son las características de la participación en la estrategia de seguridad de cada uno de los líderes de los departamentos clave. Pero hay un área donde todos los esfuerzos convergen es la respuesta a incidentes de seguridad de la información. Desarrollar e implementar planes de respuesta a incidentes sólidos y consistentes es una tarea formidable que es absolutamente esencial para el éxito de una empresa al lidiar con eventos negativos. El desarrollo de tales planes es un proyecto multidisciplinario en el que cada uno de los líderes clave debe desempeñar un papel. Al preparar planes de respuesta, una empresa debe responder a muchas preguntas. ¿Quién está en el equipo de respuesta? ¿Quién lidera este equipo? ¿En qué momento se requiere que una empresa informe eventos negativos a los reguladores estatales o federales? ¿Qué acuerdos y contratos se requieren en caso de que la infraestructura de la empresa deje de funcionar? ¿La gerencia requiere por las leyes de privacidad, las leyes laborales o las políticas de la empresa que notifique a sus empleados, clientes o accionistas? 

La solución a muchos problemas de seguridad de la información es imposible sin un compromiso entre los participantes. La alta dirección no está acostumbrada a actuar bajo las órdenes de otra persona, y la regulación de los líderes tecnológicos que han aparecido inesperadamente en las empresas en la persona de directores de TI y seguridad de la información a menudo limita su libertad de acción e infringe su orgullo. Pero los líderes de hoy tienden a comprender los riesgos tecnológicos ocultos y se basan en una amplia gama de opiniones en la empresa cuando desarrollan una estrategia de seguridad.

La plena participación de los empleados de todos los niveles en las actividades de la empresa contribuye a la aplicación de sus conocimientos, habilidades y habilidades en beneficio de la organización. Esta es la única forma de crear una estrategia de seguridad para una empresa moderna.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *