En los últimos años, ha cobrado relevancia la gestión de la seguridad y en especial la participación activa de la alta dirección en ella, que resulta fundamental para el logro de los objetivos en esta materia y por ende, de la empresa en general.

De acuerdo con una encuesta realizada por Enterprise Risk Management Initiative (ERM), en 2015 la seguridad de la información ha pasado a formar parte de las prioridades de los ejecutivos consultados. En este contexto, enlistamos las preguntas que el equipo de seguridad debería realizar a la gerencia que se encuentra preocupada por la seguridad en la empresa.

1. ¿Cuáles son los objetivos primordiales de la empresa?

Antes de comenzar a implementar cualquier iniciativa o control de seguridad, la primera actividad debe estar enfocada en conocer el negocio, ya que de esta forma es posible conocer lo realmente necesario para el funcionamiento de la organización, y en consecuencia, lo que debe ser protegido.

El área de seguridad de la información y sus responsables deben identificar la manera de proteger la información que es utilizada en el día a día como parte de las actividades y procesos que permiten alcanzar los objetivos de la organización y a partir de ellos, establecer objetivos y metas propias de seguridad. En otras palabras, se debe buscar la denominada alineación estratégica, de manera que cualquier esfuerzo contribuya al cumplimiento de objetivos y logro de la misión.

2. ¿Cómo participa en las iniciativas de seguridad de la información?

El éxito de la mayoría de las iniciativas relacionadas con la protección de la información se logra, entre otros factores, con los recursos y el patrocinio necesario, que involucran de forma directa a la alta dirección.

Como parte del gobierno de seguridad, la gerencia debe participar en distintas actividades, como la revisión y aprobación de políticas de seguridad, crear y participar en las estructuras dentro de la empresa que permitan mostrar su compromiso y liderazgo, autorizar auditorías o asignar responsabilidades para el área de seguridad, y en general cualquier otra tarea en la que su injerencia sea requerida.

3. ¿Se debe cumplir con alguna legislación o requisito específico?

Un elemento que debe ser considerado es el cumplimiento, lo que significa estar en conformidad con los requisitos que son aplicables para la organización, como pueden ser la legislación de cada país. Por ejemplo, pueden considerar leyes de protección de datos personales, de contabilidad o aquellas que buscan evitar fraudes en las empresas que cotizan en la bolsa de valores.

Como parte del cumplimiento, la alta dirección también debe reconocer los reglamentos, contratos o lineamientos a los cuales la organización debe apegarse como parte de las obligaciones contraídas, estimar los costos potenciales del incumplimiento, así como las acciones correctivas necesarias y los costos asociados para lograr el apego.

4. ¿Qué categorías se le asigna a los riesgos en la empresa?

Si bien cada uno tiene un concepto de lo que representa una característica cualitativa como “alto, medio o bajo” (por ejemplo cuando se habla de un riesgo) y por lo tanto se vuelven ideas completamente subjetivas, en materia de seguridad es fundamental definir criterios precisos de lo que esto significa, en ocasiones a través de consensos.

A partir de estas definiciones en las cuales la alta dirección debe tomar las decisiones finales, es posible identificar lo que representa un impacto significativo, con la intención de priorizar y atender primero lo que se considera más importante. Además, esto también está relacionado con la cantidad de recursos destinados a actividades y controles seguridad, mismos que deben ser aplicados de forma óptima.

5. ¿Cuánto presupuesto se tiene asignado para la seguridad?

Tal vez una de las preguntas más importantes está relacionada con el dinero presupuestado para la seguridad, que se encuentra estrechamente relacionado con los puntos anteriores, ya que una forma de mostrar el compromiso de la alta dirección con la seguridad, es a través de la asignación de los recursos necesarios para las tareas de esta área, principalmente los financieros, pero también del personal y el tiempo necesario.

Aunque el presupuesto depende de diversos factores, un elemento que permite conocer el dinero necesario en seguridad es la estimación de costos o pérdidas relacionados con riesgos de seguridad, mismo que se convierte en una ecuación compleja, debido a las variables que deben ser considerados para obtener un valor cuantitativo.

Finalmente, hemos enlistado estas preguntas de aplicación general, ya que se trata de las principales actividades en las que la alta dirección debería participar de forma directa; sin embargo, seguramente existe un sinnúmero de cuestiones que pueden formularse a la gerencia que está interesada en mejorar la seguridad de la información en su empresa, y éstas dependerán de los intereses, las iniciativas y actividades que se desarrollan en el área de seguridad de cada organización.