Por: CP Iván Rodríguez. Colaborador de Auditool. 

Uno de los desafíos que deben asumir los miembros de la alta dirección –en conjunto con los auditores y los directores de seguridad de la información o sus equivalentes– es asegurar suficiente tiempo, fondos y personal para lograr y mantener sus metas y objetivos de forma independiente. Esto implica un trabajo de colaboración entre líderes, colaboradores y partes interesadas para identificar, así como lograr objetivos comunes que respalden su éxito mutuo.

Los programas, actividades y personal de seguridad y riesgo de la información no siempre parecen tener la misma relevancia para todos. Los líderes y el personal de la organización están motivados para lograr sus objetivos, también pueden ver el riesgo de la información y las actividades de seguridad como actividades que pueden llegar a interferir con el ritmo normal de trabajo. Esto, a menudo, es el resultado de una falta de apreciación o comprensión de los factores de riesgo y las consecuencias que pueden ocurrir si tales amenazas se materializan.

Por su parte, los profesionales de seguridad y riesgo de la información –y en ocasiones los auditores– pueden carecer de la visibilidad y el conocimiento necesarios para comprender de manera integral los impactos comerciales de los controles, requisitos y actividades que piden a sus organizaciones que adopten y mantengan. Ambos grupos tienen buenas intenciones y es más probable que tengan éxito si colaboran para encontrar un camino común hacia adelante y apoyarse mutuamente en el éxito.

Algunas consideraciones que se pueden tener en cuenta para desarrollar una estrategia de colaboración para el riesgo y la seguridad de la información dentro de una organización son las siguientes:

  • Colaborar con personas clave para desarrollar y mantener un perfil de riesgo de información (information risk profile - IRP): un IRP fomenta una comprensión común del apetito de riesgo de información entre el equipo de riesgo y seguridad de la información de una organización, la alta dirección y demás partes interesadas. Un perfil de riesgo de la información documenta los tipos, las cantidades y la prioridad de los riesgos de la información que una organización considera aceptables e inaceptables. Este perfil se desarrolla en colaboración con numerosas partes interesadas en toda la organización, incluidos líderes empresariales, propietarios de datos y procesos, gestión de riesgos empresariales, auditoría interna y externa, legal y cumplimiento.
    Si la alta dirección de la organización o las partes interesadas clave cuestionan los niveles de esfuerzo o costos requeridos para implementar controles, los profesionales de seguridad y riesgo de la información pueden hacer referencia al IRP mutuamente acordado. Esto les permite trabajar en conjunto para identificar si la organización debe mantenerse en su curso de acción actual o recalibrar su nivel de riesgo.
  • Articular amenazas, vulnerabilidad y riesgo: los profesionales de seguridad y riesgo de la información en ocasiones cometen el error de referirse al riesgo cuando en realidad están representando sus ideas y análisis sobre amenazas y vulnerabilidades. La determinación de un riesgo para una organización incluye información sobre amenazas y vulnerabilidades, pero también incorpora puntos de datos importantes, como análisis de impacto en el negocio (BIA) si se materializa la amenaza o se explota la vulnerabilidad, el valor comercial del activo o proceso comercial evaluado y la calibración con el apetito de riesgo general de la organización. Estos conocimientos empresariales solo se pueden lograr cuando hay colaboración e interacción entre los propietarios de procesos empresariales, las partes interesadas clave y la alta dirección para garantizar su precisión. Los profesionales de seguridad y riesgo de la información, así como los auditores, pueden colaborar con la alta dirección y los propietarios de procesos para incorporar sus conocimientos en las evaluaciones mutuas de seguridad y riesgo empresarial, que dan como resultado una determinación y clasificación más precisas del riesgo empresarial.
  • Adaptar y educar: en lugar de decir no a las nuevas tecnologías, ideas y capacidades en nombre de la seguridad, hay que emplear un enfoque más efectivo como adoptarlas y, al mismo tiempo, educar a las personas que desean usarlas en relación con el riesgo de información, las consideraciones y requisitos de seguridad. Esto permite a las personas tomar decisiones informadas sobre el uso de nuevas tecnologías y, al mismo tiempo, garantiza que sean conscientes de cualquier riesgo de información e implicaciones de seguridad. Si es necesario tomar medidas correctivas o restrictivas al usar la nueva tecnología, es menos probable que las personas informadas se resientan con el profesional o programa de seguridad y riesgo de la información.
  • Utilizar un enfoque consultivo: los auditores, profesionales de seguridad y riesgo de la información a menudo son percibidos como autoritativos e inaccesibles por las personas en sus organizaciones. Por ello, un enfoque eficaz para eliminar este estigma es integrar un elemento consultivo en los programas y actividades de riesgo y seguridad de la información. Esto ayuda a construir relaciones de colaboración sólidas, permite proporcionar orientación útil y una participación de todos en las actividades comerciales de forma regular. Así, los empleados podrán hacer preguntas, desarrollar y colaborar en ideas, y comprometerse proactivamente entre sí para garantizar que no solo entienden el riesgo de la información y las expectativas y requisitos de seguridad, sino también las razones de su existencia.
  • Presentar información de valor para la organización: en lugar de asumir lo que la alta dirección y las partes interesadas quieren saber sobre el riesgo y la seguridad de la información, vale la pena preguntar primero. A menudo ocurre que los auditores y los profesionales de seguridad y riesgo asumen que saben qué conocimientos e información son importantes para las partes interesadas o que no tienen el conocimiento suficiente. Si bien esto puede ser cierto en algunos casos, normalmente tienen una idea general de la información que sería útil y beneficiosa para ellos y cómo les gustaría que se presentara. Por ello la comunicación y la colaboración facilita la construcción de relaciones más sólidas y comprender cómo interactuar entre sí de manera más efectiva. Un enfoque para facilitar este proceso es establecer grupos de trabajo o reuniones para discutir el riesgo y la seguridad de la información. Entonces, se crea un entorno de colaboración donde las ideas se comparten, debaten y desarrollan para impulsar un resultado o entregable común.

Como acabamos de ver, la colaboración es clave para la gestión del riesgo y la seguridad de la información. Los auditores y los profesionales de seguridad y riesgo de la información a menudo están cargados de conocimientos y perspectivas que impulsan sus acciones y actividades, pero no siempre son entendidos por los líderes empresariales y las partes interesadas. Una de las maneras eficientes en que los programas de seguridad y riesgo de la información tengan éxito es que sean adoptados y promovidos en toda la empresa. Por tanto, es importante cultivar una cultura en la que sean vistos como asesores en lugar de adversarios. Ser inclusivo y promover enfoques y actividades colaborativas puede crear inicialmente ineficiencias percibidas, pero con el tiempo, se crea más aceptación, credibilidad y éxito.


 ivan

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.