Por: CP Iván Rodríguez. Colaborador de Auditool.
Uno de los desafíos que deben asumir los miembros de la alta dirección –en conjunto con los auditores y los directores de seguridad de la información o sus equivalentes– es asegurar suficiente tiempo, fondos y personal para lograr y mantener sus metas y objetivos de forma independiente. Esto implica un trabajo de colaboración entre líderes, colaboradores y partes interesadas para identificar, así como lograr objetivos comunes que respalden su éxito mutuo.
Los programas, actividades y personal de seguridad y riesgo de la información no siempre parecen tener la misma relevancia para todos. Los líderes y el personal de la organización están motivados para lograr sus objetivos, también pueden ver el riesgo de la información y las actividades de seguridad como actividades que pueden llegar a interferir con el ritmo normal de trabajo. Esto, a menudo, es el resultado de una falta de apreciación o comprensión de los factores de riesgo y las consecuencias que pueden ocurrir si tales amenazas se materializan.
Por su parte, los profesionales de seguridad y riesgo de la información –y en ocasiones los auditores– pueden carecer de la visibilidad y el conocimiento necesarios para comprender de manera integral los impactos comerciales de los controles, requisitos y actividades que piden a sus organizaciones que adopten y mantengan. Ambos grupos tienen buenas intenciones y es más probable que tengan éxito si colaboran para encontrar un camino común hacia adelante y apoyarse mutuamente en el éxito.
Algunas consideraciones que se pueden tener en cuenta para desarrollar una estrategia de colaboración para el riesgo y la seguridad de la información dentro de una organización son las siguientes:
- Colaborar con personas clave para desarrollar y mantener un perfil de riesgo de información (information risk profile - IRP): un IRP fomenta una comprensión común del apetito de riesgo de información entre el equipo de riesgo y seguridad de la información de una organización, la alta dirección y demás partes interesadas. Un perfil de riesgo de la información documenta los tipos, las cantidades y la prioridad de los riesgos de la información que una organización considera aceptables e inaceptables. Este perfil se desarrolla en colaboración con numerosas partes interesadas en toda la organización, incluidos líderes empresariales, propietarios de datos y procesos, gestión de riesgos empresariales, auditoría interna y externa, legal y cumplimiento.
Si la alta dirección de la organización o las partes interesadas clave cuestionan los niveles de esfuerzo o costos requeridos para implementar controles, los profesionales de seguridad y riesgo de la información pueden hacer referencia al IRP mutuamente acordado. Esto les permite trabajar en conjunto para identificar si la organización debe mantenerse en su curso de acción actual o recalibrar su nivel de riesgo.
- Articular amenazas, vulnerabilidad y riesgo: los profesionales de seguridad y riesgo de la información en ocasiones cometen el error de referirse al riesgo cuando en realidad están representando sus ideas y análisis sobre amenazas y vulnerabilidades. La determinación de un riesgo para una organización incluye información sobre amenazas y vulnerabilidades, pero también incorpora puntos de datos importantes, como análisis de impacto en el negocio (BIA) si se materializa la amenaza o se explota la vulnerabilidad, el valor comercial del activo o proceso comercial evaluado y la calibración con el apetito de riesgo general de la organización. Estos conocimientos empresariales solo se pueden lograr cuando hay colaboración e interacción entre los propietarios de procesos empresariales, las partes interesadas clave y la alta dirección para garantizar su precisión. Los profesionales de seguridad y riesgo de la información, así como los auditores, pueden colaborar con la alta dirección y los propietarios de procesos para incorporar sus conocimientos en las evaluaciones mutuas de seguridad y riesgo empresarial, que dan como resultado una determinación y clasificación más precisas del riesgo empresarial.
- Adaptar y educar: en lugar de decir no a las nuevas tecnologías, ideas y capacidades en nombre de la seguridad, hay que emplear un enfoque más efectivo como adoptarlas y, al mismo tiempo, educar a las personas que desean usarlas en relación con el riesgo de información, las consideraciones y requisitos de seguridad. Esto permite a las personas tomar decisiones informadas sobre el uso de nuevas tecnologías y, al mismo tiempo, garantiza que sean conscientes de cualquier riesgo de información e implicaciones de seguridad. Si es necesario tomar medidas correctivas o restrictivas al usar la nueva tecnología, es menos probable que las personas informadas se resientan con el profesional o programa de seguridad y riesgo de la información.
- Utilizar un enfoque consultivo: los auditores, profesionales de seguridad y riesgo de la información a menudo son percibidos como autoritativos e inaccesibles por las personas en sus organizaciones. Por ello, un enfoque eficaz para eliminar este estigma es integrar un elemento consultivo en los programas y actividades de riesgo y seguridad de la información. Esto ayuda a construir relaciones de colaboración sólidas, permite proporcionar orientación útil y una participación de todos en las actividades comerciales de forma regular. Así, los empleados podrán hacer preguntas, desarrollar y colaborar en ideas, y comprometerse proactivamente entre sí para garantizar que no solo entienden el riesgo de la información y las expectativas y requisitos de seguridad, sino también las razones de su existencia.
- Presentar información de valor para la organización: en lugar de asumir lo que la alta dirección y las partes interesadas quieren saber sobre el riesgo y la seguridad de la información, vale la pena preguntar primero. A menudo ocurre que los auditores y los profesionales de seguridad y riesgo asumen que saben qué conocimientos e información son importantes para las partes interesadas o que no tienen el conocimiento suficiente. Si bien esto puede ser cierto en algunos casos, normalmente tienen una idea general de la información que sería útil y beneficiosa para ellos y cómo les gustaría que se presentara. Por ello la comunicación y la colaboración facilita la construcción de relaciones más sólidas y comprender cómo interactuar entre sí de manera más efectiva. Un enfoque para facilitar este proceso es establecer grupos de trabajo o reuniones para discutir el riesgo y la seguridad de la información. Entonces, se crea un entorno de colaboración donde las ideas se comparten, debaten y desarrollan para impulsar un resultado o entregable común.
Como acabamos de ver, la colaboración es clave para la gestión del riesgo y la seguridad de la información. Los auditores y los profesionales de seguridad y riesgo de la información a menudo están cargados de conocimientos y perspectivas que impulsan sus acciones y actividades, pero no siempre son entendidos por los líderes empresariales y las partes interesadas. Una de las maneras eficientes en que los programas de seguridad y riesgo de la información tengan éxito es que sean adoptados y promovidos en toda la empresa. Por tanto, es importante cultivar una cultura en la que sean vistos como asesores en lugar de adversarios. Ser inclusivo y promover enfoques y actividades colaborativas puede crear inicialmente ineficiencias percibidas, pero con el tiempo, se crea más aceptación, credibilidad y éxito.
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.