En la actualidad, puede observarse que muchas compañías, principalmente pequeñas y medianas, no destinan el suficiente presupuesto para las áreas de Seguridad de la Información.
Es posible que esto se deba a que en muchas de ellas no existe personal especializado en la materia, quedando esta responsabilidad en manos del grupo de TI.
Esto hace, que no exista personal idóneo, para elaborar una herramienta fundamental para el control de la seguridad, y la explicación de las necesidades a la alta gerencia: El análisis de riesgo.
En los últimos años, y a pesar de estar aún lejos del estadio ideal, se ha notado un incremento en la concientización de las compañías, sobre la importancia de los roles de seguridad. Aquellas que han tenido oportunidad, principalmente por ser su negocio dependiente de la presencia online, o de algún tipo de manejo de información critica, han comenzado a crear áreas dedicadas de seguridad, que colaboran con la compañía para la creación de un ambiente de riesgo acotado.
En organizaciones con mayor evolución y madurez, la figura del CISO (Chief Information Security Officer) se hace presente, como “responsable” por la gestión de la seguridad.
Esta figura, como líder del grupo encargado por la gestión del riesgo, tiene entre sus funciones, una de suma importancia: traducir a un lenguaje de negocio, las necesidades en materia de seguridad, actuando como evangelizador ante los responsables de la aprobación del presupuesto a fin de garantizar que la estrategia de seguridad definida, se alinea a los objetivos de la compañía.
Definiendo las prioridades
Sin ninguna duda, garantizar que exista un adecuado mapeo e identificación de los activos de la compañía asociados al negocio, para luego poder lograr un adecuado análisis de riesgo, debería ser una de las máximas prioridades de los CISO.
Este análisis de riesgo, servirá como base y herramienta para la justificación de inversiones, definición de estrategia de seguridad, de continuidad, y básicamente para la toma de cualquier decisión asociada a la materia.
La comunicación y awareness, sobre todo en los niveles ejecutivos de la compañía, también es una tarea de suma importancia. Del éxito de su tarea como “evangelizador”, dependerá luego la posibilidad de contar con el sponsorship necesario, para ir adelante con el plan que defina.
Es importante tener en cuenta, que el dinero es sumamente importante, pero por si solo, no garantiza el éxito de una estrategia de seguridad. Otros elementos, tales como adecuadas campañas de concientización a los empleados, ayudarán al CISO a maximizar el beneficio de lo invertido.