Seguridad de información: Factor de gobernabilidad y diferenciador estratégico en los negocios
| Autor | Ricardo Morales González |
| Cargo | Encargado de la Seguridad de la Información de Alestra Presidente de ALAPSI Noreste |
| Páginas | 54-57 |
Page 54
Según el IT Governance Institute, el GSI: "es el conjunto de responsabilidades y prácticas ejercidas por el grupo directivo, con el objetivo de proveer dirección estratégica, asegurar que los objetivos se alcancen, validar que los riesgos de la información sean apropiadamente administrados y verificar que los recursos de la empresa se usen responsablemente".
En términos generales, la meta esencial de un gobierno de seguridad de información es reducir impactos adversos en la organización, a un nivel aceptable de riesgos.
Lo anterior nos lleva a determinar que un GSI basa su éxito en la administración adecuada de los mismos, aunque por definición existen riesgos residuales (los que quedan remanentes después de ¡mplementar un control de seguridad). Es decir, no hay un nivel de riesgo igual a cero, y no hay ningún control que tenga una eficiencia de 100%.
Para ayudar a las organizaciones a minimizar los impactos adversos y manejar los riesgos, este modelo tiene varios objetivos:
• Alineación estratégica. Un GSI deberá empujar la alineación del área de seguridad de la información con los objetivos del negocio. Para esto hay diversas op-Page 55ciones, como basarse en aspectos regúlatenos o legales, proveer mayores ingresos o proteger los que se tienen, mantener la reputación de la compañía y la productividad, etcétera.
• Reducción de riesgos a un nivel aceptable. Este esquema debe permitir que las organizaciones puedan establecer sus niveles de riesgos razonables de acuerdo con las necesidades del negocio, y que la seguridad de la información trabaje en este marco.
• Uso efectivo y eficiente de recursos. Ya que el GSI trabaja con modelos de riesgos, las principales decisiones sobre inversión en recursos deben basarse en los riesgos del negocio, porque así se asegura un razonable uso de recursos de todo tipo.
• Mediciones para asegurar el logro de los objetivos. Al implementar este tipo de gobierno, es posible definir las métricas en seguridad de información alineadas a los objetivos del negocio, las cuales deberán mostrar resultados periódicos para comparar su efectividad y mejorar el mismo GSI.
Para implementar este tipo de gobierno de seguridad es necesario considerar ciertos elementos y no olvidar ninguno, si...
Para continuar leyendo
Solicita tu prueba