Si podemos echar un vistazo a diferentes empresas podemos conseguir que la Seguridad de la Información es enfocada desde perspectivas muy diversas. Nos podemos conseguir con diversidad de funciones, algunos cubren las necesarias otros no, podemos encontrarnos con duplicación de funciones con Administradores de Sistemas, si poseen o no un programa de concienciación de la seguridad, etc.
Lo primero que hay que pensar es si es requerida la existencia de un Departamento que concentre funciones de seguridad de la información o no, esto dependerá más del tamaño de la organización y de la necesidad o preocupación del negocio por los asuntos de seguridad. La necesidad por la seguridad esta relacionada con la dependencia del negocio a la tecnología y a los niveles de servicios deseados o requeridos para mantener los objetivos del negocio. Un ejercicio recomendado sería realizar la lista de necesidades basadas en los tres objetivos de seguridad esenciales como son: confidencialidad, integridad y disponibilidad. Del resultado de esta abstracción podemos ver que tan complicado seria definir los requerimientos de seguridad, en algunos casos podemos estar seguro que un buen administrador de sistemas se ocupara de estas necesidades, pero si se percibe una preocupación por este asunto y existe cierto nivel de complejidad al realizar esta definición, es entonces donde se debe tomar la decisión de adquirir los servicios de un profesional de la seguridad de la información.
Como profesional de la seguridad de la información el resto es plantear cual es la funcionalidad que debe realizar o la que debe tener la unidad organizacional que lleve los asuntos de seguridad. Esta funcionalidad varía de acuerdo a las necesidades del negocio y a la cultura de seguridad de la organización. Lo mejor para definir estas funciones es o la de realizar un análisis de vulnerabilidad como el planteado por MEHARI, el cual contiene un cuestionario que mide si determinada función de seguridad es llevada a cabo o no. ISM3 (ISM Cubo) es una metodología bastante interesante, lo primero es leerla de aquí se puede construir un cuestionario interesante en una hoja de calculo, donde puedas realizar la medición basada en la madures, incluso con relaciones a COBIT e ISO27002. El análisis y los resultados del mismo determinaran el estado de la seguridad de la información, aparte que se tendría una línea base para llevar a cabo la mejora continua de esta gestión.
Definir quien hace que, es el próximo paso. Aquí lo principal es tener en cuenta la segregación de funciones. El que define las reglas, no puede ser el que las aplica, ni el que las monitorea. Otro punto a considerar es el definir bien los limites entre los operativos de seguridad y lo administradores de sistemas o redes, deforma que no halla puntos grises y se incurra en evasión de la responsabilidad de alguno aludiendo que no le corresponde, aparte que es muy ineficiente no confiar en al administrador de sistema o redes para configurar reglas de seguridad, sin embargo todas estas actividades deben ser monitoreadas. Se debe incluir en esta definición los roles y responsabilidades que el resto de la organización tienen en materia de seguridad. El conseguir un sponsor en la dirección de la organización es vital, de esta forma todo el trabajo que se realice no será en vano ya que formará parte de las prioridades de la organización.
Por último definir metas y un sistema de medición es importante, de esta forma puede aplicar calidad a la gestión de seguridad de la información. Se puede llevar un plan a corto, mediano y largo plazo acorde con la línea base, así se pueden definir los indicadores de gestión. Se deben incluir los servicios que la unidad asuma y metas para cerrar brechas de seguridad que hallan resultado de los análisis de riesgo realizados, auditorias, etc.
Referencias:
https://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES http://www.ism3.com/index.php?option=com_docman&Itemid=9
