¿A quién no le ha sucedido en algún momento de su labor diaria proponer una acción referida a proteger los activos de información, contar con todo el apoyo de la dirección y escuchar la famosa frase “Hazlo para toda la empresa, pero excluye a la alta gerencia de esa acción”?, es decir, protege pero a la vez mantén desprotegida toda la información más sensible de la organización, puesto que esas áreas son las que manejan, como ninguna otra, políticas, estrategias y planes de acción relevantes para el desarrollo del negocio.

¿Todo un desafío verdad? Estamos frente a un problema muy común que es la resistencia del director o gerente general a ser controlado, solo porque considera que los controles de seguridad no deberían afectarlo.

En cualquier empresa, sea chica, mediana o grande, si no existe el compromiso de la alta gerencia para adherirse a las normas, la aplicación de las mismas tiende a fracasar inexorablemente.

Lógicamente es más fácil aplicarlas si son normas exigidas por terceros, ya sea su casa matriz, como es el caso de SOX, o bien en cumplimiento de requisitos que los entes contralores de cada país imponen. No cumplir puede acarrear multas o calificaciones que atentan contra el desarrollo del negocio.

Por lo tanto, al verse obligados, y como está en juego el crecimiento de la empresa, los accionistas y la dirección deben aplicar acciones tendentes a mejorar el nivel de madurez de la seguridad que posee la organización, aun si esto les pesa.

Pero, ¿qué pasa con aquellas organizaciones que no necesitan cumplir ninguna norma y a las que no les interesa mejorar el control interno?, y argumentan además que gastar presupuesto en software y hardware sobre un evento que tal vez no suceda no es prioritario, como sí lo son los gastos para obtener más volumen de negocio y, por ende, más ganancia.

En estos casos la estrategia a seguir, desde las áreas de protección de activos de la información, es diagramar una política de capacitación y concientización sobre aspectos de seguridad en TI, apoyados por un análisis de riesgos que permita mostrar a la alta gerencia las consecuencias de no poseer una política adecuada de protección. El desafío es presentar los resultados cuantificados, es decir, mostrando en números la pérdida que provocaría no poseer la política antes mencionada.

Siempre hay que tener en cuenta que la mayoría de los accionistas o directores no comprenden el negocio en términos computacionales, sino más bien en términos monetarios, por lo tanto, ese es el lenguaje que debemos utilizar para las presentaciones hacia esa audiencia.

Otro enfoque muy útil es representar una amenaza de riesgo de TI materializada desde el punto de vista del riesgo reputacional, ya que este riesgo en particular afecta directamente la credibilidad ante los clientes y todas las organizaciones que interactúan con la empresa. Si se demuestra que el hecho ocurrió porque la empresa no tomó las precauciones respectivas, lo más probable es que el cliente que se vio afectado comente con otros lo que le sucedió, de manera tal que la pérdida de confianza y la incertidumbre impacta directamente sobre la rentabilidad del negocio. En estos casos es muy útil utilizar ejemplos con casos que le hayan sucedido a una empresa con características similares a la del cliente potencial.

En conclusión, es obvio que los controles son odiosos y generan rechazo: es mucho más fácil pedir el desbloqueo de una clave vía telefónica y no llenando el formulario respectivo, por mencionar un control mínimo de seguridad que debería existir en cualquier empresa, y que sorprendentemente aún hoy en algunas no existe.

Así pues, para realizar nuestra tarea, no solo basta tener bien claro cuáles son las medidas de seguridad a adoptar, sino elegir el diseño de la estrategia que se llevará a cabo para aplicarlas y para que todos los integrantes de la organización, incluida la alta dirección, se adhieran a esas medidas. Un área de protección de activos de la información que no cuente con el respaldo y patrocinio adecuado, inexorablemente fracasará en su intento por mejorar los controles internos en materia de seguridad de TI.

 

[email protected]