¿Quién es el responsable de la administración del riesgo de seguridad?

  • Opinión

  • Hace más de 2 años

  • junio 13, 2017

  • 2 minutos, 40 segundos de lectura

Con la cantidad de ataques informáticos reportados diariamente, la pregunta sobre el nivel de riesgo informático que corremos es importante. Este tipo de riesgos informáticos, normalmente se le delega automáticamente al personal de sistemas o al CIO, al ser un tema “complejo” y altamente técnico, que sólo le atañe a las respectivas áreas con un perfil informático. Nada más erróneo y peligroso.

Por: Carlos Perea, vicepresidente de ventas para Latinoamérica de Gigamon

Partamos de una premisa, que es que las organizaciones, empresas y gobiernos no están entendiendo: la seguridad informática no son solo servidores y algoritmos, es una parte fundamental de la cultura organizacional y es algo que hacemos todos. Evidentemente, un empleado que está encargado de capturar la contabilidad no es responsable de revisar que todos los sistemas tengan la última actualización de Windows para evitar ser contagiados por WannaCry, sin embargo, si éste, da clic a un banner malicioso desde su Facebook, sin pensarlo 2 veces, ahí es donde reside parte de su responsabilidad. La otra, la comparte el resto de su estructura organizacional por no comunicar las reglas para el uso de la red, sitios web y redes sociales (si es que su empresa tiene un plan). Este es un ejemplo burdo y ascendente de cómo la seguridad informática es un tema que nos debe de interesar a todos.

De manera descendente, las juntas de administración son el grupo de ejecutivos que comparten esta responsabilidad y a su vez, de manera descendente a sus subordinados. No absuelve a la alta dirección de su responsabilidad de de proteger a sus organizaciones de complicados riesgos asociados con la calidad, seguridad de los usuarios y evolución de las innovaciones propuestas.

El rol de los consejos de administración

Algunos consejos de administración dejan el tema de la seguridad (desde el tema presupuestario) a un comité de auditoría de riesgos, otros lo ven como una prioridad estratégica separada o como parte de una estructura de gobierno corporativo de administración de riesgos, muchos otros ni siquiera lo tienen considerado.

Independiente del enfoque, así como las juntas son responsables en última instancia y legalmente responsables de supervisar la integridad, los sistemas y los buenos controles financieros de una organización, también son responsables de proporcionar dirección estratégica en gestión de riesgos al liderazgo senior, así como supervisión de sistemas, procesos y controles relacionados con la ciberseguridad.

La responsabilidad del CEO en la ciberseguridad de la organización

Si bien el consejo de administración es responsable de proporcionar dirección estratégica y supervisión, el CEO es un jugador clave en la seguridad informática, desde su institucionalización como cultura, hasta su puntual ejecución en cada unidad de negocio. Un CEO debe estar involucrado e involucrar a su equipo cercano en la implementación de políticas, procedimientos y controles para asegurar que la información, personal y clientes están protegidos. Esta responsabilidad incluye reportar al consejo de manera oportuna, transparente y detallada. Quien apoya al CEO, naturalmente es el director de información (CIO) o director de seguridad informática (CISO), esto para reportar trimestral o anualmente a la junta, lo que ocurre en materia de seguridad informática. El departamento de tecnologías de la información a cargo de un CIO o CISO, son los responsables de implementar, administrar e informar sobre el riesgo de ciberseguridad y deben reportar directamente a un miembro del equipo de liderazgo o directamente al CIO.

De manera descendente, organizada y coordinada, dichos liderazgos deben apoyarse de las áreas de comunicación, mercadotecnia y recursos humanos para transmitir con precisión a los empleados y proveedores, las medidas y reglas en materia informática.

La información contenida en este artículo no refleja la opinión de Inviarco S.A.S. ni de la publicación Computerworld Colombia.

Pin It on Pinterest