¿Dónde debe estar el área de seguridad informática/de la información?

A lo largo de los años he escuchado “la pregunta” en foros, reuniones y artículos: “¿Dónde debe estar ubicada el área de seguridad de la información en la jerarquía organizacional?”. Y las respuestas empiezan a fluir:

• Dentro del área de tecnología;
• Separada del área de tecnología;
• Reportando directo al “dueño del negocio”;
• En auditoría;
• En auditoría no;
• En seguridad física;
• Al mismo nivel que el área de tecnología, etc.

¿Es un área que no encuentra su lugar en el organigrama? Donde sea que la ubiquemos, habrá muchas veces una mejor ubicación. Al final, todos tienen diferentes puntos de vista y encuentran desventajas en cada una de las respuestas. No hay una conclusión clara y queda en el típico “depende de cada organización y sus necesidades”.

Yo tengo parte de la respuesta: no debe estar dentro del área de tecnología, sistemas, cómputo, TI o el nombre que tenga en el corporativo. Decir esto es un gran avance, pues aunque no dije dónde debe hallarse, sí establecí dónde no debiera estar.

La lógica es simple. La operación debe estar balanceada con seguridad, y es difícil efectuarlo si ambas están “mezcladas”, porque ya sabemos qué sucede cuando hay una urgencia operativa: TI está por encima de seguridad. Las actividades de tecnología –como administrar servidores, configurar telecomunicaciones, desarrollar, etc.– deben estar separadas de seguridad. Existirán disputas, discusiones y prioridades entre operación y seguridad; por lo tanto deben hablarse al “tú por tú”. ¿Ninguna por debajo de la otra? Correcto. Así habrá que negociar entre los intereses de la operación de las tecnologías y, por otro lado, las necesidades, restricciones y lineamientos de seguridad.

Analicemos la estructura jerárquica de TI y generemos una equivalente de seguridad. Tener dos áreas con el mismo poder obligará a que ambas estén sentadas en la mesa defendiendo sus intereses. Una y otra deben llegar a acuerdos, pero ninguna de las dos impone su jerarquía sobre la otra.

¿Entonces, si seguridad está fuera del área tecnológica, qué va hacer? Si va a estar fuera de tecnología, no es obligatorio que deba estar administrando herramientas de seguridad. Ya el área de TI administrará las herramientas, siguiendo las políticas que establezca seguridad. Aquí una lista no exhaustiva, y a modo de ejemplo, de las funciones de esa área de seguridad:

• Crear políticas de seguridad de la información aplicables a toda la organización.
• Desarrollar y mantener la estrategia corporativa de protección.
• Ejecutar pentest y/o contratarlos.
• Gestionar incidentes de seguridad y coordinar la respuesta con el área tecnológica.
• Establecer los lineamientos generales de las configuraciones de seguridad para las herramientas de TI.
• Seleccionar nuevos productos de seguridad con la cooperación e involucramiento del área tecnológica.
• Generar indicadores y métricas de seguridad, tanto a nivel técnico como a nivel estratégico.
• Gestionar riesgos de seguridad.
• Llevar a cabo campañas de concientización de seguridad.
• Coordinar esfuerzos con el área que gestione la información (por lo general, son unidades que no son de TI) para incorporar el tema de “seguridad de la información” en políticas, lineamientos y demás esfuerzos corporativos.
• Hacer de la seguridad un asunto transversal en la empresa.

Esta propuesta asegura la independencia del área de Seguridad, elimina posibles conflictos de interés y le da una categoría de “seguridad de la información” y no solo de “informática”. Así, reserva “un lugar” autosuficiente en el organigrama, como otras áreas corporativas. ¿Esta propuesta es revolucionaria? No, lo confieso. Lleva años en el medio; yo solo la retomo. De hecho, existen algunas organizaciones que ya implementan modelos similares desde hace años. Mi planteamiento no es original, pero falta extender su implementación en los corporativos. El problema es que, si no entendemos las ventajas que tiene este esquema, es difícil que suceda.