... LA SEGURIDAD DE LA INFORMACIÓN COMO ELEMENTO FUNDAMENTAL EN EL DISEÑO DE UN PROCESO DE NEGOCIO
|
... LA SEGURIDAD DE LA INFORMACIÓN COMO ELEMENTO FUNDAMENTAL EN EL DISEÑO DE UN PROCESO DE NEGOCIO |
|
| El afán de dar un mejor servicio a los clientes, de aumentar la eficiencia en la colaboración con los proveedores, el que algunos de sus empleados trabajen en sus domicilios, entre otras muchas cosas, está llevando a las empresas a ser cada vez más imaginativas en los modos de relación con todos estos actores. |
|
| Joaquín
Álvarez Pérez
Coordinador de Seguridad de la Información ENDESA, S.A. |
||
|
Las organizaciones
se han dado cuenta de que estos agentes participan más activamente
en el proceso del negocio y que, en consecuencia, este modo de operar
deben tenerlo en consideración a la hora de definir el rumbo que
ha de tomar su negocio. Si la empresa comparte sus activos de información,
ya sean datos, ya sean sistemas, con terceros, y se incluyen como parte
activa del proceso de negocio, se está haciendo una estrategia
de negocio muy concreta en la que la arquitectura de seguridad de la información
adoptada va a ir condicionando de una manera u otra la Cuenta de Resultados. |
||
|
Para hacer más sólida la seguridad de la información y para reforzar las infraestructuras de las TIC, se hace necesario definir una ingeniería de seguridad, que complemente y dé más robustez a la ingeniería de procesos y a la ingeniería del software |
||
Sería bueno recordar que fue preciso desarrollar toda una ingeniería del software para que los sistemas de información fuesen elementos fiables para la industria. Ahora parece que algo similar le toca hacer a la seguridad de la información: se hace necesario que para hacerla más sólida y para reforzar las infraestructuras de las TIC, se defina una ingeniería de seguridad, que complemente y de más robustez a la ingeniería de procesos y a la ingeniería del software. Este enfoque plantea un importante reto a quienes se dedican a esta materia de la seguridad de la información, el de crear una verdadera ingeniería de seguridad de la información que fortalezca el proceso del negocio y lo haga más rentable para la empresa. Para ver la importancia de este paso, quizás sería conveniente empezar a fijarse en cómo han evolucionado otros sectores industriales; por ejemplo, la industria del automóvil hace tiempo que incorporó el concepto de seguridad activa, y la aplicación práctica de ese concepto no sólo ha salvado muchas vidas, sino que además ha aportado a quienes conducen la tranquilidad de saber que el vehículo se va a comportar de una manera controlada ante determinados acontecimientos. Probablemente sea este el momento de hacer lo mismo con la seguridad de la información; a lo mejor se debería empezar a hablar de la "seguridad de la información activa" como aquella que, en línea con la estrategia del negocio y de forma sistemática y estructurada, posibilite que los procesos de negocio estén, de forma simultánea, gestionados, protegidos y aprovechando todas las ventajas que dan las actuales (y futuras) TIC, y además, incorporen la capacidad de aprendizaje, apoyando la mejora continua de las organizaciones. Parece pues obvio que el alcance de la seguridad de la información no se limita sólo a quienes desarrollan software y a aquellos que vigilan las redes de comunicación de las empresas; el ámbito se extiende también a los ingenieros de procesos de negocio y, por supuesto, a quienes los gestionan, aportando un mayor grado de formalización y haciendo que los planes de seguridad se efectúen de forma metódica y sistemática. Así, es necesario: lo primero y más importante, hacer que quien ostente la Dirección del proceso y los Directores operativos apoyen fuertemente el despliegue y el mantenimiento de la seguridad; segundo, definir una estrategia de seguridad que esté en línea con la estrategia del negocio; tercero, incluir en cada proceso de negocio, un diseño de la arquitectura de seguridad; cuarto, construir un mapa de la seguridad que contemple, para cada punto de interrelación con un actor (interno o externo), todo aquello referente a colaboración, formalización contractual, legislación y protección; y quinto, disponer de unas métricas sólidas y practicas que permitan conocer el nivel de seguridad en el que esta el proceso, con el fin de poder decidir de una manera objetiva y sistemática si procede o no realizar alguna actuación para mejorar la seguridad. Estos planteamientos afectarían también al concepto de activo de información que actualmente se esta empleando; ahora ya, el termino no debería estar referido a un fichero, una base de datos o un sistema de información, sino que se le debería dar un rango superior identificándolo con el propio proceso de negocio. Efectivamente, el proceso de negocio, que es una de las piezas fundamentales de la organización, es también el activo de información más valioso y, quizá, podríamos denominarlo el "macro" activo de información. El sistema informativo que lo soporta, los ficheros, las bases de datos, etc., pasan a ser elementos específicos que forman parte del proceso de negocio y que deben estar contemplados en la arquitectura de seguridad. Asimismo, la información que fluye por los procesos debe ser perfectamente conocida y estar adecuadamente clasificada; pensemos que asi como la sangre que fluye por nuestro organismo lo mantiene vivo, la información fluye por el proceso del negocio, le da la vida y lo alimenta, o bien... lo enferma y destruye. Consecuentemente, los responsables de los activos de información no deben contentarse solo con tener inventariados los ficheros que contienen la información, sino que deben ir mucho mas allá, debiendo conocer la dinámica de su proceso, teniendo perfectamente controlados los puntos de interacción con cualquier actor y teniendo muy claros cuales son los aspectos mas vulnerables del mismo, que a veces pueden estar en el interior de la empresa. Para ello, cada responsable de negocio debe indicar al consultor de TIC que niveles de acceso a la información debe implementar en función de como de colaborativo quiere que sea su negocio. Asimismo, debe tener claramente asumido que el acceso a cada activo debe estar controlado activamente por un responsable de negocio, quien autorizara o no los accesos a los mismos y supervisara el grado de riesgo que asume al concederlos. Es el responsable del negocio quien debe, además, garantizar que las operaciones comerciales que se hacen mediante los sistemas de información cumplen la legislación y garantizan a la empresa que su contenido es el adecuado a lo que se quiere contratar. En vista de todo lo expuesto, parece que seria justificable incluir la ingeniería de seguridad como firme garantía del adecuado diseño de la seguridad de un proceso de negocio. |
||
| |
 |
|