Por qué el área de seguridad no debería depender de TI

En los primeros meses de este año publicamos el ESET Security Report, gracias al cual supimos que el 51% de las áreas de Seguridad de la Información dependen de la gerencia de TI en las empresas de Latinoamérica. Y a pesar de que no es la situación ideal, ya que deberían ser sectores independientes, esta situación se repite en otras regiones.

La compañía dedicada a la industria de TI Spiceworks lanzó la semana pasada su propio estudio, basado en encuestas a más de 600 especialistas de este sector en Estados Unidos y Reino Unido. El reporte halló que en el 29% de los casos el experto en seguridad pertenece al departamento de TI. La diferencia con el porcentaje en Latinoamérica es bastante grande, pero aún así está presente.

area seguridad ESR

Fuente: ESET Security Report 2016

Lo sorprendente es que, como dicen los autores del informe, “los números no son mejores en otros lugares”. Según pudieron averiguar, apenas el 7% de las empresas tiene un experto trabajando en otro departamento y en otro 7% de los casos, trabaja en el equipo ejecutivo.

“Hay un conflicto de interés que podría privilegiar una decisión sobre otra sin la objetividad necesaria”

Ahora bien, incluir al área de seguridad en TI no suele ser recomendado como una buena práctica, debido a que las actividades relacionadas con la protección de los activos y el negocio podrían representar un conflicto de interés si también son implementadas por las áreas de tecnología.

“De manera casi inherente, la aplicación de medidas de protección representa restricciones a las operaciones cotidianas, que pueden verse afectadas por los controles de seguridad. En este caso, si las decisiones de protección y operación dependen de una sola área, sin duda existe un conflicto de interés que podría privilegiar una decisión sobre otra sin la objetividad necesaria”, explica Miguel Ángel Mendoza, investigador de seguridad de ESET en México.

Por ello, la independencia de las áreas juega un papel relevante si se busca brindar objetividad e imparcialidad al momento de tomar decisiones relacionadas con la protección del negocio. Una buena opción es que la seguridad sea liderada por un rol que reporte directamente a la alta dirección, de manera que se permita empoderar sus decisiones y recomendaciones de seguridad.

Claro que no hay una forma universalmente aceptada como correcta para definir de quién depende el área de seguridad, ya que cada estructura tiene ventajas y desventajas que se deben considerar en el contexto de la propia organización y la relación que tenga con su personal, sus clientes y sus proveedores.

Y ¿por qué el 51% de las empresas encuestadas por ESET y el 29% de las empresas encuestadas por Spiceworks incluyen al área de seguridad en TI, a pesar de que no es recomendable?

En la mayoría de los casos tiene que ver con abaratar costos y con el hecho de que los recursos de las empresas, según su tamaño, suelen ser limitados. Por eso, unificar las dos áreas comienza a parecer atractivo… pero ya vimos que no es la mejor opción.

Sigue leyendo: 5 preguntas para la gerencia preocupada por la seguridad

Autor , ESET

Síguenos