En una publicación anterior abordamos aspectos básicos que pueden ser considerados para el desarrollo y posterior aplicación de un programa de seguridad, destacando que los beneficios que genera no podrían obtenerse si los proyectos que lo conforman se realizaran de forma individual.

Además de las condiciones que pueden resultar esenciales para un programa de seguridad, como el patrocinio, la estrategia, los recursos necesarios o las métricas de revisión, en esta publicación abordaremos otros aspectos destacables como sus objetivos, resultados esperados e importancia para una organización.

Elementos que conforman el programa de seguridad

el programa define, mantiene y mejora los sistemas de seguridad de la organización

En términos generales, el programa de seguridad de la información comprende los proyectos, iniciativas, actividades y recursos utilizados y aplicados de manera colectiva, para proporcionar servicios de seguridad a la organización. Tiene como propósito llevar a la práctica el plan trazado que busca alcanzar los objetivos de protección de activos.

La estrategia de seguridad debe definir los resultados esperados y los objetivos por alcanzar, por lo que una vez definidos, el siguiente paso consiste en realizar un análisis de brechas. En esta actividad es necesario conocer el estado actual de seguridad y la postura que se desea alcanzar con la ejecución del programa. Una referencia sobre el estado deseado de la seguridad suelen ser las buenas prácticas de la industria, plasmadas en estándares internacionalmente reconocidos.

Independientemente de las referencias, los objetivos a cumplir y las metas por alcanzar deben estar definidos en función de la empresa, sus necesidades, requisitos de seguridad y lo que desea proteger. También se debe tener en cuenta aquello que se desea evitar, por lo que otro de los elementos iniciales para la ejecución de un programa de seguridad suelen ser las evaluaciones de riesgo.

Derivado de los resultados del análisis GAP o la evaluación de riesgos, los siguientes pasos en la ejecución del programa de seguridad consisten en establecer las medidas necesarias para cerrar las brechas, o bien, para la aplicación de controles que mitiguen los riesgos de seguridad identificados. Por esta razón, el programa de seguridad es el proceso a través del cual se definen, planean, implementan, operan, miden, monitorean, mantienen y mejoran los sistemas de seguridad de la organización.

se mide a partir del logro de los objetivos planteados en la estrategia

Debido a factores tanto internos como externos a la organización, el programa debe adaptarse. Algunos de los elementos que motivan los ajustes pueden ser el dinamismo en los riesgos, nuevas tecnologías, priorización de objetivos, actualización de mejores prácticas, promulgación de legislaciones y nuevos requisitos de seguridad, entre otros. En este contexto, las modificaciones requieren de habilidades, conocimientos, aptitudes, herramientas, técnicas, procesos y recursos, tanto tecnológicos como gerenciales.

Resultados del programa de seguridad de la información

El programa de seguridad se mide a partir del logro de los objetivos planteados en la estrategia. Por ello, las métricas juegan un papel importante para conocer la idoneidad y efectividad.

De manera general, existen elementos que deben considerarse como propósitos básicos, por ejemplo los que se incluyen a continuación.

  • Alineación estratégica. De una manera sencilla, se refiere al hecho de que cada actividad, iniciativa o recurso aplicado en los proyectos que conforman el programa de seguridad contribuyan al logro de los objetivos y cumplimiento de la misión de la organización, así como de la visión, es decir, lo que se pretende ser en el futuro. Por esta razón, la implementación de las medidas de seguridad se enfocan en los procesos sustanciales de la empresa; una buena práctica consiste en la conformación de un comité de seguridad donde participan los dueños del negocio, encargados de la toma de decisiones.
  • Gestión de riesgos. La gestión consiste en la supervisión y toma de decisiones orientadas a lograr los objetivos; en términos de riesgos, las elecciones se hacen en función de evitar las amenazas latentes y corregir vulnerabilidades identificadas. Las decisiones se toman a partir de la aversión o propensión al riesgo, por lo que resulta necesario establecer criterios objetivos para dar un tratamiento adecuado a los peligros que atentan contra los activos más importantes de la organización.
  • Entrega de valor. En otras palabras, este objetivo se traduce en que el programa de seguridad debe brindar beneficios a la organización, inicialmente, otorgar el nivel de protección requerido para cada uno de los activos, principalmente la información. Del mismo modo, todos los recursos que son destinados a la seguridad deben aplicarse de manera óptima para apoyar los objetivos de negocio y lograr la alineación.
  • Gestión de recursos. Relacionado con el punto anterior, la ejecución del programa de seguridad requiere de distintos recursos, desde los financieros, hasta el personal con los conocimientos, habilidades y aptitudes, pasando por los recursos tecnológicos y sin dejar de lado el tiempo. Por lo anterior, todos los elementos que son necesarios para el cumplimiento de la estrategia de seguridad deben ser aplicados de manera óptima.
  • Medición del desempeño. Otro aspecto importante del programa es determinar cuán efectivo e idóneo para la organización ha resultado. Es necesario monitorear y medir el desempeño y ejecución de la estrategia. Resulta básico conocer si los objetivos y metas planteados inicialmente están siendo logrados y alcanzados.

En resumen, la estrategia de seguridad define lo que se desea alcanzar en materia de protección de activos de la empresa. Para ello, un punto de partida suelen ser los análisis de brechas o las evaluaciones de riesgos.

Como resultado, inicia la ejecución del programa de seguridad con base en las características de la organización, con elementos planeados, organizados y coordinados, en busca de obtener otros beneficios, tales como la alineación, gestión de riesgos y recursos, entrega de valor y medición del desempeño.

Al mismo tiempo, se logra la gestión de seguridad a través de un proceso holístico, transversal y de mejora permanente. De forma directa, lo anterior se traduce en el objetivo principal: la protección del negocio, que las organizaciones puedan continuar sus operaciones, cumplir sus objetivos, alcanzar sus metas y lograr su misión, al tiempo que se genera una cultura de ciberseguridad organizacional.