Lic. Roque C. Juárez de Jesús
CISSP, CISA, CISM, CRISC, CGEIT, ISO27001 LA
Representante Comercial de Soluciones de Seguridad
Software Group – Security Systems
IBM de México & LCR
rjuarez@mx1.ibm.com

La dinámica actual de crecimiento exponencial en los volúmenes de datos en diferentes dispositivos tecnológicos se traduce en un reto relevante para las áreas responsables de habilitar la infraestructura tecnológica que apoya la ejecución de los procesos de negocio, ante la necesidad evidente de mantener características de calidad de la información para cada función de la organización

Esta tendencia confiere un carácter casi mandatorio a que las empresas trabajen en la alineación de los resultados entregados por los servicios informáticos y todas las estructuras, mecanismos y actividades relativos a la creación, uso, transformación, preservación y borrado de la información (Gobierno de Información [GI]), con los objetivos y estrategia corporativos (Gobierno Corporativo [GC]). Ver figura 1.
El GI debe implementarse de manera gradual, a partir de la colaboración armonizada de la gente, los procesos y la tecnología que permita a la organización producir información como carácter de un activo corporativo adecuado para los diferentes requerimientos de las funciones y procesos corporativos.
Para que la implantación del GI permita la administración de la información con la calidad que requieren los procesos de negocio, deben conjugarse las siguientes prácticas de gestión y control, sobre todos aquellos recursos relativos a la creación, uso, transformación, almacenamiento, preservación y eliminación de la información en la organización. Ver figura 2.
En este proceso de consolidación de las capacidades y elementos para el GI, la empresa llegará a los siguientes resultados:

• Identificación y definición básica de los tipos de datos que se generan en los procesos negocio.
• Definición del flujo de información de las áreas, procesos y funciones de la organización.
• Determinación de las necesidades de generación, uso, transformación, almacenamiento, preservación y eliminación de la información.

De manera inherente a este análisis sobre los componentes organizacionales del GI, debe identificarse el nivel de protección y operación requerido por parte de las áreas dueñas y usuarias de la información, como un atributo natural de calidad de los servicios informáticos que apoyan los procesos de negocio, y que serán utilizados para la selección de las medidas de protección más adecuadas, para lograr los objetivos de la organización, a partir de estos requerimientos de operación, de terceros y el contexto regulatorio aplicable.
En este punto debe resaltarse que el nivel de protección requerido es específico para cada organización, considerando que se define en su naturaleza de operación y objetivos corporativos, por lo que las organizaciones deben asumir que no existe un grupo mínimo común de controles de seguridad de la información que sea válido para todas las organizaciones, sino que para cada una, el grupo adecuado de mecanismos de control eficaces es aquel que permita lograr sus niveles de operación dentro de su nivel aceptable de riesgo.
En la selección y diseño de este esquema integral de controles y medidas de protección, las organizaciones deben considerar que, para incrementar la eficiencia en términos generales, debe buscarse un balance entre medidas de protección preventivas, detectivas y correctivas, así como automatizadas, semi automatizadas y manuales, implementados por medio de mecanismos administrativos (políticas, estándares), operativos (procesos y procedimientos) y tecnológicos (herramientas).
También debe destacarse que la tendencia creciente del volumen de datos y su uso, demanda transformar la visión de aseguramiento de infraestructura tecnológica hacia una estrategia de aseguramiento de la información, a partir de los requerimientos definidos en el gobierno de información corporativo.
Por lo anterior, estas medidas de protección deben capitalizar los esfuerzos actuales de seguridad, control y protección, con iniciativas tales como: mayor calidad en el análisis del estado actual de seguridad, revisión periódica de las debilidades dentro de un contexto amplio de los recursos de TI afectados por el mismo, integración en una plataforma de análisis homologada de todos los recursos de tecnología que generan datos, aplicación de la mejora determinada por desviaciones previas.
En adición, el marco referencial de protección de las organizaciones debe apoyarse en los siguientes factores para asegurar su oportunidad y adecuación a los requerimientos de riesgo y operación del negocio:

• Gente. La organización debe trabajar permanentemente en el entrenamiento y capacitación en seguridad del personal involucrado en el uso y tratamiento de la información y los activos de tecnología asociados.
• Procesos. Las actividades relativas al uso de la información deben definirse en procesos formalizados, de acuerdo con los objetivos organizacionales, así como favorecer el monitoreo de estos procesos y la identificación oportuna de desviaciones que puedan reportarse a las entidades responsables de su atención. Este componente debe fortalecerse con la definición y asignación de roles y responsabilidades para cada involucrado, así como con actividades específicas de supervisión y monitoreo.
• Tecnología. La selección e implantación de la tecnología de seguridad de la información puede atender a las premisas de automatización (para reducir las cargas por trabajo manual y aumentar la eficiencia), visibilidad (aumentar las capacidades de monitoreo y atención de desviaciones en los procesos) y control (aumentar la aplicación de las políticas corporativas para la ejecución de los procesos apoyados en tecnología).

Las organizaciones más inteligentes requieren mejores mecanismos de gestión y protección de información, los cuales permitan que las prácticas de gobierno corporativo apliquen las estrategias de negocio en un entorno de riesgo aceptable y de mejora continua.