Gobierno de las tecnologías y los sistemas de información

S21sec ha participado en el patrocinio del libro "Gobierno de las Tecnologías y los Sistemas de Información" publicado por la editorial RA-MA y promovido por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información (ASIA) Capítulo de Madrid de ISACA. Se trata de una obra de carácter divulgativa, coordinada y editada por dos miembros de la anterior Junta Directiva de ASIA, Fernando Hervada Vidal y Mario Piattini Velthuis.

El libro, que ya está en venta, detalla cómo las Tecnologías y los Sistemas de Información (TSI) se han convertido en la parte esencial de las organizaciones al regir mucha parte de nuestra vida cotidiana. Y cómo un uso incorrecto de ellas puede afectar críticamente al desarrollo de un objetivo o del negocio de cualquier persona o colectividad. Además, explica que los peligros externos hacia las TSI se han incrementado notablemente en los últimos años, así como su gestión y operación, por lo que es necesaria una buena preparación para hacer frente a ellos.

La obra ofrece una visión amplia sobre diferentes factores que se deben tener en cuenta para la mejora e implantación del gobierno de las TSI en una organización. Hace hincapié en la necesidad de crear un modelo de gestión que permita alinear la estrategia de Sistemas de Información con las estrategias de negocio. Por ello, va dirigido a altos dirigentes de organizaciones, responsables de informática, directores de seguridad de sistemas de información, personal informático en general (jefes de proyecto, analistas, consultores, etcétera) y alumnos de las Facultades y Escuelas de Informática, Telecomunicaciones y Administración de Empresas.

La obra posee diversas colaboraciones de diversos profesionales que comparten conocimientos y experiencias con toda la comunidad informática. Uno de ellos es Antonio Ramos, Director del Área de Consultoría y Auditoría de S21sec, encargado de escribir dos capítulos. El quinto, que es una visión general del gobierno de la seguridad y el octavo, que trata sobre los cuadros de mando para el gobierno de las TSI.

Os recomendamos leer este libro que aborda las claves que te permitirán organizar una correcta metodología de control sobre la gobernabilidad de las TSI implantadas o por implantar en tu organización.

Posicionamiento estratégico del CISO

Lo cierto es que si nos creemos lo que dice la Teoría de las Limitaciones, los problemas que se detectan en las organizaciones suelen tener unas pocas causas, que podríamos denominar causas raíz. Otra cosa es encontrarlas y para eso, tendríamos que entrar en analizar las herramientas que esta teoría pone a nuestra disposición: nubes de evaporación, árboles de realidad actual... en fin, toda una serie de métodos que nos permiten trabajar en la detección de esas circunstancias que originan el 80% de los problemas (sí, sí... la regla de Pareto también aplica aquí).

Sin entrar en análisis profundos en este momento, estoy seguro de que coincidiremos en que la posición del CISO en el organigrama es una de las causas raíz de mucho de los problemas relativos a la Seguridad de la Información que se producen en las Organizaciones actuales. Y es que la relación estrategia-estructura, enunciada por Chandler allá por 1962, ya nos decía que la forma en la que las organizaciones se organizan (valga la redundancia) es reflejo de su estrategia y, el hecho de que el CISO no sea un puesto relevante en el organigrama es síntoma de que, en esa organización, esta función no es estratégica y normalmente se percibe solamente en su labor de protección frente a amenazas.

Todo esto viene en relación a un desagradable suceso que ocurrió en el metro de Madrid a finales de octubre en el que se produjo un tiroteo y un hombre resultó herido. Lo que ha originado esta entrada no es, en si mismo, este suceso, sino la declaración posterior del representante sindical (lamento no recordar su nombre), puesto que no se limitó a las triviales reclamaciones de más seguridad, etc., etc. sino que buscó el origen de la situación y reclamó "una re-ubicación de las responsabilidades de seguridad"... La verdad es que me dejó muy sorprendido pues no es habitual encontrarse este tipo de planteamientos (supongo que siempre las negociaciones empresa-sindicato son difíciles, pero no me cabe duda que con interlocutores así, seguro que son mucho más fáciles).

En definitiva, lo importante no es la posición del CISO, sino que ésta refleje el carácter estratégico (o no) de la seguridad en la Organización y que, allá donde la seguridad sea importante, el CISO se encuentre en una posición equivalente que le permita cumplir con los objetivos de gestión de la seguridad de la información (que serán, por ende, estratégicos para la organización). Este hecho contribuirá, además, a posicionar la gestión de la seguridad en la agenda de los Directivos de la Organización conforme a lo que establecen las best practices en materia de Gobierno de la Seguridad de la Información.

Antonio Ramos
Director de Consultoría