06 noviembre 2009

Conseguir el compromiso

Este es el título de un artículo publicado en el número 1 de 2009 de Journal, la revista de ISACA, firmado por Chris Konrad (Vicepresidente de servicio a clientes de Fortrex Technologies) y titulado exactamente "Getting Buy-in - An Easier Way" (lo siento pero solo podréis acceder online los que seáis socios de ISACA).

Me llamó la atención porque no es muy habitual que en una revista de seguridad se hable acerca de conseguir el compromiso y la verdad es que no me defraudó: sencillo y al grano.

Básicamente, Chris plantea una forma de hacer para elaborar un plan de seguridad que cuente con el apoyo y la participación del resto de personal clave de la organización:

  1. Obtenga conocimiento e historia (ya hemos hablado un poco de esto antes).
  2. Aprende sobre las operaciones y las funciones.
  3. Realice una auto-evaluación de la organización.
  4. Investigue los sistemas de información.
  5. Complete la evaluación de la situación (que básicamente consiste en lo que hablamos hace unas semanas aquí).

También nos da unas pautas para llevar a cabo esa autoevaluación:

  • Comprender lo que es más importante para el CEO.
  • Dirigirse al área Jurídica para entender la legislación de aplicación al negocio.
  • Después, pasar a Recursos Humanos para aprender sobre las políticas, tipos de empleados y procedimientos de contratación y cese.
  • Tras estos pasos iniciales, ya habría que pasar a las unidades de negocio para entender como se generan los ingresos.
  • Una vez entendido todo el contexto, habría que pasar a las áreas de TI propiamente dichas.
  • Para finalizar con un análisis de riesgos.
En definitiva un conjunto de pautas sencillas que ponen el énfasis más en las formas que en el fondo pero que, aunque a alguno le parezca mentira, son igual de importantes, puesto que si el CISO no consigue "motivar" a la organización y a sus miembros para que apoyen sus planes de acción en materia de seguridad no servirá de nada que las conclusiones sean perfectas o que el análisis haya sido técnicamente perfecto.

Ambas componentes son partes de un todo y necesitamos que ambas "funcionen" para conseguir el objetivo.

No hay comentarios: