Este es el título del artículo publicado por John P. Pironti (Presidente de IP Architects LLC) en el volumen 2, 2010 de la ISACA Journal (ya sabéis que hay que ser miembro de ISACA para poder consultarlo). Supongo que algunos de vosotros ya lo habréis leído porque corresponde al número del pasado mes de abril, pero para los que no lo hayáis hecho y os interese la gestión de la seguridad, os recomiendo su lectura. Es un texto, no muy largo, sólo son 8 páginas que se leen rápidamente, pero completo en cuanto al funcionamiento del modelo que nos propone.
Son varias las cosas que me han interesado del artículo pero, yendo por partes, lo primero que me ha hecho reflexionar ha sido la dicotomía que plantea entre las funciones de gestión del riesgo de información y de la seguridad de la información funcional, la primera más consultiva y la segunda, más operativa. He visto esta diferencia de planteamiento en muchas organizaciones y me ha gustado encontrar un "modelo" que recoga esta diferencia de enfoque. Sobre todo, la reflexión de Pironti sobre la circunstancia de que un modelo consultivo enfocado en la gestión del riesgo y alineado con la estrategia de negocio puede ser más recomendable y fácil de implementar que un modelo más técnico y enfocado en el cumplimiento [bueno, como dice muy bien el autor, dependerá de la cultura de la organización].
En segundo lugar, como ya he dicho, el planteamiento exhaustivo que hace, partiendo de la estrategia de la organización y su grado de aversión al riesgo hasta su seguimiento y monitorización pasando por la definición y la implantación de la estrategia. En concreto, Pironti plantea seis fases para el desarrollo de la estrategia:
Tercero, en relación a la elección de un estándar al que alinearse, estoy de acuerdo en la afirmación de Piroti, "es importante recordar que ningún estándar por sí solo es apropiado para todas las organizaciones, ni ninguna estrategia debería estar basado en una sola opción". Hay ocasiones en las que nos obsesionamos con la implantación de una ISO o COBIT y perdemos un poco la perspectiva o pretendemos ajustar todos los aspectos de nuestra organización, aunque sea con calzador...
Para ir finalizando, dos aspectos que resaltar y que alguna vez se olvidan:
Y, finalmente, una reflexión que comparto plenamente con el autor: "La verdadera medida del éxito de una estrategia bien desarrollada e implantada la podemos encontrar en las impresiones y acciones de la constituencia a la que sirve. Si utilizan las capacidades de la función durante momentos de toma de decisión claves y consultan con el equipo de forma regular, el éxito ha sido alcanzado."
En fin, un buen artículo que merece la pena analizar. Os lo recomiendo.
Son varias las cosas que me han interesado del artículo pero, yendo por partes, lo primero que me ha hecho reflexionar ha sido la dicotomía que plantea entre las funciones de gestión del riesgo de información y de la seguridad de la información funcional, la primera más consultiva y la segunda, más operativa. He visto esta diferencia de planteamiento en muchas organizaciones y me ha gustado encontrar un "modelo" que recoga esta diferencia de enfoque. Sobre todo, la reflexión de Pironti sobre la circunstancia de que un modelo consultivo enfocado en la gestión del riesgo y alineado con la estrategia de negocio puede ser más recomendable y fácil de implementar que un modelo más técnico y enfocado en el cumplimiento [bueno, como dice muy bien el autor, dependerá de la cultura de la organización].
En segundo lugar, como ya he dicho, el planteamiento exhaustivo que hace, partiendo de la estrategia de la organización y su grado de aversión al riesgo hasta su seguimiento y monitorización pasando por la definición y la implantación de la estrategia. En concreto, Pironti plantea seis fases para el desarrollo de la estrategia:
- Concienciación del negocio
- Definición de la estrategia
- Desarrollo de la estrategia
- Métricas y benchmarking
- Implantación y operación
Tercero, en relación a la elección de un estándar al que alinearse, estoy de acuerdo en la afirmación de Piroti, "es importante recordar que ningún estándar por sí solo es apropiado para todas las organizaciones, ni ninguna estrategia debería estar basado en una sola opción". Hay ocasiones en las que nos obsesionamos con la implantación de una ISO o COBIT y perdemos un poco la perspectiva o pretendemos ajustar todos los aspectos de nuestra organización, aunque sea con calzador...
Para ir finalizando, dos aspectos que resaltar y que alguna vez se olvidan:
- La utilización de un comité supervisor como mecanismo que garantice el alineamiento el alineamiento de la función operativa de seguridad con el negocio y como lugar en el que expresar las diferencias respecto a la estrategia planteada.
- La comunicación debe realizarse mediante el mecanismo más adecuado en cada caso (mezcla de online y presencial) y debe contar con sus propios KPIs.
Y, finalmente, una reflexión que comparto plenamente con el autor: "La verdadera medida del éxito de una estrategia bien desarrollada e implantada la podemos encontrar en las impresiones y acciones de la constituencia a la que sirve. Si utilizan las capacidades de la función durante momentos de toma de decisión claves y consultan con el equipo de forma regular, el éxito ha sido alcanzado."
En fin, un buen artículo que merece la pena analizar. Os lo recomiendo.
No hay comentarios:
Publicar un comentario