Tenía pendiente comentar este artículo publicado en el volumen 2, 2010 de la ISACA Journal (ya sabéis que hay que ser miembro de ISACA para poder consultarlo) por Vinoth Sivasubramanian (responsable de políticas TI en UAE Exchange Centre LLC).
Vinoth, en su artículo, viene a esbozar un modelo para la toma de decisiones de inversión en seguridad en un entorno como el actual, de elevadas restricciones presupuestarias, que nos obligan a sopesar muy bien dónde invertir los pocos fondos disponibles. El modelo que nos propone Vinoth parte, como no puede ser de otra forma, de la identificación de las necesidades de la organización respecto a la seguridad mediante la identificación de 'especificaciones de requerimientos de seguridad' y lo que denomina CIFs (Critical Impact Factors) o Factores de Impacto Críticos. Estos CFIs recogen el tipo de daño que un incidente de seguridad causaría en la organización y actúan como enlace entre los activos y la Visión del negocio, permitiendo clasificar dichos activos en función de su impacto sobre la mencionada visión. Aunque cada organización puede tener su propia visión, Vinoth identifica tres patrones típicos sobre la base de los trabajos de Michael Treacy y Frederik Wiersema:
- Excelencia operativa
- Intimidad con el cliente
- Liderazgo en producto
Hasta aquí el resumen del artículo. ¿Qué por qué os lo quería comentar? Pues porque me recuerda sobremanera a la aproximación que podemos realizar a la seguridad de la información utilizando la Teoría de las Limitaciones (o TOC - Theory of Constraints para los amigos). Para los que estuvisteis en la rootedCON de este año quizás os sonará, pero el razonamiento es similar:
- Debemos identificar los elementos clave de la estrategia de la organización y las condiciones necesarias para que sus objetivos se cumplan (aquí utilizaríamos el Árbol de Objetivos Intermedios) [en las investigaciones con Mario también sospechábamos que, en el fondo, las organizaciones se parecen y se podrían obtener "patrones" de comportamiento].
- Una vez identificados los elementos clave, debemos analizar para cuales de ellos, la seguridad es, a su vez, condición necesaria.
- El análisis debemos realizarlo en las diferentes dimensiones de la seguridad (a saber, confidencialidad, integridad y disponibilidad... al menos).
El resultado es una lista de áreas en los que la seguridad es una prioridad, una prioridad para que la organización para la que trabajamos cumpla sus objetivos, haga realidad su estrategia.
Lo mejor de esto es que es así de simple, así de rápido y así de eficaz... mucho más rápido que un Plan Director de Seguridad con análisis de riesgos incluido... bueno, para ser exactos, habría que decir que en realidad se hace una análisis de riesgos express.
¿No os lo creéis? Doy fe que es cierto...
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
No hay comentarios:
Publicar un comentario