Política y gastos en seguridad de la información vs. objetivos del negocio

Rumbo Minero, martes 14 de abril de 2009
Nancy N. Yong Chung, Socia Advisory Services PricewaterhouseCoopers

Es preocupante que el desalineamiento de los ejecutivos pueda minar el valor de las inversiones en seguridad de la información; hay muchos “nichos” hacia donde pueden apuntar los presupuestos de fondos de seguridad, pero no todos están necesariamente alineados con la trayectoria estratégica de cada negocio. Durante 2008, los Oficiales Jefes de Seguridad de la Información (Chief Security Officers-CISO’s) han –más probablemente que otros ejecutivos de la alta gerencia- percibido una brecha significativa entre el alineamiento de las políticas de seguridad y de los gastos en seguridad con los objetivos del negocio. De hecho, los CISO’s piensan que el alineamiento del gasto arrastra la política general de alineamiento por un total de 16 puntos, comparados, por ejemplo, con los CEO’s, que no perciben una brecha en absoluto.

¿Quién tiene la razón?

Esta diferencia de apreciaciones pudiera tener sentido, al menos parcialmente. ¿No están los CISO’s en las primeras líneas de la seguridad, más cercanos a cómo las inversiones son efectuadas, y por lo tanto en la mejor posición para identificar una brecha en el alineamiento del gasto? Bien podría serlo; pero los CISO’s están igualmente –o deberían estarlo- entre los ejecutivos mejor posicionados y autorizados para dirigir o influenciar los gastos de seguridad, hacia las prioridades más estratégicas, las más alineadas con el negocio.

Empero, hay una explicación más probable sobre esta brecha de percepción entre los CISO’s y los CEO’s y es crucialmente importante: los primeros no se miran a los ojos con el resto de los ejecutivos de la oficina en torno a como los rutinarios temas de negocios están principalmente conduciendo los gastos de información de seguridad. Ellos están, de lejos, más dispuestos a citar los cumplimientos regulatorios que los CEO’s y –bastante sorprendente- que los Jefes de Cumplimiento (Chief Compliance Officer-CCO) en proporción de 75% vs. 27% y 37% vs. 24% respectivamente. Y todos estos otros ejecutivos, incluyendo al Jefe de Informaciones (Chief Information Officer-CIO) que es el único otro ejecutivo de nivel que comparte la mesa de la Tecnología de la Información, discrepan, citan unánimemente a un conductor totalmente diferente para las inversiones de seguridad: la continuidad del negocio y la recuperación de desastres.

¿Quién tiene la razón? Es tentador decir “eso depende de la compañía”; después de todo, algunos CISO’s están más preocupados que sus contrapartes ejecutivos por las deficiencias vinculadas a seguridad en torno a las capacidades para el cumplimiento regulatorio. Y otros CISO’s están peligrosamente “fuera de sintonía” con relación al apoyo que demandan los más cruciales requerimientos de seguridad de los objetivos de negocios, tanto desde una perspectiva de “protección” como de “posibilitar” o “habilitar”.

Sin embargo, la verdadera pregunta no debiera ser “¿quién tiene la razón?”. En su lugar, debiera ser “¿estamos alineados, como un grupo directivo, en lo que esperamos de la seguridad para contribuir al negocio?”. Si las respuesta es “no” hay que seguir con el juego de la pregunta cambiante: “¿porqué no?”. Y si su equipo TI no está seguro, pregúntele a los CISO’s porque pareciera que, en lugar de ser parte integrante del proceso de gerenciamiento, son sólo simples y eternos denunciantes de las irregularidades corporativas.

Así, en este contexto de sostenibilidad de los negocios se hace más que importante la búsqueda de un ambiente de integración y alineación de objetivos y políticas con el fin de entender y preservar la importancia de la seguridad de la información para el cumplimiento de las metas empresariales.