Cuando a los que controlan los controlan

Es de buenas prácticas controlar con frecuencia no solo si las áreas de seguridad de la información cumplen con los procesos documentados por la organización sino que las  áreas de seguridad de la información controlen a sus controladores.

Todos sabemos que la confidencialidad es una de las tres patas de la seguridad de la información y las áreas que la implementan no solo tienen derecho sino la obligación de corroborar que toda información que se lleve quien las venga a controlar esté  como mínimo resguardada según indican las políticas de la organización.

El área de seguridad de la información debe intervenir desde la contratación evaluando las políticas de seguridad de la información de quien se contrate, ya que es responsabilidad del área de seguridad de la información garantizar la confidencialidad de la información de la organización.

Si no se controla previo a la contratación el cumplimiento de los procesos por parte de quien nos va controlar se corre el riesgo que las debilidades encontradas queden en virtual estado público, dependiendo el tamaño y presencia en el mercado de nuestra organización esto nos puede generar una debilidad mayor que todas nuestras debilidades juntas.

Si bien en general en los grandes estudios no sucede no sería la primera vez que el reporte final de una auditoría quede en una biblioteca  en un lugar supuestamente de acceso restringido durante el día pero que es accedida todas las noches por un desconocido contratado por la empresa de limpieza.

Siendo esta mi primera publicación del año aprovecho para desearles a todos un muy feliz 2019.

Luis E. Cruz