¿Por qué crear un programa de seguridad de la información?

Objetivos de la seguridad de la información: Confidencialidad: Proteger los datos de accesos no autorizados, preservando la privacidad y el secreto de la información. Integridad: Asegurar que los datos sean exactos y completos, evitando alteraciones indebidas durante su ciclo de vida. Disponibilidad: Garantizar un acceso oportuno y confiable a los datos por usuarios autorizados cuando se necesiten. Estas son las 3 propiedades básicas de la seguridad de la información.

Definición de Programa de seguridad de la información: Según el National Institute of Standards and Technology de los Estados Unidos, un programa de seguridad de la información es un conjunto de políticas, procesos, gestión y controles diseñados para proteger la confidencialidad, integridad y disponibilidad de la información y de los sistemas de información de una organización. Un programa de seguridad de la información debe estar alineado con la organización y diseñado para abordar los riesgos específicos a los que están expuestos estos objetivos. Un enfoque y buenas prácticas de gestión de riesgos deben asegurar la implementación de controles efectivos que requieran estos objetivos.

Enfoque basado en riesgo es fundamental para gestionar los recursos de seguridad. Además, para evaluar qué tan sensible o el valor que tiene esta información y, por ende, cuánto debemos invertir en estos controles, qué tan fuertes, estrictos, avanzados deben estar para proteger estos objetivos de la institución. Un programa de seguridad de la información debe estar alineado con los objetivos de la organización y tener un enfoque basado en riesgo.

La seguridad como factor de negocio: Encontrarás en muchos textos el término en inglés "Security as Business Enabler", y no es otra cosa que la seguridad no es solo un compromiso de cumplimiento o una carga para la organización, sino un elemento que potencia y habilita el crecimiento de la institución. Un cliente que confía sus datos puede tener mayor fidelidad con la institución, mayor confianza al poder certificar todo esto con una tercera parte para mostrar que tenemos buenas prácticas de seguridad, nos pueden abrir nuevas posibilidades. Una brecha de seguridad que impacte en la reputación puede ser un elemento importante para perder un convenio. Con una base de seguridad sólida, puedes habilitar y agregar nuevas tecnologías. La seguridad vista como un habilitador que puede potenciar el crecimiento de tu institución.

Un programa de seguridad de la información no solo es un programa de seguridad técnica de aparatos y software; debe ser visto como un proceso integral que incluye aspectos de normas. Si la seguridad afecta la capacidad de operar, debe incluir a la gestión del personal, que es la parte de este proceso que garantiza el éxito.

Cultura organizacional: Cuando vemos en el día a día entender la seguridad de la información como parte integral de estos procesos diarios, hace entender que tengamos un estado mejor y podamos mejorar en un modelo de madurez para tener elementos de protección a nuestros activos y tener éxito.