Si la gestión no surge como un objetivo estratégico de apoyo al negocio, pierde fuerza y se desvanece en la vorágine de las organizaciones. Un patrocinio débil, a corto o mediano plazo, termina con documentos desactualizados o procesos que aportan mejoras. Este patrocinio, en objetivos y recursos, es lo que garantiza el “clic” en la organización, incorporando conceptos y estándares dentro de cada tarea diaria.
Por otro lado, hay quienes siguen el camino de la alineación a un marco de gestión específico, como la norma ISO/IEC 27001, estableciendo un Sistema de Gestión de la SI, tanto para alcanzar la implantación de dicho sistema como para considerar la certificación de un organismo acreditado logrando un valor agregado al servicio o producto.
Este es el camino que entendemos es más eficiente, con costos medibles y comprensibles en el proceso, diseñado para una mejora continua.
Un sistema de Gestión de la SI establece de manera transversal a la organización una planificación acorde de recursos, su adecuación al modelo de negocio, roles y responsabilidades, controles, revisiones y evaluaciones sistematizados. Esto permite cubrir temas críticos como saber qué tenemos, qué procesamos, identificar los riesgos asociados a esos procesos y activos, y tomar acciones preventivas de forma permanente y sistematizada.
La implantación de este sistema contiene la flexibilidad necesaria para cada empresa acorde a su objetivo de negocio, sin importar tamaño.
Transformar la Gestión de la Seguridad de la Información en una tarea profesionalizada eleva la madurez de la organización, de sus colaboradores y de toda parte interesada como proveedores, sociedad, clientes, organismos reguladores y más.
Rafael Pereira, manager de Ciberseguridad de PwC Uruguay.