InfoSecMan Blog

Siempre ando predicando por aquí que a veces es necesario dar un paso de atrás y coger la perspectiva adecuada para que nos permita ver las cosas de forma distinta.  Pues bien, mi estancia en EuroCACS me está permitiendo estos días precisamente tomar cierta distancia con la Seguridad de la Información y tratar de comprender y situar la “foto completa”.

He de decir que ya llevo una buena temporada muy involucrado (y quizás más de hecho que en seguridad) en el gobierno de TI, y que por ello decidí hacer el esfuerzo de venir a un foro en el que el Gobierno TI es un punto clave en sus contenidos con el fin de conocer qué se está haciendo “por ahí fuera” y aclarar algunas de mis ideas.

Pues bien, estos días estoy asistiendo (iba  a decir perplejo, pero no es esa la palabra, sino más bien espectante) a mensajes, presentaciones y comentarios muy interesantes en relación a este tema y hoy quería centrarme más en la seguridad dentro del gobierno de las TI.

Amigos todos, he de deciros (como ya sabréis probablemente) que este gran e importante campo de la seguridad de la información que muchos vemos como prioritario, importante y crucial dentro de la organización, en el que hay importantes campañas de implantación de normas como la ISO 27001, que parece que viene a resolver todos los males de la organización, etc. para la gente que realmente Gobierna las compañías no es más que otro Control Interno de TI. En efecto, la seguridad, la continuidad de negocio, etc. no son más que controles internos que la organización implanta para mejorar su estado (disminuyendo el riesgo). De forma muy general el riesgo se puede transferir, tolerar o mitigar… y la seguridad ayuda en una de esas opciones.

Es curioso como cambiando la perspectiva con que se miran las cosas, opiniones que a priori podrían chocar frontalmente con nuestras ideas tienen todo el sentido del mundo. ¿Qué opináis sobre esto? Sí, ya lo sé, que si la Seguridad no es sólo TI, es mucho más, etc. etc. Eso yo ya lo sé, pero poneros un momento en el papel de quien gobierna la organización, cuáles son sus objetivos estratégicos y qué acciones debe llevar a cabo y puntos debe afianzar (por no decir asegurar). ¿Es algo más que otro Control Interno?

Ya como reflexión personal, lo que me preocupa enormemente es que si éste (la seguridad) es un único punto de los muchos que considerar en una organización como control interno y es tan complejo y extenso como todos conocemos, y por lo general se está haciendo tan mal como muchos sabemos, estará pasando lo mismo en otras áreas que desconocemos totalmente o estarán mucho más maduras y sus profesionales serán mucho mejores que nosotros y su nivel de madurez etc. será muy superior…. mmm…. quizás la respuesta a esta pregunta/reflexión sea la situación económica mundial que en estos momentos estamos viviendo, ¿no os parece? (estoy deseando hablar sobre esto con mi buen amigo y gran experto en Gobierno/Gobernanza TI Miguel García Menéndez).

Pero ese es otro tema que trataré otro día… la situación de crisis que estamos viviendo y mi percepción en estos foros… interesante.