La vez pasada comentaba algunas cuestiones sobre el poco interés en general que tienen las empresas en la seguridad y se quedó la cuestión de ¿por dónde empiezo? El pasado 25 de noviembre fui al Information Security Day que organizaron los amigos de Ernst & Young, durante la comida platicaba con Ricardo Lira (gerente de una división de consultoría en seguridad de Ernst & Young) y coincidimos que debemos empezar “evangelizando” a la dirección, el apoyo de los altos niveles es vital para que el proyecto funcione, y surgió luego la pregunta ¿cómo le hacemos para tener su apoyo? El me comentaba (y coincido con él) que hay que plantearle a la dirección lo que podría pasar en caso de que surgieran problemas, por ejemplo ¿Qué pasaría si por alguna razón no se pudiera tener acceso a los sistemas durante cierto lapso de tiempo? ¿Qué pasa si algún empleado descontento altera cifras en alguna aplicación? ¿Qué pasa si no se controla el acceso a las instalaciones? y una gran variedad de preguntas que van surgiendo según cada empresa… En resumen, hay que decirle a los a los directivos que siempre será MUCHO más barato prevenir que lamentar, que no se debe ver a la seguridad como la encargada de apagar incendios, sino como los responsables de buscar la forma de EVITAR QUE PASEN.

Bueno ¿Y a quién me debo dirigir? ¿Al director general? ¿Al de sistemas? ¿A los socios? ¿Al que maneja la lana? Depende de la composición de cada empresa, pero lo ideal sería formar un comité, le recomiendo que el director general y los miembros del consejo de administración formen parte, así como los directivos de las principales áreas de su negocio.

No hay que perder de vista que la labor de la seguridad es un proceso vivo, así como es importante que los directivos se involucren es también vital que se revise su estado, el negocio va cambiando y lo que servía hace un año seguramente ya no es lo más adecuado para ahora, hay que establecer un calendario con reuniones periódicas con el comité definido previamente para ver si la estrategia de seguridad sigue satisfaciendo las necesidades del negocio o para definir los cambios necesarios, TIENEN que estar los representantes de las demás áreas, los requerimientos de seguridad específicos de dichas áreas SÓLO pueden venir de ellos, no del área de seguridad.

Bien, después de “meterles mello” a los directivos al fin obtengo su apoyo y logro meter en su agenda las reuniones ¿Qué sigue? Debemos empezar por saber qué es lo que nos duele, un análisis de riesgos bien realizado nos da un panorama de lo que hay que corregir. En el siguiente Post platicaré sobre el análisis de riesgos NO SE LO PIERDA…..