-->
Portada del sitio » Nacional » Debida diligencia!! La medida de la seguridad y (...)

Debida diligencia!! La medida de la seguridad y protección!!

Viernes 19 de abril de 2013, por Guido Rosales Uriona - GRU


Después de mucho tiempo vuelvo a escribir en este sitio personal. Deje de hacerlo por cuanto era mas fácil publicar en Facebook, pero no queda una trazabilidad para referencia documental. Y gratamente me sorprende ver que la opinión después de tantos años le sirve a personas de la comunidad.

Hoy tratare de la medida de la seguridad. Cuanto se debe hacer para decir que algo es mas o menos seguro. La capacidad de inversión no puede ser una medida por cuanto unos tendrán mas que otros. Pero si cada uno podrá demostrar el esfuerzo realizado para garantizar la protección de la información y sus activos relacionados.

Un termino que puede resumir este esfuerzo es "debida diligencia", una posición opuesta a la "negligencia manifiesta". Es decir, el esfuerzo planificado, organizado y medido de las actividades e inversiones necesarias para proteger los activos. Resulta en muchas situaciones difícil responder frente a la alta dirección donde se aprueban presupuestos. Entonces el responsable en la linea operativa de la seguridad no ve salida, pero si puede demostrar el esfuerzo de evaluar opciones de solución, su análisis de riesgo beneficio,el calculo ROSI o retorno de la inversión en seguridad.

La capacitación sobre todo autodidacta definirá la amplitud, oportunidad y pertinencia de esa debida diligencia. No debería preocuparnos tanto que dicen los estándares internacionales por cuanto estos apuntan a un entorno donde el presupuesto no es una preocupación y es entendido por la alta dirección. Pero en nuestro medio ante la actitud muchas veces contraria únicamente queda pensar en parches de seguridad antes de medidas preventivas.

Todos los entandares comienzan con el análisis del contexto, esto significa entender la capacidad de inversión, el apetito al riesgo, el nivel cultural de la organización y del entorno mercado y país.

Por ejemplo si bien la ISO 27001 es una guia, lo que busca no es implementar los 137 controles, sino tener un sistema de gestión de la seguridad basado en la mejora continua sobre la identificación de los riesgos.

Concluyamos diciendo que no existirá seguridad al 100%, pero si podremos demostrar la diligencia de proteger cada vez mas contra las amenazas tradicionales y emergentes. Puedo resumir esto en pocas palabras "como responsable de seguridad no te garantizo protección al 100%, pero si te ofrezco el 100% de mi esfuerzo"


P.-S.

Autor: Guido Rosales

Ultimos Artículos