Desde qué parte del organigrama se debe gestionar la seguridad de la información #RiskManagement

Uno de los asuntos clave en el enfoque de la gestión de seguridad de la información en las organizaciones es en qué parte de sus estructuras organizativas debe recaer la función de seguridad de la información y de qué manera establecer la dinámica de trabajo con el área de Tecnología de Información. Para referirnos a la función de control de la seguridad de la información utilizaremos la abreviatura CSO (chief security officer, u oficial de seguridad de la información), y para la función de gestión de TI, la abreviatura CIO (chief information officer, o director/gerente de Tecnología/Sistemas).

En tanto que ambos, el CIO y el CSO, apuntan a la primera línea del negocio, es difícil determinar cuál de los dos es el responsable de la seguridad en última instancia. Mientras que el CIO está posicionado en la primera línea, el CSO tiene que estar más familiarizado con las amenazas y las estrategias de prevención. Por lo tanto, puede que sea necesario separar algunas responsabilidades, lo que puede generar tensiones en la dinámica de trabajo y de reporte.

Tradicionalmente, el CSO reportaba al CIO, lo que implicaba un conflicto de intereses directo, ya que es responsabilidad del CSO asegurar que el CIO implementa las medidas técnicas y organizativas necesarias para garantizar el aseguramiento de la información. Tanto el CIO como el CSO necesitan orientar las estrategias empresariales teniendo en mente la seguridad como una prioridad; sin embargo, también deben tomar decisiones sobre cómo asignar y distribuir los recursos entre las iniciativas de negocio y la seguridad, lo que puede generar luchas contenciosas por el presupuesto disponible.
Un escenario alternativo es que el CSO reporte directamente al CFO (director financiero), quien presta otros servicios de control a la organización en la misma línea, como la auditoría financiera. Finalmente, estas líneas de reporte de cara a la gestión de seguridad de la información deben ser definidas según cómo la organización ve su propia estructura existente y futura, así como la fortaleza individual de sus actuales ejecutivos en el más alto nivel jerárquico.

Fuente:
Koegler, S. (2017, enero). Move the CSO to a Different Place on the Security Org Chart. Security Intelligence. Recuperado de https://securityintelligence.com/move-the-cso-to-a-different-place-on-the-security-org-chart/

Comentarios