¿Quién es responsable de la seguridad de la información? Esta es una fácil. ¡Todos son responsables de la seguridad de la información! Una mejor pregunta podría ser «¿Quién es responsable de qué?»
Enfoque de arriba hacia abajo
Alta gerencia
En primer lugar, la seguridad de la información debe comenzar desde arriba. La «parte superior» es la alta gerencia y el «comienzo» es el compromiso. La alta gerencia debe comprometerse con la seguridad de la información para que la seguridad de la información sea efectiva. Esto no puede ser lo suficientemente estresado.
El compromiso de la alta gerencia con la seguridad de la información debe ser comunicado y entendido por todo el personal de la empresa y los socios externos.
El compromiso comunicado a menudo se presenta en forma de política. La alta gerencia demuestra el compromiso al participar activamente en la estrategia de seguridad de la información, la aceptación del riesgo y la aprobación del presupuesto, entre otras cosas.
Sin el compromiso de la alta gerencia, la seguridad de la información es un esfuerzo inútil.
Líderes de unidades de negocios
Tenga en cuenta que un negocio está en el negocio para ganar dinero. Ganar dinero es el objetivo principal, y proteger la información que impulsa el negocio es un objetivo secundario (y de apoyo). El personal de seguridad de la información necesita comprender cómo la empresa utiliza la información. De lo contrario, pueden producirse controles ineficaces y obstrucción del proceso.
Podría decirse que nadie sabe cómo se usa la información para cumplir los objetivos comerciales más que los empleados. Si bien no es práctico incorporar la opinión de cada empleado en un programa de seguridad de la información, es práctico buscar las opiniones de las personas que representan a cada empleado.
Establecer un comité directivo de seguridad de la información compuesto por líderes de la unidad de negocios. Los líderes de las unidades de negocios deben asegurarse de que la seguridad de la información impregne sus respectivas organizaciones dentro de la empresa.
Empleados
Todos los empleados son responsables de comprender y cumplir con todas las políticas de seguridad de la información y la documentación de respaldo (directrices, estándares y procedimientos).
Los empleados son responsables de buscar orientación cuando las implicaciones de seguridad de sus acciones (o acciones planificadas) no se comprenden bien. El personal de seguridad de la información necesita empleados para participar, observar e informar.
Los Terceros
Los terceros, como los contratistas y proveedores, deben proteger la información de su negocio al menos tan bien como usted. Los requisitos de seguridad de la información deben incluirse en los acuerdos contractuales. Su derecho a auditar los controles de seguridad de la información de terceros también debe incluirse en los contratos, siempre que sea posible. La responsabilidad del tercero es cumplir con el lenguaje contenido en los contratos.
Leer también:Necesidad de la seguridad en la información, importancia; Seguridad del centro de datos: capas físicas y digitales de protección
This post is also available in:
Español
