Esta visión, que comparto al 100%, es básica si queremos obtener una estrategia de seguridad alineada con el negocio. Un análisis de riesgos va a identificar cuáles son nuestras principales fortalezas y carencias en materia de seguridad, identificando nuestra situación de seguridad. Pero no va a decir nada acerca de hacia dónde queremos ir en materia de seguridad, que es precisamente el cometido de la estrategia de seguridad.
Pongamos un ejemplo. Una empresa de venta on-line de productos y una empresa de mensajería identifican en sus respectivos análisis dos riesgos a tratar: un riesgo extremo derivado del insuficiente control de accesos en el servidor web y un riesgo alto debido a una capacidad insuficiente en la centralita telefónica. Si sólo tenemos en cuenta el análisis de riesgos, ambas empresas deberían tratar en primer lugar el riesgo asociado al servidor web. Sin embargo, si tenemos en cuenta el negocio, los objetivos de la empresa dirán que es más importante dirigir la estrategia de seguridad hacia la disponibilidad de los servicios de atención al cliente, y por tanto se primará el tratamiento del riesgo asociado a la capacidad de la centralita, aunque sea menor.
En el mismo post el autor afirma que la seguridad, desde el punto de vista de negocio, conlleva un gasto adicional (precisa recursos), y por tanto tiene que proporcionar un valor añadido para el cliente, de forma que se justifique ese incremento en el coste. Esta visión permite al autor una catalogación muy interesante de los costes de seguridad:
- Costes de seguridad obligatorios: Aquellos en los que todas las empresas deben incurrir, debido a legislaciones, regulaciones, etc.
- Costes estratégicos de seguridad: Aquellos derivados de la implementación de medidas de seguridad que aportan un valor añadido al negocio.
- Costes de gestión de la seguridad: Aquellos costes provocados por la gestión de los riesgos, que se derivan de la implementación de medidas para reducir el riesgo por debajo del umbral aceptado.
Evidentemente, cualquier otro coste de seguridad que no esté contemplado entre estos debería ser eliminado. Y de todas formas, el objetivo a perseguir será la integración de el tercer grupo dentro del segundo, con el fin tanto de optimizar costes como de alinear al máximo las medidas de seguridad y el SGSI desarrollado con los objetivos del negocio. Una conclusión similar a la que yo mismo exponía ayer en este post. Vamos, que al final nos encontramos con resultados similares aunque el origen del análisis sea tan distinto. Si es que en estos temas de la seguridad, el sentido común es el mejor consejero...
No hay comentarios:
Publicar un comentario