La Seguridad de la Información vista desde la perspectiva del modelo de negocio.

En la era de la globalización económica, el constante y siempre cambiante riesgo que afecta el intercambio y la colaboración entre empresas y el comercio electrónico, la seguridad de la información se ha vuelto más un asunto del negocio que nunca antes se pensó que fuese posible. La definición correcta del rol de la seguridad de la información, aún no está clara para muchas organizaciones, que aún la perciben como un centro de gasto, se ha demostrado que las organizaciones con una gestión efectiva en la seguridad de la información, contribuye en la consecución de los objetivos.

La seguridad de la información en las empresas ha sido tratada como un elemento aislado de los procesos de negocios, por esta razón hay poca colaboración interdepartamental para que se implemente un programa de seguridad de la información en la misma dirección que la de los objetivos del negocio, esta visión aislada hace que se incrementen los costos en seguridad y pero ello no significa que se traduzcan en mejoras, al contrario demuestra la existencia de un débil sistema de protección que pudiera producir más perdidas que beneficios.

Las constantes y continuas mejoras en las herramientas tecnológicas para la protección de la información, nos muestran un panorama favorable, sin embargo la tecnología por sí sola no garantiza el éxito en este proceso; es necesario la adopción de un enfoque sistémico que involucre a la organización, las personas y la tecnología, lo que hace necesario a la vez el establecimiento de políticas y normas de seguridad de la información basadas en estándares y mejores prácticas, este documento guía debe ser aprobada por las máximas autoridades y acatado por todo el personal de la organización, en su interior deberá estar descrito el programa a seguir en materia de seguridad de la información, también sentará las bases sobre cómo debe ser utilizada, transmitida, compartida y destruida la información.

Los gerentes de seguridad de la información están llamados a desarrollar un plan de seguridad que se alinee con los objetivos de la organización, que le agregue valor a los procesos de negocios propiciando un ambiente favorable para una gerencia innovadora mientras mantiene bajo control los factores de riesgos que afectan en desempeño de la empresa. En virtud de que no existe una receta mágica para lograr todo esto, debido quizás a la falta de un modelo que asegure y mida la efectividad de la implementación de un programa de seguridad de este tipo, se hace imperativo la adopción de uno que describa la forma como las unidades de negocios y sus similares de seguridad de la información deban trabajar de forma mancomunada para crear e implementar un Modelo de Seguridad de Acuerdo con las Funciones del Negocio.

La Information Systems Audit and Control Association (ISACA), ha desarrollado un Modelo de Negocios para la Seguridad de la Información (BMIS por sus siglas en inglés) que centra los esfuerzos en crear un lenguaje común sobre el tema de seguridad, creando un sistema en el que interactúan La Organización, La Tecnología, La Gente y Los Procesos para alcanzar de manera eficiente y eficaz los objetivos organizacionales con la participación activa de todos sus integrantes. La figura siguiente resume de manera gráfica de que se trata este modelo.