Respuesta

Seguridad vs. Conformidad: ¿Es correcto la ‘caja de seguridad’?

Nuestro programa de seguridad y conformidad tiene un fuerte planteamiento de ‘caja de seguridad’ – el programa de seguridad se basa casi por completo en PCI DSS (lo que justifica los gastos) y el programa de conformidad se basa en el criterio del asesor mediante gestión constante de riesgo y controles de seguridad. 

Creo que es mi responsabilidad tratar de cambiar esta actitud, pero como gestor de seguridad (nivel no directivo) creo que es imposible. ¿Por dónde empezar?

¡Pregunte al experto!

¿Tiene alguna pregunta para Mike Chapple o para cualquiera de nuestros expertos? Haga sus preguntas empresariales hoy mismo! (Todas las preguntas son anónimas.)

 

 

Yo creo que por ahora no debería hacer cambios en sus programas de seguridad ya que el planteamiento de ‘caja de seguridad’ es la forma correcta de actuar. Sé que puede sonar extraño, pero cuando evaluó la seguridad frente a la conformidad en las empresas, encuentro que las organizaciones tratan de separar tales funciones, ya que aunque tienen controles muy relacionados también tienen propósitos muy diferentes.

Los grupos de seguridad de la información deben tener como primer objetivo mantener la confidencialidad, integridad y disponibilidad de toda la información corporativa. Hablamos de un planteamiento basado en riesgo donde el personal de seguridad debe tomar las decisiones de control según su presupuesto y su exposición de riesgos. El objetivo final de este planteamiento es que la seguridad de la empresa sea eficiente y efectiva.

Por otro lado la conformidad es algo totalmente diferente. Su objetivo es satisfacer los requerimientos externos impuestos que pueden estar relacionados, o no, con el programa de seguridad. El hecho de que la empresa cumpla con esa conformidad no implica que su entorno sea seguro, ya que existen obligaciones o cuestiones que no tienen que ver con la seguridad. La conformidad es algo que la empresa debe hacer porque lo desea. Por eso el planteamiento de ‘caja de seguridad’, a mi modo de ver, es adecuado.

Ahora bien, las tareas de seguridad y compilación pueden viajar juntas en ocasiones. Si la empresa tiene una seguridad bien definida e implementada, lo razonable es que cumpla todos los requisitos de conformidad demandados. 

Las empresas pueden reforzar el programa con planteamientos de ‘caja de seguridad’ que garanticen que todo se hace tal como se pide. Así que, para ser claros, mientras que el planteamiento de ‘caja de seguridad’ puede no ser una buena idea, la conformidad basada en este estilo si lo es.

Esto fue publicado por primera vez en diciembre 2012

Unirse a la conversación Comenta

Compartir
Comentas

    Resultados

    Contribuye a la conversacion

    Todos los campos son obligatorios. Los comentarios aparecerán en la parte inferior del artículo