Rol de la alta dirección en la seguridad de la información

Para una adecuada implementación y funcionamiento de un Sistema de Gestión de Seguridad de la Información (SGSI), es fundamental contar con un verdadero compromiso y apoyo por parte de la alta dirección de la empresa.

De hecho, de acuerdo con la norma ISO 27001, sin este compromiso, apoyo e involucramiento de los directivos, no es posible contar con un buen SGSI, pues tal como lo establece esta norma, la alta dirección tiene a su cargo una serie de responsabilidades que son necesarias para que este sistema pueda funcionar correctamente y cumplir con sus principales objetivos: proteger los activos de información de la empresa y garantizar las tres propiedades de la información, es decir, la confidencialidad, integridad y disponibilidad. 

En el siguiente artículo te contamos acerca del rol y las funciones que tiene la alta dirección en materia de seguridad de la información, un área que cada vez más debe ser considerada como estratégica para todas las organizaciones, sin importar su sector y tamaño, ya que todas están expuestas a sufrir en cualquier momento un ataque cibernético que genere impactos en sus operaciones, finanzas, reputación e incluso, en su continuidad.

Responsabilidades de la alta dirección en seguridad de la información

Para gestionar la seguridad de la información en las empresas, la manera más adecuada de hacerlo es a través de un Sistema de Gestión de Seguridad de la Información, es decir, una herramienta que en términos generales permite identificar, evaluar, controlar y monitorear los riesgos que pueden causar algún impacto a los activos de información con los que cuenta una organización. 

Y la norma ISO 27001, que es certificable, establece los lineamientos a seguir para implementar este sistema de gestión. Dentro de estos, resalta el papel que debe cumplir la alta dirección para poder garantizar el funcionamiento del SGSI.

Como primera medida, la alta dirección debe comprometerse realmente con la implementación, desarrollo, operación, seguimiento, revisión y mejora continua de este sistema, en otras palabras, es la que lidera que este se lleve a cabo y funcione. 

Entre otras, la alta dirección es responsable de:

• Establecer el alcance y los objetivos que tendrá el SGSI.
• Definir y desarrollar la Política de Seguridad de la Información aplicable a la organización. Esta política debe ser conocida y estar al alcance de todos los colaboradores.   
• Definir los roles y responsabilidades dentro del SGSI. 
• Determinar los criterios de aceptación de riesgos relacionados con la seguridad de la información.
• Asignar los recursos necesarios para la puesta en marcha del SGSI, estos incluyen tanto recursos humanos como herramientas físicas y tecnológicas. 
• Asegurar que se realicen auditorías internas al SGSI. 
• Revisar por lo menos una vez al año el SGSI, esto le permite asegurar que este siga siendo conveniente y eficaz para la empresa. Igualmente, debe revisarlo en caso de que se presenten cambios internos o externos significativos que pueden afectar la eficacia del sistema. 
• Estar involucrada en la revisión, actualización y mejora continua del SGSI. 

Adicional a lo anterior, la alta dirección cumple un papel clave en la concientización y sensibilización de los colaboradores de la empresa en cuanto al uso adecuado de los activos de información y la prevención de riesgos asociados a estos. En sus manos está promover y facilitar las herramientas y el conocimiento necesario para que el personal genere conciencia sobre la importancia que tiene proteger la información y estar alertas a señales o vulnerabilidades que podrían materializar un ciberataque. 

En este punto es importante garantizar una comunicación y sensibilización efectiva con todos los niveles y roles de la empresa, pues como se sabe, muchas veces los ciberataques ocurren por desconocimiento, omisión de controles o buenas prácticas por parte de los colaboradores, poniendo en riesgo la información. 

Por eso, se deben desarrollar capacidades para que todos los que hacen parte de la organización sepan cuáles son los riesgos y amenazas a los que están expuestos si no protegen y hacen un uso adecuado de la información a la que tienen acceso. Cada persona debe contribuir al logro de los objetivos planteados en el SGSI de la empresa. 

Y a través de una herramienta como Pirani podemos ayudar a organizaciones como la tuya a garantizar y proteger la seguridad de la información. Con el módulo de Seguridad de Información podrán identificar y gestionar fácilmente procesos, activos de información, riesgos, controles, incidentes y planes de acción.