Mauricio Décima: El desafío de gestionar la Seguridad de TI en la PBA

Si nos convencemos de que el objetivo principal de la seguridad de la información es la protección de los activos de una organización, debemos convencernos, también, de que es fundamental establecer un Sistema de Gestión de Seguridad de la Información (SGSI) como base principal para comenzar a trabajar en materia de ciberseguridad. Esta decisión implica definir estrategias, políticas, normas, procesos y controles para proteger los tres aspectos fundamentales de la información: confidencialidad, integridad y disponibilidad.

La ciberseguridad, para que sea sustentable, debe ser necesariamente un pilar estratégico del negocio y el compromiso total de la organización se alcanza cuando integramos como socios estratégicos a todas las áreas que la componen. La conformación de comités de seguridad, y su homologación permitirá convocar, definir, aprobar y establecer cada lineamiento en materia de seguridad.

La identificación de los procesos, su mapeo estratégico, su establecimiento y su control, son, además, las bases necesarias que apuntalan la modernización y la innovación tecnológica de una organización. La gestión de riesgos en los pilares estratégicos, en las iniciativas, en los proyectos y fundamentalmente en los procesos y sus activos relacionados, contribuyen directamente a una mejora en los niveles de seguridad. Establecer un alcance serio y realizable, planificar en base al resultado de los análisis de brecha y establecer indicadores que nos permitan medir el nivel de madurez de nuestra organización, son acciones primarias en el despliegue de un SGSI.

Los procesos, las herramientas, técnicas y metodologías, son aspectos importantes de cualquier gestión, pero estoy convencido de que el desafío más importante de la provincia de Buenos Aires en particular, y de cualquier organización en general, es generar cultura en materia de seguridad de la información. Esa cultura se logra sumando: personas + procesos + herramientas => + cultura. Generamos cultura, además, cuando capacitamos, entrenamos y concientizamos no sólo en el núcleo de nuestros equipos sino a todos los interesados del negocio de nuestra organización.

Los ataques a nuestros activos y sistemas ya no son casos aislados y requieren de un esfuerzo conjunto, organizado, sustentado por estándares, normas y, principalmente, por recursos humanos capacitados, experimentados y dedicados a enfrentar esta problemática. Por esta razón, quienes trabajamos desde y para la provincia de Buenos Aires, tenemos la responsabilidad de establecer planes serios, generar espacios de capacitación y ejecutar sistemas de gestión, sustentables en el tiempo, que hagan posible mejorar los niveles de madurez en materia de seguridad de TI.

Mauricio Décima
Gerente de Proyectos de TI y Seguridad en ARBA