Las organizaciones requieren hoy día garantizar la integridad, confidencialidad, disponibilidad y privacidad de la información que manejan y procesan así como una operación con un nivel de riesgo aceptable derivada del uso de las tecnologías de información, asegurando la tranquilidad de accionistas, directivos, funcionarios, clientes y socios de negocio. La gran incógnita es ¿cómo se puede lograr esto? ¿Por dónde empezar? ¿Qué se necesita realmente? ¿Cuánto presupuesto se necesita?, ¿Quién es el responsable de implementarlo? La respuesta es difícil y compleja ya que hoy día las organizaciones resuelven los problemas de seguridad de una manera puntual, reactiva, correctiva y no desde un punto de vista estructurado.
Una respuesta sería crear una Arquitectura de Seguridad de la Información, la cual permitirá identificar los elementos y los componentes necesarios para definir, normar, implantar, monitorear y auditar los requerimientos de seguridad con una visión de negocios apoyada en tres factores críticos de éxito: recursos humanos, procesos de negocio y tecnología. Nótese la diferencia entre una arquitectura de seguridad de la información y una Arquitectura de infraestructura de seguridad, donde ésta es diseñada con elementos tecnológicos exclusivamente y no con elementos que involucren a toda la organización.
En las organizaciones todo cambia con el tiempo: las personas, la tecnología, la forma de hacer negocio, los procesos, los volúmenes de información, los riesgos etcétera, por lo tanto las necesidades y requerimientos de seguridad también cambian. Por lo que hace extremadamente complejo determinar el nivel de seguridad requerido para tratar de mitigar estos nuevos riesgos, es por eso que es fundamental contar con una arquitectura de seguridad, cuyo objetivo principal es el tener una base en la que los nuevos riesgos generados por cualquier tipo de cambio se incluyan en la arquitectura de seguridad y estén alineados bajo este marco, de forma que este proceso sea lo mas transparente y sencillo para la organización.
Algunas de las etapas que se deben considerar en una arquitectura son:
- Análisis de Vulnerabilidades y Evaluación de Controles
- Corrección de Vulnerabilidades
- Desarrollo de Políticas, Estándares, Guías, Procedimientos y Baselines
- Creación de la Función Informática
- Análisis y Evaluación de Riesgos
- Estrategia de Seguridad
- Programa de Concientización
- Adquisición, Desarrollo e Instalación y Puesta a punto de herramientas
- Monitoreo, Auditoria y Computo Forense.