En la era digital hemos evidenciado que la seguridad de la información es vital para el desarrollo de los negocios. Hoy se alcanzan nuevos clientes a través de redes sociales, se amplía el alcance de la red de distribución usando comercio electrónico, se reciben PQR (Peticione, quejas y reclamos) a través de correo electrónico y chat, se informa el estado de sus despachos con sistemas GPS y además, se realizan todos los procesos de backend(Interfaz)  usando sistemas de información como ERP (Enterprise Resource Planning), CRM (Customer Relationship Management) y BPM (Business Process Management).

Luego es evidente que las TICs (Tecnologías de Información y comunicaciones) son parte vital del proceso interno y externo de una organización.; Alguien podría pensar equivocadamente que las TICs son el activo más importante de la organización; pues permiten el desarrollo del objeto empresarial. Este es un error táctico. Las TICs solo son valiosas en la medida en lo que contribuyan a satisfacer oportuna y adecuadamente las necesidades de los procesos empresariales; la necesidad fundamental que todo proceso empresarial requiere confianza. Así, el activo más importante que permite los negocios en la era digital es la confianza digital; Esta permite conocer quién está detrás de todo el andamiaje digital, puede recibir, mantener, procesar y entregar información de forma segura. Pero la confianza es un activo que requiere de una construcción organizada. Una construcción que excede la adopción de un estándar o un modelo y se inserta en la estrategia corporativa. De este modo, la confianza digital se construye incluyendo sobre los productos o servicios que recibe el cliente interno y externo, los conceptos básicos de seguridad: confidencialidad, integridad y disponibilidad.

Desafortunadamente la seguridad digital ha sido considerada como un tema exclusivamente interno de quienes gestionan las TICs. Por eso algunas organizaciones intentan construirla exclusivamente como seguridad informática. Es decir, la seguridad del software y hardware. Otras organizaciones dan un paso adicional y la construyen como seguridad de la información, protegiendo los flujos físicos y digitales de la misma. En ambos casos, nuestra experiencia nos muestra que sus esfuerzos son insuficientes para construir confianza digital tanto con los clientes externos, como con sus interesados internos (stakeholders). La razón evidente es que la seguridad no se construye alineada con la estrategia corporativa, sino alineada a un estándar técnico. Por eso sus servicios y características obedecen a razones técnicas y no a una especificación funcional de un servicio corporativo. Así, se evidencian planes de inversión y gasto en seguridad digital, realizados para cumplir estándares técnicos; cuyo objeto es el fortalecer la seguridad de la información, pero sin dar evidencias de aportar directamente al logro de la confianza digital como parte integral de los objetivos estratégicos. Es decir, la organización invierte y gasta cantidades importantes de recursos en "fortalecer" algo, sobre lo que no tiene claridad exacta del beneficio que le genera en el logro de sus objetivos corporativos.

Pero no debemos confundirnos. No recomendamos dejar de usar los estándares técnicos. Lo que hace falta es desarrollar una planeación estratégica que incluya la seguridad como parte del servicio, incluyendo estándares técnicos, pero buscando satisfacer primero las necesidades corporativas estratégicas. Para eso debemos especificar el concepto de confianza digital, como una de las características de valor que posibilitan los objetivos estratégicos corporativos. Luego debemos detallar los servicios de seguridad digital requeridos para soportar los procesos corporativos de clientes internos y externos. Este detalle debe evaluar y definir en cada capa tecnológica los riesgos y acciones de mitigación que se deben realizar. De esta manera la organización construirá servicios digitales: (i) adecuados al momento y la necesidad corporativa, (ii) apropiados a un estándar y (iii) que sean considerados seguros y dignos de recibir la confianza interna y externa. Además, priorizará las inversiones y gastos en seguridad basados en los planes corporativos y no únicamente en la vista técnica de los ingenieros. Y finalmente, tendrá un plan de 3 a 5 años para las inversiones y gastos que debe hacer. Así la seguridad se convierte en parte intrínseca del producto-servicio y no un requerimiento técnico invisible a los ojos no técnicos y logra el objetivo final de todo esfuerzo corporativo: dar valor al negocio.

¿Qué es?                  

Es un plan estratégico de seguridad de la información

¿Para qué?

Organizar los esfuerzos de la construcción de la seguridad de 3 a 5 años

Definir y justificar un presupuesto