El modelo de gobierno propuesto por Cobit5 se basa, como principio fundamental, en lo que ha denominado la cascada de objetivos. Lo que propone esta cascada, en esencia, es que nuestras acciones tienen que estar relacionadas con las necesidades de todas las partes interesadas (stakeholders) de nuestra organización.
Si aplicamos este modelo a la seguridad de la información, adaptando el modelo de Cobit5 para las TICs, tendríamos una cascada como la que vemos en la figura adjunta. Es decir, partiendo de las necesidades de las partes interesadas, se fijan los objetivos empresariales, que son los que determinan los objetivos en materia de seguridad de la información y, a partir de ellos, se establecen las metas para los catalizadores de gobierno identificados por ISACA en el mencionado marco de gobierno (políticas, cultura, organización, procesos, información, herramientas y capacidades).
Pero, ¿cuál es la relación con la protección de las infraestructuras críticas?
Si se aplica este modelo a las infraestructuras críticas, lo primero que hemos de hacer es identificar a todas las partes interesadas y sus necesidades. Y si hablamos de proteger las infraestructuras críticas, una de las partes interesadas somos los ciudadanos que podemos vernos afectados por una fallo en dichas infraestructuras. El paso siguiente sería identificar nuestras necesidades y una necesidad sería, lógicamente, que se salvaguardara la seguridad de las mismas para que ningún incidente pudiera llegar a suponer un riesgo para nosotros.
Por tanto, aplicando esta lógica, los objetivos de seguridad del operador de dicha infraestructura reflejarían la necesidad de protección de los ciudadanos solucionando así uno de los grandes handicaps de la protección de las infraestructuras críticas: Que se protejan adecuadamente a pesar de ser gestionadas por operadores privados (en su mayoría) que se rigen por criterios económicos.
Por tanto, ¿debería abordarse seriamente la implantación de marcos de gobierno de la seguridad como medida de protección de las infraestructuras críticas?
Puedes seguirnos en twitter.com/enplusone