¿Cuáles son las 3 líneas de defensa en seguridad de la información?

 

La seguridad de la información es la disciplina que se encarga de proteger la información de accesos, manipulaciones o destrucciones no autorizados, garantizando así su confidencialidad, integridad y disponibilidad. Para lograr este objetivo, podemos establecer tres líneas de defensa, que son:

• Primera línea de defensa: Es la función que posee y administra el riesgo, es decir, el personal que maneja la información y los sistemas en el día a día. Esta línea debe implementar los controles de seguridad adecuados, seguir las políticas y estándares establecidos, y reportar cualquier incidente o vulnerabilidad que detecte. Generalmente esta responsabilidad recae en el CIO o CTO.

• Segunda línea de defensa: Es la función de control independiente, que supervisa el riesgo y los controles de la primera línea. Esta línea puede incluir las áreas de riesgo, cumplimiento, seguridad de la información y ciberseguridad, que se encargan de definir el marco de gobierno, las normas y los indicadores de gestión, así como de monitorear y evaluar el desempeño y la efectividad de los controles de la primera línea. Esta actividad está a cargo del CISO, quien de acuerdo con las buenas prácticas o inclusive algunas regulaciones es una figura que no opera los controles y por consiguiente está fuera del área de TI.

• Tercera línea de defensa: Es la auditoría interna, que proporciona una garantía independiente sobre la adecuación y eficacia del sistema de gestión de riesgos y controles. Esta línea debe realizar revisiones periódicas y objetivas de las actividades de las dos primeras líneas, identificar las áreas de mejora y emitir recomendaciones para fortalecer la seguridad de la información. Además del auditor interno, es recomendable que los auditores externos revisen la fortaleza de los controles aplicados y su alineación con las políticas internas y regulaciones aplicables de seguridad de la información.

Estas 3 líneas de defensa trabajamos de forma coordinada y alineados con el mismo objetivo, bajo la supervisión y dirección de los organismos de gobierno interno, quienes son los responsables de establecer el apetito y la tolerancia al riesgo de la organización.