Presentación de Informe SEIS a Alta Dirección

Objetivo: Presentación del Informe de Estado de Seguridad de la Información de la compañía a la alta dirección, suponiendo ello un hito para la asunción de la seguridad como un requisito de negocio más en la cultura organizacional de la compañía.


El desarrollo del Informe SEIS como materialización documentada de la recolección técnica y general de información ya indicada anteriormente, persigue un doble objetivo. Por un parte conformar una documentación que recoja de forma concisa y clara el estado, tanto técnico como organizativo, de la organización en el campo de la seguridad de la información, lo que en sí mismo, suponga un activo importante para la organización que pueda ser utilizado, en adelante, como documentación de referencia (probablemente tras sesgar cierta información clasificada como confidencial) para la petición de ofertas a proveedores, documentación de soluciones, etc.


Sin embargo, el segundo objetivo (probablemente el más importante), sea el de servir como referencia (especialmente el resumen ejecutivo) a la alta dirección para el apoyo en la toma de decisiones relativas a la disminución del riesgo asumido por la compañía y, por tanto, al aumento del valor de la misma.


En este sentido deberá realizarse una presentación del mismo a la alta dirección de la compañía para lo que deberá identificarse claramente cuáles son los mensajes claves que desean transmitirse a la misma, siempre desarrollando esos mensajes en un lenguaje familiar que se corresponda con la terminología, no tanto técnica, sino de negocio y de riesgos financieros y que permita a los asistentes a la presentación una fácil comprensión de los mensajes transmitidos.


La presentación deberá estructurarse adecuadamente, para lo cuál se recomienda un esquema similar al siguiente:


  • Muy breve introducción sobre seguridad de la información
  • Descripción del estudio realizado y motivación del mismo
  • Estado actual de la organización
  • Ejemplos reales de hallazgos, problemas y/o vulnerabilidades existentes
  • Recomendaciones
  • Acciones inmediatas requeridas
  • Conclusiones

Se recomienda que tanto en la parte inicial de la presentación (estado actual) como en la final (conclusiones) se indique clara y explícitamente el nivel de riesgo asumido por la organización mediante unas afirmaciones breves y concisas como "El nivel de riesgo es Alto e Inaceptable en una organización de esta dimensión y visibilidad" o "la estructura organizativa es mejorable y existe un Nivel Insuficiente de medidas de seguridad técnicas y organizativas", por ejemplo.


La duración de la presentación dependerá de la dimensión de la organización, la naturaleza de la información a presentar y otras consideraciones (como disponibilidad del equipo directivo, etc.), sin embargo se recomienda que se reserve para la misma un espacio de tiempo entre 1 y 2 horas. Al final de la presentación deberán reservarse unos minutos para la realización de "comentarios libres", preguntas y dudas de los asistentes, justificaciones o desarrollo en detalle de alguna cuestión que los asistentes puedan requerir.


El resultado de esta presentación debería materializarse en el apoyo y compromiso explícito de la alta dirección en el desarrollo de la continuación del proyecto y en la aprobación del informe SEIS que suponga la aprobación para comenzar el desarrollo del Documento IASAP (Plan de Acción de Seguridad de la Información, Information Assurance and Security Action Plan).