Cada compañía y organización trabaja dentro de un modelo de seguridad, sin importar si lo saben o no. Debido a que cada compañía es diferente, por ende los requerimientos de seguridad y necesidades son diferentes.

La arquitectura del programa de seguridad puede verse análogamente con el plano de una construcción. El plano define la estructura, comunicaciones e interacciones entre todos los componentes; aquí es donde se especifican las expectativas de sus futuros habitantes (por ejemplo si requieren 3 o 4 habitaciones, con o sin jardín, cochera para 8 autos, etc.). Al igual, al estar diseñando el programa de seguridad se deben definir las funcionalidades y los resultados que se desean y a partir de estas premisas se planea.

La arquitectura del programa ayuda a valorar qué acciones deben tomarse y qué no. Es común que las iniciativas de seguridad empiezan por bloquear navegación, poner filtros de correo electrónico, quitar unidades de CD sin verificar si las acciones tomadas refuerzan la seguridad de acuerdo a la naturaleza del negocio. La arquitectura ayuda a enfocar y evitar esfuerzos innecesarios.

Las políticas de seguridad trabajan como un plano de arquitectura en el programa de seguridad de la compañía y provee los fundamentos necesarios para construirlos. Por lo tanto, las políticas deben ser tomadas con seriedad desde el inicio y ser desarrolladas con la idea de que serán continuamente aplicadas y revisadas para asegurar que todos los componentes estén alineados a los mismos objetivos. El siguiente paso es desarrollar e implantar los procedimientos, estándares y guías que apoyen a la política.

Si la seguridad inicia con fundamentos bien establecidos y los objetivos son entendidos, la compañía no requiere hacer grandes esfuerzos en el transcurso de su operación. La seguridad bien estructurada desde el principio cuesta menos que la corrección e inclusión de la misma sobre el camino. El profesional de la seguridad debe ofrecer sus conocimientos para guiar y proveer de la visión necesaria y ayudar a entender cómo la seguridad deberá ser llevada e implementada; esta ayuda evita considerablemente confusión.

Una forma fácil de construir la estrategia se basa en la siguiente premisa: toda intrusión requiere de una activo, un peligro y una vulnerabilidad. La eliminación de cualquiera de estos elementos evita una intrusión. La siguiente metodología puede ser aplicada:

1. Entendimiento de la organización
   1. Saber la naturaleza del negocio
   2. Conocer clientes y proveedores medulares
   3. Conocimiento de los socios de negocio
   4. Conocimiento de la forma de operar: procesos de negocio
   5. Conocimiento de la infraestructura
2. Realización de estudios de seguridad
   1. Análisis de Riesgo
   2. Análisis de Impacto al Negocio
3. Identificación
   1. Identificación de Vulnerabilidades
   2. Identificación de Activos
   3. Identificación de Procesos críticos
4. Generación de documentación
   1. Reportes de estudios
   2. Generación de planes de trabajo
   3. Preparación del programa de difusión
   4. Identificación de personajes clave
5. Implantación de controles
   1. Adquisición
   2. Instalación
6. Monitoreo
   1. Revisión del desempeño
   2. Análisis de mejoras
   3. Implantación de mejoras

Objetivos del Modelo

Los modelos de seguridad tienen distintos estratos y por consecuencia diferentes objetivos a cumplir. Los objetivos que debe cumplir un modelo deben ser operacionales, tácticos y estratégicos. Los objetivos que tienen que ver con metas diarias están identificados como los operacionales. Ejemplos de estos objetivos son: contestar todos los correos electrónicos recibidos, asignar el 100% de incidentes levantados por la mes de ayuda, etc. Los objetivos que están a medio plazo son identificados como tácticos. Objetivos tácticos pueden ser el terminar un postgrado, escribir un libro, llegar a una posición específica en el organigrama de la empresa. Los objetivos de largo plazo están ubicados más adelante en el tiempo, estos podrían ser metas de retiro, compra de casa, etc.

Los modelos de seguridad deben tener definidos sus objetivos. Los objetivos operativos se enfocan en la productividad y están orientados a actividades funcionales de la compañía, son fácilmente predecibles. Los objetivos tácticos están enfocados a los recursos de la compañía. Los objetivos de carácter estratégico están relacionados con las acciones y controles seleccionados.