IBM ha dado a conocer hoy los resultados de su primer estudio sobre la situación de los responsables de seguridad de las empresas, CISO (Chief Information Security Officer).
El informe, que se basa en la información recopilada por IBM a través
de más de 130 entrevistas a altos directivos relacionados con la
seguridad en todo el mundo, muestra una clara evolución
en el papel que juegan en las empresas, dejando a un lado en enfoque
meramente tecnológico y asumiendo mucha mayor responsabilidad en la
estrategia del negocio (el 25% de los encuestados).
El estudio clasifica además a los responsables de seguridad en tres categorías en función de su nivel de preparación. Los “influenciadores”
representan aproximadamente un 25% de los entrevistados y son aquellos
que influyen en la estrategia de negocio de sus empresas, están mejor
preparados y tienen una mayor experiencia que los integrantes de las
otras dos categorías, los “protectores” y los “que dan respuestas”.
En general, los responsables de seguridad están actualmente bajo una intensa presión,
ya que son los encargados de proteger algunos de los activos más
valiosos de sus empresas, desde el dinero a los datos de los clientes o
la propiedad intelectual y la marca. Casi dos tercios de los CISOs
encuestados afirman que los altos directivos están prestando más
atención a la seguridad que hace dos años. El creciente número de ataques a la seguridad y vulnerabilidades les ha convencido del papel clave que debe jugar la seguridad en la empresa moderna.
Al mismo tiempo, más del 50% de los encuestados citaron la seguridad móvil
como una de sus principales preocupaciones para los próximos dos años y
casi dos tercios de ellos esperan un incremento en los presupuestos
destinados a la seguridad (el 87% de ellos prevé incluso incrementos de
dos dígitos).
En lugar de ejercer un papel meramente reactivo ante los ataques o
incidentes, los responsables de seguridad están evolucionando hacia una gestión del riesgo más inteligente (pasando de tratar de apagar fuegos a luchar para prevenirlos antes de que aparezcan). Entre las principales características que definen a los responsables de seguridad más preparados, los “influenciadores”, destacan las siguientes:
- Percepción de la seguridad como imperativo de negocio (más que tecnológico):
La seguridad debe ser tema habitual en las reuniones de negocio. De
hecho, el 60% de las organizaciones más avanzadas consideran la
seguridad como un tema clave en sus reuniones, en comparación con sólo
el 22% de las organizaciones menos avanzadas. Estos líderes tiene mayor
conciencia de los riesgos a los que se enfrentan y dan mayor
protagonismo a la formación, comunicación y colaboración de sus equipos.
Las empresas con mayor visión de futuro son más propensas a establecer
un comité directivo de seguridad, que sea capaz de responder a los
desafíos de una forma global, teniendo en cuenta todos los enfoques,
desde el legal, al de negocios, financiero o de recursos humanos. El 68%
de las empresas más avanzadas disponían de un comité de riesgos, frente
a sólo el 26% de las menos avanzadas.
- Toma de decisiones basada en datos y medición: las
empresas avanzadas son el doble de susceptibles de usar ciertos baremos
para medir su evolución; concretamente según la encuesta, el 59% frente
26%. El seguimiento del conocimiento del usuario, la formación de los
empleados, la capacidad para hacer frente a futuras amenazas y la
integración de las nuevas tecnologías pueden ayudar a generar una
cultura de conciencia de los riesgos. Asimismo, un seguimiento y control
automatizado de baremos estandarizados permite a los CISO dedicar más
tiempo a centrarse en los riesgos más amplios y sistémicos.
- Responsabilidad presupuestaria compartida con el equipo directivo:
el estudio destaca que en la mayoría de las organizaciones son los CIOs
quienes controlan el presupuesto de seguridad de la información. Sin
embargo, entre las empresas más avanzadas, la responsabilidad de la
inversión y de la gestión del presupuesto de la seguridad de la
información recae frecuentemente en los directores generales. Los datos
del estudio muestran, además, que en las organizaciones menos avanzadas a
menudo carecen de una partida presupuestaria destinada por completo a
la seguridad de la información, lo que demuestra que tienen un enfoque
más táctico y fragmentado a este respecto. El 71% de las organizaciones
más avanzadas tienen un presupuesto específico de seguridad frente al
27% de las organizaciones menos avanzadas.
Fuente: muycomputerpro.com
Link relacionado:
No hay comentarios:
Publicar un comentario