Los propietarios de las empresas están cada vez más preocupados por la
proliferación de tecnologías en la oficina. Innovaciones como BYOD, la nube, el
acceso global y las redes sociales tienen a muchos Directores de Seguridad de la
Información (CISO, por sus siglas en inglés) dando vueltas a la idea de cómo
asegurar eficazmente sus datos y proteger la valiosa propiedad intelectual.
En este cambiante panorama de amenazas, las empresas y gobiernos están
constantemente luchando contra la delincuencia cibernética organizada y el
hacktivismo. Con programas maliciosos, tales como Flame, Stuxnet y Shamoon en el
arsenal de los ciberdelincuentes de hoy, los CISO deben estar un paso adelante
del juego y prepararse apropiadamente para los ataques.
Echemos un vistazo a las medidas de seguridad utilizadas en la actualidad
y a las iniciativas que pueden implementarse ahora mismo para que usted sea de
más utilidad a su compañía y para proteger a su organización contra ataques
cibernéticos avanzados. Gracias a mi experiencia y según discusiones con
colegas, he determinado que las cinco principales iniciativas de un programa de
seguridad exitoso para mantener la seguridad de información en la empresa son:
1. Entienda su negocio. Puede parecer infantil, pero no queremos ser
condescendientes. La seguridad no manda en las empresas, ni siquiera en la
industria de la seguridad. Muchas veces las iniciativas que buscan lucro,
incluyendo ventas y marketing, tienden a no incluir la seguridad. En un esfuerzo
por cambiar esta situación, los CISO deben participar activamente en el
desarrollo del ciclo de vida del producto/servicio e integrarlo con la seguridad
de una manera estratégica, con el fin de mejorar su monetización.
Los riesgos y amenazas que enfrenta su organización son muy reales y
pueden causar consecuencias si decide tomar un enfoque más reactivo hacia la
seguridad. Manténgase activo, informando a la Junta Directiva que la seguridad
puede ser un importante factor diferenciador desde el punto de vista financiero.
Un ejemplo podría ser el de involucrarse en los productos que produce su
compañía. A diferencia de otros grupos de TI, la seguridad debe enfocarse en las
amenazas. Es necesario incorporar este pensamiento en todos los procesos,
incluyendo las estrategias y las comunicaciones. El aumento de la seguridad
puede equipararse con el aumento de los beneficios y la conservación de los
datos de la empresa. Dicho esto, no se apresure en la etapa de planeación de la
estrategia de seguridad de TI. La forma más lenta es la manera más rápida cuando
se trata de una arquitectura efectiva y metódica para la seguridad de TI.
2. Comprenda el papel de la seguridad. En el entorno actual la tecnología
nos consume. Normalmente nos olvidamos de las personas y los procesos, que son
realmente lo que hace que nuestras empresas sean exitosas. Como líderes, tenemos
que vender ideas. La tecnología por sí sola es apenas un vendaje que tiene que
ir de la mano con otros elementos. Si desea lograr la seguridad completa de TI,
debe integrar procesos y gobernabilidad para asegurar el éxito. Además, es
imprescindible la capacitación. Educar hacia arriba, hacia abajo y a través.
Todos sus empleados, desde la Junta Directiva, hasta los de servicio al cliente,
deben tener una mutua comprensión de la misión y las estrategias de su
departamento. Una forma de cultivar esta comprensión es violando la seguridad de
su propia organización. Esto pondrá a prueba los conocimientos de sus empleados
acerca de las amenazas actuales y cómo detectarlas y le dará una buena idea de
cómo responden ellos ante la situación. Este es también un gran tema para
compartir con la organización. Otro desafío consiste en poner a prueba su
servicio de mesa de ayuda para identificar cómo pueden robarse una contraseña
durante el proceso de reinicio del sistema. Este ejercicio le permitirá
identificar amenazas potenciales y casos de abuso. También puede educar al grupo
sobre las amenazas externas. La mayoría de los empleados están interesados en
esto y podrían incluso considerar divertido actuar como "los malos" de vez en
cuando.
3. Comprenda la "información." Comprender el valor relativo de la
información es una herramienta poderosa. Su objetivo final permite obtener la
sabiduría y el conocimiento de la función de seguridad de TI y cómo se relaciona
con su empresa. Esto permite que deje de ser un grupo operativo de seguridad
para convertirse en un equipo de inteligencia de seguridad. Usted no sólo debe
disponer de datos e información, sino que se hace necesario tener la capacidad
de analizar la información y aprovechar sus resultados para contar una historia
convincente. De este modo, usted está listo para diseñar un programa de
seguridad y proteger suficientemente a la organización contra la pérdida o robo
de datos.
Otro aspecto de la comprensión de la información es el liderazgo. Su
equipo de líderes no sólo debe tratar de guiar a su departamento. Debemos
ofrecer mensajes claros, relevantes, en contexto y con oportunidad, para
presentar información vital a los directivos. Sólo entonces puede realizarse un
proceso efectivo de toma de decisiones. También permite que los ejecutivos del
área financiera acepten las premisas ya que, generalmente, ven a los programas
de seguridad como una partida en el presupuesto.
4. Establezca gobernabilidad. Por definición, la gobernabilidad es la
capacidad de esbozar expectativas, garantizar esfuerzos y validar el desempeño.
Para lograrlo, se requiere crear una misión de gran alcance entorno a sus
iniciativas de seguridad de TI dentro de su organización. De esta manera, puede
definirse claramente a quién se reporta en seguridad, junto con sus funciones y
responsabilidades. Asegurar la alineación operativa en todos los departamentos
ayudará a involucrar a los empleados de su organización, haciéndolos más
conscientes de la arquitectura de seguridad.
5. Convierta los riesgos en iniciativas financiadas. Por último, pero no
menos importante, debe aprovechar su modelo de gobernabilidad para transformar
las iniciativas de seguridad de la información en esfuerzos financiados. Al
colaborar con la alta dirección para determinar su misión, prioridades e
iniciativas, sus proyectos inherentemente se convertirán en objetivos
patrocinados y apoyados en todos los ámbitos. También es imprescindible mantener
a los directivos al tanto de los riesgos, las noticias y la información. Su
junta directiva querrá ver sus iniciativas y lo que usted tiene para ofrecer;
ellos no están interesados en saber cómo usted mantiene su status quo.
La adhesión a estas iniciativas puede ayudar a construir una base sólida
para la estrategia de seguridad de la organización. Se trata entonces de definir
los riesgos, establecer la seguridad y luego buscar el equilibrio entre los dos.
No pierda la oportunidad de capacitarse. Cada amenaza y brecha que conocemos es
una oportunidad para que usted capture la amenaza, comunique el riesgo y
construya una estrategia. De esta forma, está plantando una semilla para
esfuerzos posteriores, para luego comunicar lo que está haciendo al respecto y
vender sus ideas. Siempre que usted mantenga una actitud proactiva, estará en
una mejor posición para frustrar ataques avanzados y proteger los datos de su
empresa.
Max Grossling, Gerente Senior de Programas Técnicos, Websense
No hay comentarios:
Publicar un comentario