Cómo dotar a la seguridad de valor añadido
Conseguir alinear seguridad y procesos de negocio en las organizaciones de modo que la primera proporcione valor añadido a los segundos es el principal reto de los responsables de seguridad y directores de sistemas. Ésta y otras inquietudes se abordaron en el II Foro de Seguridad Avanzada, organizado por ComputerWorld y Ernst & Young.
Conocer las principales preocupaciones de los responsables de seguridad de diferentes organizaciones del País Vasco y facilitar que éstos compartieran entre sí sus inquietudes y experiencias ante las necesidades que van surgiendo en sus organizaciones, derivadas de las nuevas amenazas que aparecen en el mercado y a los nuevos requerimientos legales fueron los objetivos del II Foro de Seguridad Avanzada, organizado por ComputerWorld y Ernst & Young. Allí se dieron a conocer los aspectos que dichos responsables deben abordar para alinear la seguridad de sus sistemas de información con los procesos de negocio de sus organizaciones.
Rafael Ortega, socio de la zona norte del departamento Technology and Security Risk Services (TSRS) de Ernst & Young, y encargado de abrir la jornada, resaltó la importancia del mencionado alineamiento, basándose en los resultados obtenidos en la encuesta de seguridad global realizada por su compañía el pasado año 2007, en la que una de sus conclusiones indica que conseguir los objetivos de negocio debe ser un fin compartido con el área de la seguridad de la información. En este sentido, Ortega aseveró que unos aspectos que han hecho que la seguridad de la información comience a tener un espacio importante dentro de los procesos de negocio en las organizaciones son la privacidad y la protección de datos, pues éstas son consideradas las principales áreas de debilidad de la organización, debido a la necesidad de cumplir con diferentes requerimientos legales.
Madurez
Tras repasar las principales tendencias de seguridad se evaluó la madurez de la función de seguridad en las organizaciones. Para ello se planetó a los responsables de seguridad las siguientes preguntas: ¿es importante la seguridad en mi organización?, ¿cuál es el cometido de la seguridad en el día a día?, ¿si reporto más alto es mejor?, ¿qué me depara el futuro? Con el fin de responder a las mismas, se repasó la evolución de la función de seguridad desde antes de los años noventa, cuando ésta estaba enfocada únicamente a la administración de usuarios y contraseñas bajo entornos de sistemas muy centralizados y protegidos físicamente en una misma ubicación dentro de las organizaciones y donde la pregunta acerca de la necesidad de una política de seguridad empezaba a surgir entre los responsables de sistemas, hasta la actualidad, donde la función de seguridad se encuentra inmersa en la gestión de la política de seguridad, el cumplimiento normativo, la gestión de incidentes, etc., con una organización y unos sistemas distribuidos, donde los negocios se encuentran muy dispersos y tienen una alta dependencia de los sistemas de información. Es tal la transformación que ha tenido la función de seguridad en los últimos años que sus principales ámbitos de actuación y retos la búsqueda de la calidad y eficiencia en los procesos.
Asimismo, Ortega presentó el modelo de seguridad en el que enmarca el proceso seguridad como un servicio dentro de la organización, donde se integran los controles y la arquitectura que va a dar soporte a dicha función de seguridad.
Máxima protección
Tras realizar un recorrido por la integración de la seguridad en los procesos de negocio, se analizó uno de los temas que actualmente más preocupa a las organizaciones: la protección de la información como principal activo de éstas. Rubén Llana, gerente de la zona norte del departamento de Technology and Security Risk Services (TSRS) de Ernst & Young, analizó la importancia de clasificar y asegurar la información de las organizaciones con el fin de poder proteger la misma, según su nivel de criticidad.
Según Llana, las organizaciones, bien sean Administraciones Públicas, empresas de telecomunicaciones, entidades bancarias, empresas de entornos industriales…, tienen un activo común: la información. Ésta hace que los procesos de negocio de la organización funcionen. “Una vez se tiene clara la importancia de la información, clasificar la misma por niveles de riesgo, identificar los caminos de uso e interrelación y la aplicación de tecnologías del tipo DLP e IRM, se elevará su nivel de seguridad”, añadió. Del mismo modo, Alberto Olivares, gerente de la zona norte del departamento de Technology and Security Risk Services (TSRS), realizó un repaso de las tecnologías que permiten trazar todas las actividades de usuario en todas las capas de un sistema de información: red, base de datos y aplicación. Quedó latente que las tecnologías que permiten obtener las trazas de la actividad van más allá de las herramientas SIEM y viene siendo necesario utilizar tecnologías basadas en la captura de registros de actividad del usuarios en las aplicaciones y bases de datos que complementen y aporten valor a las trazas de red que por sí solas proporcionan poca información relativa al negocio.
Firma electrónica
Finalmente, Rafael Ortega abordó la temática de la firma digital y la facturación electrónica, así como las implicaciones que tienen éstas en la sociedad actual. Según los asistentes al foro, en sus organizaciones estos temas están despertando mucho interés en los responsables de los procesos, ya que un incumplimiento con la normativa vigente podría acarrearles problemas en el futuro. Los requisitos que se establecen con la Ley de Firma Electrónica e incluso con la Ley de Impulso de la Sociedad de la Información son los detonantes que están haciendo que los procesos de negocio de la organización empiecen evolucionar hacia el mundo electrónico, eliminando esa barrera conceptual que supone la supresión del papel y las implicaciones que ello conlleva.
En próximos foros se abordará la temática de la seguridad como un proceso compuesto por varios servicios; se debatirá cómo la trazabilidad de las transacciones y sobre datos sensibles empieza a ser un requisito imprescindible en las organizaciones por requerimientos legales o necesidades de negocio; y cómo la firma electrónica puede ser una palanca para conseguir eficiencia y confianza en transacciones de negocio.
Participantes
-------------------
ACB Roberto García
Ayuntamiento de Irún Eusebio Hernández
Babacock Wilcox Mariano Pérez
Babcock Borsig Carlos García
Caja Vital José María Canales
Consorcio de Aguas de Bilbao José Luis Unzueta
Consorcio de Aguas de Bilbao Julián del Blanco
DGT Adolfo Peñaranda
EITB Mikel Onaindía
EJIE Asier Ares Ikaran
Eroski José Luis Oscoz
FCC Gianluca D´Antonio
Iberdrola Rafaela Obieta
Iberdrola Iratxe Campo
Informática Euskadi Izaskun Onandía
Lagun Aro Pedro Aresti Seguros
Quality Trucks Daniel Díez
Ernst & Young Rafael Ortega
Ernst & Young Alberto Olivares
Ernst & Young Rubén Llana
Conocer las principales preocupaciones de los responsables de seguridad de diferentes organizaciones del País Vasco y facilitar que éstos compartieran entre sí sus inquietudes y experiencias ante las necesidades que van surgiendo en sus organizaciones, derivadas de las nuevas amenazas que aparecen en el mercado y a los nuevos requerimientos legales fueron los objetivos del II Foro de Seguridad Avanzada, organizado por ComputerWorld y Ernst & Young. Allí se dieron a conocer los aspectos que dichos responsables deben abordar para alinear la seguridad de sus sistemas de información con los procesos de negocio de sus organizaciones.
Rafael Ortega, socio de la zona norte del departamento Technology and Security Risk Services (TSRS) de Ernst & Young, y encargado de abrir la jornada, resaltó la importancia del mencionado alineamiento, basándose en los resultados obtenidos en la encuesta de seguridad global realizada por su compañía el pasado año 2007, en la que una de sus conclusiones indica que conseguir los objetivos de negocio debe ser un fin compartido con el área de la seguridad de la información. En este sentido, Ortega aseveró que unos aspectos que han hecho que la seguridad de la información comience a tener un espacio importante dentro de los procesos de negocio en las organizaciones son la privacidad y la protección de datos, pues éstas son consideradas las principales áreas de debilidad de la organización, debido a la necesidad de cumplir con diferentes requerimientos legales.
Madurez
Tras repasar las principales tendencias de seguridad se evaluó la madurez de la función de seguridad en las organizaciones. Para ello se planetó a los responsables de seguridad las siguientes preguntas: ¿es importante la seguridad en mi organización?, ¿cuál es el cometido de la seguridad en el día a día?, ¿si reporto más alto es mejor?, ¿qué me depara el futuro? Con el fin de responder a las mismas, se repasó la evolución de la función de seguridad desde antes de los años noventa, cuando ésta estaba enfocada únicamente a la administración de usuarios y contraseñas bajo entornos de sistemas muy centralizados y protegidos físicamente en una misma ubicación dentro de las organizaciones y donde la pregunta acerca de la necesidad de una política de seguridad empezaba a surgir entre los responsables de sistemas, hasta la actualidad, donde la función de seguridad se encuentra inmersa en la gestión de la política de seguridad, el cumplimiento normativo, la gestión de incidentes, etc., con una organización y unos sistemas distribuidos, donde los negocios se encuentran muy dispersos y tienen una alta dependencia de los sistemas de información. Es tal la transformación que ha tenido la función de seguridad en los últimos años que sus principales ámbitos de actuación y retos la búsqueda de la calidad y eficiencia en los procesos.
Asimismo, Ortega presentó el modelo de seguridad en el que enmarca el proceso seguridad como un servicio dentro de la organización, donde se integran los controles y la arquitectura que va a dar soporte a dicha función de seguridad.
Máxima protección
Tras realizar un recorrido por la integración de la seguridad en los procesos de negocio, se analizó uno de los temas que actualmente más preocupa a las organizaciones: la protección de la información como principal activo de éstas. Rubén Llana, gerente de la zona norte del departamento de Technology and Security Risk Services (TSRS) de Ernst & Young, analizó la importancia de clasificar y asegurar la información de las organizaciones con el fin de poder proteger la misma, según su nivel de criticidad.
Según Llana, las organizaciones, bien sean Administraciones Públicas, empresas de telecomunicaciones, entidades bancarias, empresas de entornos industriales…, tienen un activo común: la información. Ésta hace que los procesos de negocio de la organización funcionen. “Una vez se tiene clara la importancia de la información, clasificar la misma por niveles de riesgo, identificar los caminos de uso e interrelación y la aplicación de tecnologías del tipo DLP e IRM, se elevará su nivel de seguridad”, añadió. Del mismo modo, Alberto Olivares, gerente de la zona norte del departamento de Technology and Security Risk Services (TSRS), realizó un repaso de las tecnologías que permiten trazar todas las actividades de usuario en todas las capas de un sistema de información: red, base de datos y aplicación. Quedó latente que las tecnologías que permiten obtener las trazas de la actividad van más allá de las herramientas SIEM y viene siendo necesario utilizar tecnologías basadas en la captura de registros de actividad del usuarios en las aplicaciones y bases de datos que complementen y aporten valor a las trazas de red que por sí solas proporcionan poca información relativa al negocio.
Firma electrónica
Finalmente, Rafael Ortega abordó la temática de la firma digital y la facturación electrónica, así como las implicaciones que tienen éstas en la sociedad actual. Según los asistentes al foro, en sus organizaciones estos temas están despertando mucho interés en los responsables de los procesos, ya que un incumplimiento con la normativa vigente podría acarrearles problemas en el futuro. Los requisitos que se establecen con la Ley de Firma Electrónica e incluso con la Ley de Impulso de la Sociedad de la Información son los detonantes que están haciendo que los procesos de negocio de la organización empiecen evolucionar hacia el mundo electrónico, eliminando esa barrera conceptual que supone la supresión del papel y las implicaciones que ello conlleva.
En próximos foros se abordará la temática de la seguridad como un proceso compuesto por varios servicios; se debatirá cómo la trazabilidad de las transacciones y sobre datos sensibles empieza a ser un requisito imprescindible en las organizaciones por requerimientos legales o necesidades de negocio; y cómo la firma electrónica puede ser una palanca para conseguir eficiencia y confianza en transacciones de negocio.
Participantes
-------------------
ACB Roberto García
Ayuntamiento de Irún Eusebio Hernández
Babacock Wilcox Mariano Pérez
Babcock Borsig Carlos García
Caja Vital José María Canales
Consorcio de Aguas de Bilbao José Luis Unzueta
Consorcio de Aguas de Bilbao Julián del Blanco
DGT Adolfo Peñaranda
EITB Mikel Onaindía
EJIE Asier Ares Ikaran
Eroski José Luis Oscoz
FCC Gianluca D´Antonio
Iberdrola Rafaela Obieta
Iberdrola Iratxe Campo
Informática Euskadi Izaskun Onandía
Lagun Aro Pedro Aresti Seguros
Quality Trucks Daniel Díez
Ernst & Young Rafael Ortega
Ernst & Young Alberto Olivares
Ernst & Young Rubén Llana
