Gestionar la seguridad corporativa con criterios de negocio como base
Conseguir que la seguridad de los sistemas de información se integre dentro de los procesos de negocio con independencia del sector en el que se encuentren es el principal objetivo de los responsables de seguridad de TI. Ésta y otras inquietudes se trataron en el “I Encuentro de Seguridad en las Tecnologías de la Información de la Zona Norte”, organizado por Ernst & Young y Computerworld.
Durante la celebración del encuentro, celebrado en Bilbao, se contó con la presencia de los responsables de seguridad y responsables de TI de las principales empresas y entidades públicas del norte de España, especialmente del País Vasco y Navarra, lo cual puso de manifiesto que la seguridad de los sistemas de información y, más en concreto, la alineación de la misma con los procesos de negocio es un punto de especial relevancia en sus organizaciones.
El encuentro sirvió a los asistentes para conocer de mano de Ernst & Young cuáles son las principales preocupaciones que están en la mesa de cada uno de ellos y conocer variedad de soluciones metodológicas para lograr el éxito.
Implicaciones de la seguridad
Durante el transcurso de este evento se expusieron diferentes puntos de vista en los que se trabaja en la actualidad en el mundo de la seguridad: el punto de vista técnico y el punto de vista procedimental; sin embargo, el que fue más importante fue el pragmatismo con el que se han de afrontar los problemas del día a día y cuál es la solución a afrontar. Para ello los ponentes hicieron sus exposiciones con un alto grado de realidad aportando casos prácticos acerca de cómo se han de adaptar las metodologías, ya que no es lo mismo un entorno puramente financiero, un entorno industrial o una Administración Pública. Es por ello que los asistentes mostraron su interés en conocer los avances de sus homólogos, ya que todos y cada uno de ellos están inmersos en la solución de problemas similares.
Entre todos los temas tratados en este foro, los que más expectación despertaron entre los asistentes fueron los que versaban sobre el plan director de seguridad y su alineamiento con ITIL y BS 27001, la continuidad de negocio y el estándar 25999 y gestión de identidades, roles y aprovisionamiento dentro del área procedimental. Eso sí, los aspectos técnicos de seguridad no se quedaron a la zaga, destacando las demostraciones on-line que se hicieron de ataques reales sobre diferentes entornos y dispositivos.
Respecto al área procedimental, ésta es de mucha importancia en la resolución de problemas que se vienen dando en los últimos tiempos; las compañías empiezan a tener problemas con la gestión de las cuentas de usuarios y sus roles, necesitan conocer cómo se encuentran en materia de seguridad para conocer cómo han de organizar todas las inversiones y ser lo más efectivos y eficientes posible y han de saber cuáles son los pasos que han de dar para conseguir las diferentes certificaciones con el fin de conseguir la confianza tanto de los clientes como de los proveedores. Es por ello que mantener una organización estructurada y organizada es fundamental.
Por otro lado, respecto a los aspectos técnicos, la seguridad de los dispositivos móviles, la implantación de medidas técnicas en el desarrollo de aplicaciones y la seguridad física pusieron en el foro ese toque de nerviosismo entre los asistentes, dado que siempre surge la duda acerca de si los niveles de seguridad son los correctos y si estamos libres de ser atacados.
Pero no todo quedó ahí, la necesidad de la gestión de incidentes y la trazabilidad de los mismos hizo que los asistentes se preguntaran: ¿qué consideramos un incidente?, ¿qué es la trazabilidad?, ¿cuál es el alcance? Todo ello depende del negocio, de las necesidades y la aplicabilidad que se quiera ofrecer: la metodología es común, simplemente hay que aplicarla y explotarla en cada caso.
Tendencias sectoriales
Las preocupaciones de los asistentes al foro en materia de seguridad fueron coincidentes, en líneas generales, a las áreas clave propuestas a debate (procesos y tecnología) que son comunes a cualquier tipo de negocio y sector.
En relación a estas áreas se pudo palpar una preocupación común respecto a la seguridad sobre la falta de concienciación interna y externa (de los clientes), la gestión del riesgo y su alineación con los procesos de negocio y los nuevos problemas de seguridad que nacen de los nuevos dispositivos y canales de comunicación.
Ahondando en los aspectos tratados, por sectores, hay que destacar que, para los responsables de seguridad, los principales retos que necesitan ser abordados son muy similares entre sí, con diferencias típicas en los problemas asociados a cada tipo de negocio.
De esta forma, en el sector financiero, los puntos clave son la suplantación de identidades asociadas al cibercrimen, ya que se trata de uno de los principales orígenes del nuevo fraude que se está ocasionando. Por otro lado, sigue siendo importante mantener y mejorar las soluciones de continuidad del negocio y una correcta gestión del riesgo del mismo. Para lograr estos objetivos es importante, como base, disponer de una adecuada gestión de identidades que también permita seguir manteniendo unos altos niveles en relación con el cumplimiento regulatorio que se les exige (normativas como Basilea II, la Ley Orgánica de Protección de Datos o LOPD, etc.).
En el foro surgió también que un gran retos para el sector industrial es este cumplimiento regulatorio (LOPD, Sarbanes-Oxley, etc.). En este sentido, los responsables de TI de estas empresas abogan por implementar o mejorar soluciones de gestión de identidades.
Para el sector público, las problemáticas son coincidentes, aunque en el evento se puso de manifiesto la relevancia de realizar una mayor inversión en concienciación y formación, ya que existen inicialmente mayores reticencias de los usuarios finales para cambiar ciertos hábitos relativos a la seguridad.
Otros temas tratados en el encuentro, que muchas veces quedan soslayados pero que cada vez tienen mayor protagonismo en toda organización, fueron la realización de formas adecuadas y funcionales de clasificación de la información que permitan optimizar las medidas de seguridad ante nuevos problemas de fuga de información, el desarrollo de métricas prácticas para poder medir adecuadamente el nivel de seguridad de una organización así como formalizar el retorno de la inversión de las medidas adoptadas y, por último, el peligro de tener una dependencia excesiva de proveedores o terceros en procesos rutinarios como la gestión de usuarios, perfiles y accesos mediante una gestión integrada de los usuarios.
en busca de soluciones comunes
Uno de los principales objetivos de este foro era conocer las principales preocupaciones de los responsables de seguridad de diferentes sectores de empresas de la zona norte y así crear un espíritu de colaboración y de debate entre los participantes e identificar las principales preocupaciones en las que seguir debatiendo y profundizando en el futuro. El principal fin, por tanto, era poner de manifiesto las problemáticas que rodean el trabajo de todos y cada uno de los asistentes al foro, para así poder buscar soluciones comunes que ayuden en el día a día a la labor de todos. En este sentido, y dado que se quedaron temas por abordar en esta ocasión, en futuros
Durante la celebración del encuentro, celebrado en Bilbao, se contó con la presencia de los responsables de seguridad y responsables de TI de las principales empresas y entidades públicas del norte de España, especialmente del País Vasco y Navarra, lo cual puso de manifiesto que la seguridad de los sistemas de información y, más en concreto, la alineación de la misma con los procesos de negocio es un punto de especial relevancia en sus organizaciones.
El encuentro sirvió a los asistentes para conocer de mano de Ernst & Young cuáles son las principales preocupaciones que están en la mesa de cada uno de ellos y conocer variedad de soluciones metodológicas para lograr el éxito.
Implicaciones de la seguridad
Durante el transcurso de este evento se expusieron diferentes puntos de vista en los que se trabaja en la actualidad en el mundo de la seguridad: el punto de vista técnico y el punto de vista procedimental; sin embargo, el que fue más importante fue el pragmatismo con el que se han de afrontar los problemas del día a día y cuál es la solución a afrontar. Para ello los ponentes hicieron sus exposiciones con un alto grado de realidad aportando casos prácticos acerca de cómo se han de adaptar las metodologías, ya que no es lo mismo un entorno puramente financiero, un entorno industrial o una Administración Pública. Es por ello que los asistentes mostraron su interés en conocer los avances de sus homólogos, ya que todos y cada uno de ellos están inmersos en la solución de problemas similares.
Entre todos los temas tratados en este foro, los que más expectación despertaron entre los asistentes fueron los que versaban sobre el plan director de seguridad y su alineamiento con ITIL y BS 27001, la continuidad de negocio y el estándar 25999 y gestión de identidades, roles y aprovisionamiento dentro del área procedimental. Eso sí, los aspectos técnicos de seguridad no se quedaron a la zaga, destacando las demostraciones on-line que se hicieron de ataques reales sobre diferentes entornos y dispositivos.
Respecto al área procedimental, ésta es de mucha importancia en la resolución de problemas que se vienen dando en los últimos tiempos; las compañías empiezan a tener problemas con la gestión de las cuentas de usuarios y sus roles, necesitan conocer cómo se encuentran en materia de seguridad para conocer cómo han de organizar todas las inversiones y ser lo más efectivos y eficientes posible y han de saber cuáles son los pasos que han de dar para conseguir las diferentes certificaciones con el fin de conseguir la confianza tanto de los clientes como de los proveedores. Es por ello que mantener una organización estructurada y organizada es fundamental.
Por otro lado, respecto a los aspectos técnicos, la seguridad de los dispositivos móviles, la implantación de medidas técnicas en el desarrollo de aplicaciones y la seguridad física pusieron en el foro ese toque de nerviosismo entre los asistentes, dado que siempre surge la duda acerca de si los niveles de seguridad son los correctos y si estamos libres de ser atacados.
Pero no todo quedó ahí, la necesidad de la gestión de incidentes y la trazabilidad de los mismos hizo que los asistentes se preguntaran: ¿qué consideramos un incidente?, ¿qué es la trazabilidad?, ¿cuál es el alcance? Todo ello depende del negocio, de las necesidades y la aplicabilidad que se quiera ofrecer: la metodología es común, simplemente hay que aplicarla y explotarla en cada caso.
Tendencias sectoriales
Las preocupaciones de los asistentes al foro en materia de seguridad fueron coincidentes, en líneas generales, a las áreas clave propuestas a debate (procesos y tecnología) que son comunes a cualquier tipo de negocio y sector.
En relación a estas áreas se pudo palpar una preocupación común respecto a la seguridad sobre la falta de concienciación interna y externa (de los clientes), la gestión del riesgo y su alineación con los procesos de negocio y los nuevos problemas de seguridad que nacen de los nuevos dispositivos y canales de comunicación.
Ahondando en los aspectos tratados, por sectores, hay que destacar que, para los responsables de seguridad, los principales retos que necesitan ser abordados son muy similares entre sí, con diferencias típicas en los problemas asociados a cada tipo de negocio.
De esta forma, en el sector financiero, los puntos clave son la suplantación de identidades asociadas al cibercrimen, ya que se trata de uno de los principales orígenes del nuevo fraude que se está ocasionando. Por otro lado, sigue siendo importante mantener y mejorar las soluciones de continuidad del negocio y una correcta gestión del riesgo del mismo. Para lograr estos objetivos es importante, como base, disponer de una adecuada gestión de identidades que también permita seguir manteniendo unos altos niveles en relación con el cumplimiento regulatorio que se les exige (normativas como Basilea II, la Ley Orgánica de Protección de Datos o LOPD, etc.).
En el foro surgió también que un gran retos para el sector industrial es este cumplimiento regulatorio (LOPD, Sarbanes-Oxley, etc.). En este sentido, los responsables de TI de estas empresas abogan por implementar o mejorar soluciones de gestión de identidades.
Para el sector público, las problemáticas son coincidentes, aunque en el evento se puso de manifiesto la relevancia de realizar una mayor inversión en concienciación y formación, ya que existen inicialmente mayores reticencias de los usuarios finales para cambiar ciertos hábitos relativos a la seguridad.
Otros temas tratados en el encuentro, que muchas veces quedan soslayados pero que cada vez tienen mayor protagonismo en toda organización, fueron la realización de formas adecuadas y funcionales de clasificación de la información que permitan optimizar las medidas de seguridad ante nuevos problemas de fuga de información, el desarrollo de métricas prácticas para poder medir adecuadamente el nivel de seguridad de una organización así como formalizar el retorno de la inversión de las medidas adoptadas y, por último, el peligro de tener una dependencia excesiva de proveedores o terceros en procesos rutinarios como la gestión de usuarios, perfiles y accesos mediante una gestión integrada de los usuarios.
en busca de soluciones comunes
Uno de los principales objetivos de este foro era conocer las principales preocupaciones de los responsables de seguridad de diferentes sectores de empresas de la zona norte y así crear un espíritu de colaboración y de debate entre los participantes e identificar las principales preocupaciones en las que seguir debatiendo y profundizando en el futuro. El principal fin, por tanto, era poner de manifiesto las problemáticas que rodean el trabajo de todos y cada uno de los asistentes al foro, para así poder buscar soluciones comunes que ayuden en el día a día a la labor de todos. En este sentido, y dado que se quedaron temas por abordar en esta ocasión, en futuros
