La estrategia en seguridad, el gran reto de las organizaciones ante los nuevos requerimientos del negocio. I Foro de seguridad avanzada
Beatriz Sánchez.
26 MAY 2006
Los directores de TI de las empresas se enfrentan a un nuevo reto, ser capaces de compatibilizar la integración en sus organizaciones de las medidas de seguridad que determinan sus políticas con los nuevos requerimientos de negocio, las nuevas normativas y las tecnologías emergentes. Para discutir sobre todos estos aspectos se celebró el Foro sobre Seguridad Avanzada organizado por ComputerWorld y Ernst & Young. <br><br>La introducción al Foro corrió a cargo de Javier Santos, senior manager de technology and security risk services de Ernst & Young, que analizó la estrategia de seguridad que es necesario establecer frente a los requisitos del negocio. El primer punto importante es, en su opinión, que las organizaciones deben estar preparadas para responder a los cambiantes requerimientos de su entorno de manera eficiente y efectiva, sin embargo, como apuntó Javier Santos, “las infraestructuras de seguridad pueden ser un inhibidor de estos cambios. A pesar de ello, la evolución de las nuevas tecnologías permite dar respuestas cada vez más ágiles a los requerimientos de negocio y por supuesto, la evolución de las tecnologías de seguridad son parte fundamental en este proceso”(ver gráfico 1).<br><br>Los componentes de una seguridad adaptativa<br>Uno de los aspectos más importantes a la hora de implantar políticas de seguridad es, en opinión de Javier Santos “definir los componentes de una seguridad adaptativa”. El principal reto es definir estos componentes, autenticación, cifrado, autorización, etc., como servicios externos a las aplicaciones o sistemas, de manera que los nuevos requerimientos de negocio, productos, servicios o canales, puedan ser rápidamente adaptados a nivel tecnológico sin que el mantenimiento de los niveles de seguridad definidos por la organización sean un obstáculo en esta adaptación.<br>Otro elemento básico es la puesta en funcionamiento de servidores de políticas de seguridad con administración delegada. “La rapidez con la que se introducen en las aplicaciones los cambios en las políticas de seguridad y el control de las desviaciones en su grado de aplicación es un factor diferencial entre las organizaciones”, asegura Javier Santos. A estos elementos se unen la gestión corporativa de perfiles, la identidad federada y el soporte a las aplicaciones legacy.<br><br>Factores clave<br>Para Ernst & Young, existen una serie de factores clave para conseguir una gestión eficiente de la seguridad. En primer lugar, la infraestructura de seguridad, que como el resto de las TIC debe ser ágil. Las políticas de seguridad deberán ser una funcionalidad más de las nuevas aplicaciones y además, tanto las plataformas de negocio como las de aplicaciones, evolucionan integrando servicios de seguridad, incluyendo autenticación, gestión de identidades y gestión de perfiles corporativos.<br><br>Principales retos<br>El principal objetivo de este foro fue conocer las mayores preocupaciones de los asistentes, que mostraron numerosas coincidencias, y algunas divergencias en sus opiniones sobre los aspectos analizados. Uno de los aspectos en el que no hubo consenso fue en el grado de involucración de los directores de TI en la estrategia del negocio. Algunos indicaron que están cada vez más involucrados en los comités de dirección de sus organizaciones, lo que les permite conocer de primera mano las necesidades de su empresa y tomar decisiones sobre aspectos relacionados con la seguridad. De esta forma, es posible que puedan responder de manera rápida a los requerimientos del negocio y planificar mejor los nuevos desarrollos, así como prever las actuaciones necesarias para la puesta en marcha de nuevos canales o recoger requerimientos de la normativa aplicable. Por otro lado, algunos de los asistentes indicaron que en sus organizaciones no existe este grado de integración en los comités de dirección, lo que supone que los proyectos planteados desde negocio no involucran suficientemente la visión de la tecnología, lo que termina impactando en el desarrollo del proyecto y a la postre, es el resto de la organización. Donde sí que hubo acuerdo entre los asistentes, es que esta interacción sigue siendo, independientemente del tipo de organización, en los proyectos relacionados con la definición e implantación del marco regulatorio.<br>La segunda de las cuestiones planteadas fue si sus organizaciones están preparadas para responder con rapidez a los requerimientos del negocio. Para casi todos los presentes y aunque cada organización tienen sus propias características y funcionamiento interno, en general sí están preparadas para responder a estos retos, aunque el grado de agilidad es diferente dependiendo de cada una de las empresas. <br>En cuanto a si la seguridad supone un freno en el desarrollo de nuevos productos o servicios, todos se mostraron de acuerdo en que existe la voluntad de que no lo sea, aunque depende mucho de los procesos de diseño y de los ciclos de desarrollo. Hay organizaciones donde todavía no se considera la seguridad como un elemento estratégico en la fase previa a la implantación y durante el propio ciclo de desarrollo (ver gráfico 2).<br>Sin embargo, algunos de los directores de TI presentes en el foro señalaron la diferencia que existe entre los antiguos productos y los nuevos, ya que en estos últimos los requerimientos de seguridad ya se consideran de forma estandarizada y eficiente. Para la mayoría el drector de TI ha cambiado su papel, convirtiéndose en un gestor de proyectos vinculado muy directamente al área de negocio.<br><br>Nuevos proyectos, nuevas tecnologías<br>Un aspecto importante que se analizó entre todos los participantes fue si las organizaciones están abordando proyectos relacionados con las llamadas “tecnologías emergentes”(ver gráfico 3).<br>En su conjunto la mayor parte de los asistentes señalaron que sus organizaciones están, en mayor o menor medida, adoptando alguna de las más innovadoras tecnologías, aunque el principal problema con el que se encuentran es mantener una gestión de identidades homogénea entre las plataformas y aplicaciones de la organización, el establecimiento de perfiles y su integración con los sistemas heredados.<br>Además, en cuanto a los componentes clave para abordar una gestión eficiente de la seguridad, la mayor parte de los asistentes 12 que los servicios de seguridad gestionada representan una solución interesante al sustituir actividades de poco valor añadido para la organización, por lo que apuestan por su externalización. Sin embargo, sí consideran importante la gestión interna de identidades, así como valoran positivamente los nuevos sistemas de seguridad basados en hardware, appliances. <br>Además, los asistentes señalaron la importancia de que las compañías sean capaces de emprender desde el departamento de TI, planes globales y corporativos de seguridad. La clave es realizar
Viñeta publicada el 20 de febrero de 1870 en La Flaca nº 35 En septiembre de 1868, la conocida como Revolución de la Gloriosa, que no era otra cosa que un pronunciamiento más de demócratas y progresistas, ex...
El nuevo cargo posee experiencia ligada al mundo de la Gestión de la Calidad en empresas como Airtel-Vodafone (Director de Gestión de Calidad Corporativa), Bankinter (Director de Gestión de Calidad) o Enresa. .世界 o .&...
El nuevo cargo posee experiencia ligada al mundo de la Gestión de la Calidad en empresas como Airtel-Vodafone (Director de Gestión de Calidad Corporativa), Bankinter (Director de Gestión de Calidad) o Enresa. .世界 o .&...
La virtualización de servidores permite ahorrar espacio, costes, electricidad y soporte gracias a la consolidación de varios servidores virtuales en una única máquina física; una capacidad que facilita la gestión e incrementa el uso de los recursos de hardware.