La estrategia en seguridad, el gran reto de las organizaciones ante los nuevos requerimientos del negocio. I Foro de seguridad avanzada

Los directores de TI de las empresas se enfrentan a un nuevo reto, ser capaces de compatibilizar la integraci&#243;n en sus organizaciones de las medidas de seguridad que determinan sus pol&#237;ticas con los nuevos requerimientos de negocio, las nuevas normativas y las tecnolog&#237;as emergentes. Para discutir sobre todos estos aspectos se celebr&#243; el Foro sobre Seguridad Avanzada organizado por ComputerWorld y Ernst &amp; Young. <br><br>La introducci&#243;n al Foro corri&#243; a cargo de Javier Santos, senior manager de technology and security risk services de Ernst &amp; Young, que analiz&#243; la estrategia de seguridad que es necesario establecer frente a los requisitos del negocio. El primer punto importante es, en su opini&#243;n, que las organizaciones deben estar preparadas para responder a los cambiantes requerimientos de su entorno de manera eficiente y efectiva, sin embargo, como apunt&#243; Javier Santos, &#8220;las infraestructuras de seguridad pueden ser un inhibidor de estos cambios. A pesar de ello, la evoluci&#243;n de las nuevas tecnolog&#237;as permite dar respuestas cada vez m&#225;s &#225;giles a los requerimientos de negocio y por supuesto, la evoluci&#243;n de las tecnolog&#237;as de seguridad son parte fundamental en este proceso&#8221;(ver gr&#225;fico 1).<br><br>Los componentes de una seguridad adaptativa<br>Uno de los aspectos m&#225;s importantes a la hora de implantar pol&#237;ticas de seguridad es, en opini&#243;n de Javier Santos &#8220;definir los componentes de una seguridad adaptativa&#8221;. El principal reto es definir estos componentes, autenticaci&#243;n, cifrado, autorizaci&#243;n, etc., como servicios externos a las aplicaciones o sistemas, de manera que los nuevos requerimientos de negocio, productos, servicios o canales, puedan ser r&#225;pidamente adaptados a nivel tecnol&#243;gico sin que el mantenimiento de los niveles de seguridad definidos por la organizaci&#243;n sean un obst&#225;culo en esta adaptaci&#243;n.<br>Otro elemento b&#225;sico es la puesta en funcionamiento de servidores de pol&#237;ticas de seguridad con administraci&#243;n delegada. &#8220;La rapidez con la que se introducen en las aplicaciones los cambios en las pol&#237;ticas de seguridad y el control de las desviaciones en su grado de aplicaci&#243;n es un factor diferencial entre las organizaciones&#8221;, asegura Javier Santos. A estos elementos se unen la gesti&#243;n corporativa de perfiles, la identidad federada y el soporte a las aplicaciones legacy.<br><br>Factores clave<br>Para Ernst &amp; Young, existen una serie de factores clave para conseguir una gesti&#243;n eficiente de la seguridad. En primer lugar, la infraestructura de seguridad, que como el resto de las TIC debe ser &#225;gil. Las pol&#237;ticas de seguridad deber&#225;n ser una funcionalidad m&#225;s de las nuevas aplicaciones y adem&#225;s, tanto las plataformas de negocio como las de aplicaciones, evolucionan integrando servicios de seguridad, incluyendo autenticaci&#243;n, gesti&#243;n de identidades y gesti&#243;n de perfiles corporativos.<br><br>Principales retos<br>El principal objetivo de este foro fue conocer las mayores preocupaciones de los asistentes, que mostraron numerosas coincidencias, y algunas divergencias en sus opiniones sobre los aspectos analizados. Uno de los aspectos en el que no hubo consenso fue en el grado de involucraci&#243;n de los directores de TI en la estrategia del negocio. Algunos indicaron que est&#225;n cada vez m&#225;s involucrados en los comit&#233;s de direcci&#243;n de sus organizaciones, lo que les permite conocer de primera mano las necesidades de su empresa y tomar decisiones sobre aspectos relacionados con la seguridad. De esta forma, es posible que puedan responder de manera r&#225;pida a los requerimientos del negocio y planificar mejor los nuevos desarrollos, as&#237; como prever las actuaciones necesarias para la puesta en marcha de nuevos canales o recoger requerimientos de la normativa aplicable. Por otro lado, algunos de los asistentes indicaron que en sus organizaciones no existe este grado de integraci&#243;n en los comit&#233;s de direcci&#243;n, lo que supone que los proyectos planteados desde negocio no involucran suficientemente la visi&#243;n de la tecnolog&#237;a, lo que termina impactando en el desarrollo del proyecto y a la postre, es el resto de la organizaci&#243;n. Donde s&#237; que hubo acuerdo entre los asistentes, es que esta interacci&#243;n sigue siendo, independientemente del tipo de organizaci&#243;n, en los proyectos relacionados con la definici&#243;n e implantaci&#243;n del marco regulatorio.<br>La segunda de las cuestiones planteadas fue si sus organizaciones est&#225;n preparadas para responder con rapidez a los requerimientos del negocio. Para casi todos los presentes y aunque cada organizaci&#243;n tienen sus propias caracter&#237;sticas y funcionamiento interno, en general s&#237; est&#225;n preparadas para responder a estos retos, aunque el grado de agilidad es diferente dependiendo de cada una de las empresas. <br>En cuanto a si la seguridad supone un freno en el desarrollo de nuevos productos o servicios, todos se mostraron de acuerdo en que existe la voluntad de que no lo sea, aunque depende mucho de los procesos de dise&#241;o y de los ciclos de desarrollo. Hay organizaciones donde todav&#237;a no se considera la seguridad como un elemento estrat&#233;gico en la fase previa a la implantaci&#243;n y durante el propio ciclo de desarrollo (ver gr&#225;fico 2).<br>Sin embargo, algunos de los directores de TI presentes en el foro se&#241;alaron la diferencia que existe entre los antiguos productos y los nuevos, ya que en estos &#250;ltimos los requerimientos de seguridad ya se consideran de forma estandarizada y eficiente. Para la mayor&#237;a el drector de TI ha cambiado su papel, convirti&#233;ndose en un gestor de proyectos vinculado muy directamente al &#225;rea de negocio.<br><br>Nuevos proyectos, nuevas tecnolog&#237;as<br>Un aspecto importante que se analiz&#243; entre todos los participantes fue si las organizaciones est&#225;n abordando proyectos relacionados con las llamadas &#8220;tecnolog&#237;as emergentes&#8221;(ver gr&#225;fico 3).<br>En su conjunto la mayor parte de los asistentes se&#241;alaron que sus organizaciones est&#225;n, en mayor o menor medida, adoptando alguna de las m&#225;s innovadoras tecnolog&#237;as, aunque el principal problema con el que se encuentran es mantener una gesti&#243;n de identidades homog&#233;nea entre las plataformas y aplicaciones de la organizaci&#243;n, el establecimiento de perfiles y su integraci&#243;n con los sistemas heredados.<br>Adem&#225;s, en cuanto a los componentes clave para abordar una gesti&#243;n eficiente de la seguridad, la mayor parte de los asistentes 12 que los servicios de seguridad gestionada representan una soluci&#243;n interesante al sustituir actividades de poco valor a&#241;adido para la organizaci&#243;n, por lo que apuestan por su externalizaci&#243;n. Sin embargo, s&#237; consideran importante la gesti&#243;n interna de identidades, as&#237; como valoran positivamente los nuevos sistemas de seguridad basados en hardware, appliances. <br>Adem&#225;s, los asistentes se&#241;alaron la importancia de que las compa&#241;&#237;as sean capaces de emprender desde el departamento de TI, planes globales y corporativos de seguridad. La clave es realizar

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 ACTUALIDAD

ny2 Sociedad de la información

Día de la Movilidad y el BYOD Coffee Break