Actualidad
Seguridad
Tecnología

¿Cómo superar los procesos de seguridad obsoletos?

RSA hace cinco recomendaciones para actualizar los equipos de seguridad de las empresas tras la presentación del informe 'Security for Business Innovation Council'.

ciberseguridad-danger

RSA ha presentado un nuevo informe elaborado por el Consejo de Seguridad para la Innovación Empresarial. En él se muestra a las organizaciones que para conseguir que sus negocios sean más competitivos han de cambiar los obsoletos e inflexibles procesos que gestionan el uso y la protección de los activos de la información. En Transformando la Seguridad de la Información: Procesos a prueba de futuro se destaca como las divisiones de negocio dentro de las organizaciones están adquiriendo un papel más importante dentro de la gestión del riesgo de la información. Sin embargo, los procesos de seguridad obsoletos obstaculizan la innovación y hacen que cada vez resulte más complicada la lucha contra los nuevos riesgos de ciberseguridad.
“Para que las empresas puedan innovar con éxito en el actual entorno digital, los equipos de seguridad deben mostrarse más proactivos en la gestión del riesgo cibernético, alejándose de los viejos, reactivos y rígidos enfoques ​​perimetrales, para centrarse en la colaboración proactiva con el Negocio. Los procesos actuales, como los que describe el Consejo, permitirán a las organizaciones obtener mayor visibilidad a la hora de identificar el riesgo, que puede ser aprovechada en beneficio de la empresa”, ha declarado Art Coviello, Executive Vice President en EMC y Executive Chairman en RSA, la División de Seguridad de EMC
El documento defiende que las áreas propicias para optimizar los procesos son las de medición de riesgos, participación de los departamentos del negocio, evaluaciones de control, evaluación de riesgos de terceros y detección de amenazas. Además, el Consejo de Seguridad hace cinco recomendaciones sobre cómo poner en marcha programas de seguridad de la información para ayudar a los departamentos de Negocio:
En primer lugar, hay que establecer evaluaciones de riesgos centradas en el negocio. Habrá que utilizar herramientas automatizadas para el seguimiento de los riesgos de la información de manera que las divisiones de negocio puedan tomar un papel activo en la identificación de los peligros y en la mitigación de los riesgos, asumiendo, de esta forma, una mayor responsabilidad en lo que a la seguridad respecta.
Además, habrá que dejar de ser “técnico” para enfocarse en procesos críticos del negocio. Hay que dejar atrás el punto de vista estrictamente técnico a la hora de proteger los activos de información y considerar cómo se está utilizando la información en el desarrollo del negocio. Es necesario trabajar con las distintas divisiones para documentar los procesos críticos del negocio.
Por otro lado, se tiene que establecer un mecanismo para garantizar los controles basados en evidencias. Desarrollar y documentar capacidades para recopilar datos que prueben la eficacia de los controles de forma continua.
También tienen que desarrollar técnicas de recogida de datos. Esto significa que habrá que establecer mecanismos de arquitectura de datos que puedan mejorar la visibilidad y el proceso analítico. Considerar las preguntas de análisis de datos a las que se puede dar respuesta a fin de identificar las fuentes pertinentes de datos.
Por último, tienen que establecerse estimaciones de negocio sobre los riesgos de ciberseguridad. Desarrollar técnicas para poder describir los riesgos de ciberseguridad en términos de negocio e integrarlas dentro del proceso de asesoramiento de riesgos.

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 ACTUALIDAD

ny2 Sociedad de la información

Día de la Movilidad y el BYOD Coffee Break