Responsables de seguridad de empresas elaboran una guía sobre seguridad de vanguardia
La RSA presenta el último estudio del Consejo de Seguridad para la Innovación Empresarial (Security for Business Innovation Council), en el que se destaca que la seguridad de de la información debe ser un objetivo en toda organización.
El nuevo informe publicado por la RSA aboga por un nuevo enfoque a la vanguardia de la seguridad, comenzando con la formación de un equipo profesional de nueva generación en seguridad de la información, capaz de gestionar el ciclo de vida de los riesgos informáticos en las empresas globales.
En los últimos 18 meses se han visto grandes cambios en los requisitos generales para el éxito de los equipos de seguridad de la información en un contexto de un entorno empresarial hiper-conectado, evolucionando el panorama de las amenazas, la adopción de nuevas tecnologías, y el escrutinio normativo. En respuesta a este entorno cambiante, las actividades y las responsabilidades esenciales de los equipos de seguridad de la información empresarial están experimentando una gran transición.
"Para que esta transformación sea exitosa la seguridad debe ser vista como una responsabilidad compartida que requiere alianzas activas para gestionar los riesgos inherentes a las empresas en el panorama de amenazas en constante evolución. Es imperativo que las organizaciones puedan desarrollar un equipo de seguridad con la experiencia adecuada y necesaria para hacer el trabajo” ha dicho Art Coviello, vicepresidente ejecutivo de EMC, y presidente ejecutivo de RSA.
El informe, titulado Trasforming information security: Designing a State of the art Extended Team, considera que los equipos de seguridad de la información deben evolucionar para incluir conjuntos de habilidades que no se ven normalmente en seguridad, tales como la gestión de riesgo empresarial, legislación, marketing, matemáticas, y compras. La seguridad de la información debe abarcar también un modelo de responsabilidad conjunta, donde la responsabilidad de asegurar los activos de información es compartida con los ejecutivos y gerentes de las organizaciones. Estos profesionales empiezan a entender que, en última instancia, son dueños de sus propios riesgos cibernéticos como parte del riesgo empresarial. Muchas de las avanzadas capacidades técnicas y de negocio que son necesarias para que los equipos de seguridad puedan cumplir con sus extensas responsabilidades requerirán nuevas estrategias para incrementar y educar el talento, así como aprovechar los conocimientos especializados de los proveedores de servicios externos.
Para ayudar a las organizaciones a construir un equipo profesional de seguridad en el panorama actual, el SBIC ha elaborado siete recomendaciones que se detallan en el informe:
Por un lado, redefinir y fortalecer las competencias básicas, se trata de enfocar el equipo principal en el aumento de competencias en cuatro áreas clave: la inteligencia de riesgo cibernético y análisis en datos de seguridad, gestión de datos de seguridad, consultoría de riesgos, y controles de diseño y seguridad.
En segundo lugar, delegar operaciones de rutina. Asignar, de forma repetitiva, procesos de seguridad bien definidos a TI, unidades de negocio y/o proveedores de servicios externos.
Además, hay que pedir prestado o alquilar expertos para temas muy específicos, ampliar el equipo central de expertos con especialistas de dentro y fuera de la organización.
Hay que guiar a los propietarios de los riesgos en la gestión de los mismos, gestionar de forma conjunta con la empresa los riesgos en ciberseguridad y coordinar un enfoque consistente. Facilitar el trabajo a la empresa e implicarla.
También se debe contratar especialistas en optimización de procesos , tener en el equipo profesionales con experiencia y certificaciones en gestión de calidad, proyectos o programas, optimización de procesos y prestación de servicios.
Sin olvidarse de construir relaciones claves , y desarrollar confianza e influencia con los participantes clave, como los gestores de áreas clave, mandos intermedios y proveedores de servicios externalizados.
Y por último, hay que pensar de forma diferente para el futuro talento, ante la falta de expertos disponibles en el mercado, el desarrollo del talento es la única verdadera solución a largo plazo para la mayoría de las organizaciones. Perfiles que incluyan desarrollo de software, análisis de negocios, gestión financiera, inteligencia militar, legislación, privacidad de datos, ciencia de datos y análisis estadísticos complejos son muy valiosos.