Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/05/2013
5 iniciativas importantes que pueden implementar los Directores de Seguridad
Los propietarios de las empresas están cada vez más preocupados por la proliferación de tecnologías en la oficina. Innovaciones como BYOD, la nube, el acceso global y las redes sociales tienen a muchos Directores de Seguridad de la Información (CISO, por sus siglas en inglés) dando vueltas a la idea de cómo asegurar eficazmente sus datos y proteger la valiosa propiedad intelectual.
En este cambiante panorama de amenazas, las empresas y gobiernos están constantemente luchando contra la delincuencia cibernética organizada y el hacktivismo. Con programas maliciosos, tales como Flame, Stuxnet y Shamoon en el arsenal de los ciberdelincuentes de hoy, los CISO deben estar un paso adelante del juego y prepararse apropiadamente para los ataques.
Echemos un vistazo a las medidas de seguridad utilizadas en la actualidad y a las iniciativas que pueden implementarse ahora mismo para que usted sea de más utilidad a su compañía y para proteger a su organización contra ataques cibernéticos avanzados. Gracias a mi experiencia y según discusiones con colegas, he determinado que las cinco principales iniciativas de un programa de seguridad exitoso para mantener la seguridad de información en la empresa son:
1. Entienda su negocio.
Puede parecer infantil, pero no queremos ser condescendientes. La seguridad no manda en las empresas, ni siquiera en la industria de la seguridad. Muchas veces las iniciativas que buscan lucro, incluyendo ventas y marketing, tienden a no incluir la seguridad. En un esfuerzo por cambiar esta situación, los CISO deben participar activamente en el desarrollo del ciclo de vida del producto/servicio e integrarlo con la seguridad de una manera estratégica, con el fin de mejorar su monetización. Los riesgos y amenazas que enfrenta su organización son muy reales y pueden causar consecuencias si decide tomar un enfoque más reactivo hacia la seguridad.
2. Comprenda el papel de la seguridad.
En el entorno actual la tecnología nos consume. Normalmente nos olvidamos de las personas y los procesos, que son realmente lo que hace que nuestras empresas sean exitosas. Como líderes, tenemos que vender ideas. La tecnología por sí sola es apenas un vendaje que tiene que ir de la mano con otros elementos. Si desea lograr la seguridad completa de TI, debe integrar procesos y gobernabilidad para asegurar el éxito. Además, es imprescindible la capacitación. Educar hacia arriba, hacia abajo y a través. Todos sus empleados, desde la Junta Directiva, hasta los de servicio al cliente, deben tener una mutua comprensión de la misión y las estrategias de su departamento. Una forma de cultivar esta comprensión es violando la seguridad de su propia organización. Esto pondrá a prueba los conocimientos de sus empleados acerca de las amenazas actuales y cómo detectarlas y le dará una buena idea de cómo responden ellos ante la situación. Este es también un gran tema para compartir con la organización.
3. Comprenda la "información".
Comprender el valor relativo de la información es una herramienta poderosa. Su objetivo final permite obtener la sabiduría y el conocimiento de la función de seguridad de TI y cómo se relaciona con su empresa. Esto permite que deje de ser un grupo operativo de seguridad para convertirse en un equipo de inteligencia de seguridad. Usted no sólo debe disponer de datos e información, sino que se hace necesario tener la capacidad de analizar la información y aprovechar sus resultados para contar una historia convincente. De este modo, usted está listo para diseñar un programa de seguridad y proteger suficientemente a la organización contra la pérdida o robo de datos.
4. Establezca gobernabilidad.
Por definición, la gobernabilidad es la capacidad de esbozar expectativas, garantizar esfuerzos y validar el desempeño. Para lograrlo, se requiere crear una misión de gran alcance entorno a sus iniciativas de seguridad de TI dentro de su organización. De esta manera, puede definirse claramente a quién se reporta en seguridad, junto con sus funciones y responsabilidades. Asegurar la alineación operativa en todos los departamentos ayudará a involucrar a los empleados de su organización, haciéndolos más conscientes de la arquitectura de seguridad.
5. Convierta los riesgos en iniciativas financiadas.
Por último, pero no menos importante, debe aprovechar su modelo de gobernabilidad para transformar las iniciativas de seguridad de la información en esfuerzos financiados. Al colaborar con la alta dirección para determinar su misión, prioridades e iniciativas, sus proyectos inherentemente se convertirán en objetivos patrocinados y apoyados en todos los ámbitos. También es imprescindible mantener a los directivos al tanto de los riesgos, las noticias y la información. Su junta directiva querrá ver sus iniciativas y lo que usted tiene para ofrecer; ellos no están interesados en saber cómo usted mantiene su status quo. La adhesión a estas iniciativas puede ayudar a construir una base sólida para la estrategia de seguridad de la organización.
Puede leer la noticia completa en CRYPTEX - Seguridad de la Información.