Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/05/2013
5 iniciatives importants que poden implementar els Directors de Seguretat
Els propietaris de les empreses estan cada vegada més preocupats per la proliferació de tecnologies en l’oficina. Innovacions com ara BYOD, el núvol, l’accés global i les xarxes socials tenen molts Directors de Seguretat de la Informació (CISO, per les seues sigles en anglés) que perseguixen la idea de com assegurar eficaçment les seues dades i protegir la valuosa propietat intel·lectual. En este canviant panorama d’amenaces, les empreses i governs estan constantment lluitant contra la delinqüència cibernètica organitzada i el pirateig. Amb programes maliciosos, com ara Flame, Stuxnet i Shamoon en l’arsenal dels ciberdelinqüents de hui, els CISO han d’estar un pas avant del joc i preparar-se apropiadament per als atacs.
Observem les mesures de seguretat utilitzades en l’actualitat i les iniciatives que poden implementar-se ara mateix perquè siga de més utilitat a la seua companyia i per a protegir la seua organització contra atacs cibernètics avançats. Gràcies a la meua experiència i segons discussions amb col·legues, he determinat que les cinc principals iniciatives d’un programa de seguretat amb èxit per a mantindre la seguretat d’informació en l’empresa són:
1. Entenga el seu negoci
Pot paréixer infantil, però no volem ser condescendents. La seguretat no mana en les empreses, ni tan sols en la indústria de la seguretat. Moltes vegades les iniciatives que busquen lucre, incloent-hi vendes i màrqueting, tendixen a no incloure la seguretat. En un esforç per canviar esta situació, els CISO han de participar activament en el desenrotllament del cicle de vida del producte/servici i integrar-lo amb la seguretat d’una manera estratègica, per tal de millorar la seua monetització. Els riscos i amenaces que enfronta la seua organització són molt reals i poden causar conseqüències si decidix prendre un enfocament més reactiu cap a la seguretat.
2. Comprenga el paper de la seguretat
En l’entorn actual la tecnologia ens consumix. Normalment ens oblidem de les persones i els processos, que són realment el que fa que les nostres empreses siguen exitoses. Com a líders, hem de vendre idees. La tecnologia per si sola és a penes un embenat que ha d’anar de la mà amb altres elements. Si desitja aconseguir la seguretat completa de TI, ha d’integrar processos i governabilitat per a assegurar l’èxit. A més, és imprescindible la capacitació. Educar cap amunt, cap avall i a través. Tots els seus empleats, des de la junta directiva, fins als de servici al client, han de tindre una mútua comprensió de la missió i les estratègies del seu departament. Una forma de cultivar esta comprensió és violant la seguretat de la seua organització. Açò posarà a prova els coneixements dels seus empleats sobre les amenaces actuals i com detectar-les i li donarà una bona idea de com responen ells davant de la situació. Este és també un gran tema per a compartir amb l’organització.
3. Comprenga la informació
Comprendre el valor relatiu de la informació és una ferramenta poderosa. El seu objectiu final permet obtindre la saviesa i el coneixement de la funció de seguretat de TI i com es relaciona amb la seua empresa. Açò permet que deixe de ser un grup operatiu de seguretat per a convertir-se en un equip d’intel·ligència de seguretat. Vosté no sols ha de disposar de dades i informació, sinó que cal tindre la capacitat d’analitzar la informació i aprofitar els seus resultats per a comptar una història convincent. D’esta manera, vosté està preparat per a dissenyar un programa de seguretat i protegir suficientment l’organització contra la pèrdua o robatori de dades.
4. Establisca governabilitat
Per definició, la governabilitat és la capacitat d’esbossar expectatives, garantir esforços i validar l’exercici. Per a aconseguir-ho, es requerix crear una missió de gran abast entorn de les seues iniciatives de seguretat de TI dins de la seua organització. D’esta manera, pot definir-se clarament a qui es reporta en seguretat, junt amb les seues funcions i responsabilitats. Assegurar l’alineació operativa en tots els departaments ajudarà a involucrar els empleats de la seua organització, i els farà més conscients de l’arquitectura de seguretat.
5. Convertisca els riscos en iniciatives finançades
Finalment, però no menys important, ha d’aprofitar el seu model de governabilitat per a transformar les iniciatives de seguretat de la informació en esforços finançats. En col·laborar amb l’alta direcció per a determinar la seua missió, prioritats i iniciatives, els seus projectes inherentment es convertiran en objectius patrocinats i recolzats en tots els àmbits. També és imprescindible mantindre els directius al corrent dels riscos, les notícies i la informació. La seua junta directiva voldrà veure les seues iniciatives i el que vosté té per a oferir; ells no estan interessats a saber com vosté manté el seu status quo. L’adhesió a estes iniciatives pot ajudar a construir una base sòlida per a l’estratègia de seguretat de l’organització.
Pot llegir la notícia completa en CRYPTEX - Seguridad de la Información.