Las empresas que son más ágiles, están encontrando el equilibrio perfecto entre el presupuesto disponible en ésta área y la adopción de nuevas tecnologías capaces de hacer frente a las nuevas amenazas. Resulta fundamental la concienciación consensuada de todas las partes implicadas.
Dependiendo del tamaño de la organización, la persona que tiene mayor responsabilidad a la hora de impulsar la seguridad y garantizar la mejor protección de la empresa recae en los miembros del consejo definidos como nivel C, a pesar de que los administradores TI y los responsables CISO o CSO son las personas que acaban pagando el pato cuando es necesario depurar responsabilidades.
Lo que parece evidente es que cada empresa necesita de alguien que haga que la seguridad no sólo sea un elemento que forme parte del presupuesto de la compañía, sino que también haga la labor de formar y de extender la cultura de seguridad entre los empleados.
Josh Feinblum, vicepresidente de seguridad de la compañía Rapid7, destaca que “las empresas que se preocupan por la seguridad suelen tener detrás un equipo de liderazgo que se preocupa por los peligros actuales, o bien, es una empresa que ya ha sufrido algún ataque”. Es por eso que en muchas situaciones, no es una sola persona la que tiene la responsabilidad única de garantizar una respuesta. Mientras que en otras áreas, las preocupaciones de los ejecutivos son de otra índole, en la de seguridad debe primar la prevención y despliegue de medidas con las que contrarrestar las situaciones de riesgo.
Existen compañías enfocadas en garantizar el buen funcionamiento de los controles regulatorios y evitar situaciones de catástrofes, en base a que otras empresas lo vienen demandando. De hecho, en ocasiones son las fuerzas externas las que impulsan los avances en pro de la seguridad, particularmente en situaciones de fusiones y adquisiciones de compañías.
Darrell Drystek, miembro senior de la AISS y del consejo de ISACA comenta que “la consecuencia de muchos problemas de seguridad radica en el fracaso de los que deben velar y liderar la seguridad, asociándose a un problema de gestión, más que un problema técnico”. De hecho, el equipo ejecutivo que realmente valora la seguridad, suele acabar teniendo el mayor impacto en sus decisiones.
Con el fin de impulsar el avance de la seguridad en cualquier negocio, debe existir una voz pragmática que represente la seguridad, un CISO o persona de seguridad de nivel superior. «Los equipos de liderazgo con experiencia no centran sus preocupaciones en el tipo de herramienta existente para poner freno a las amenazas, sino que se preguntan cómo actúan los malos y con qué es necesario contar para poder frenar sus acciones.
Por esa razón, las pequeñas organizaciones tienen un reto mayor. Travis Rosiek, director de tecnología de Tychon, comenta que “las pequeñas empresas cuentan con escasos recursos, tanto de personal como de presupuesto para garantizar una seguridad apropiada. Así, se encuentran con que deben abordar la gestión de la infraestructura TI junto al resto de factores asociados a la seguridad”. En este caso, comenta Rosiek, hay pocas posibilidades de que el responsable de TI pueda tener un amplio conocimiento y experiencia de las diferentes facetas de seguridad para reducir cualquier tipo de riesgo.
Pero no todo va en contra de las organizaciones más pequeñas puesto que según Rosiek, “los equipos de TI y seguridad suelen ser fuertes e interdependientes, cuando hay una crisis o algo sospechoso, están acostumbrados a unirse y colaborar muy bien».
A medida que las compañías son más conscientes de la repercusión de los ataques y cómo pueden acabar con el funcionamiento de los negocios, las juntas de directivos se han involucrado mucho más que antes en orientar más presupuesto y reforzar el área de seguridad de sus organizaciones.
Rosiek indica que “desde una perspectiva de maduración, cuando el CISO reporta directamente al CIO incluso con audiencias en los consejos de dirección, significa que esas compañías están priorizando la seguridad en su organización”.
Por otro lado, cuando el CISO tiene menos valor en el comité de dirección y no tiene tanta visibilidad, se encuentra con grandes desafíos para que sus presupuestos asociados a seguridad sean aprobados.
Las empresas que son más ágiles, están encontrando el equilibrio entre el presupuesto disponible y la adopción de tecnologías capaces de hacer frente a las nuevas amenazas. Estas organizaciones tienen el tamaño adecuado, pueden moverse a la velocidad por sí mismas y mantenerse al tanto de lo que llega al mercado. En muchos casos, llevan a cabo sus propias investigaciones, de manera que el CISO impulsa el avance en el área de seguridad ayudado de un gran equipo de profesionales.
Sin importar el tamaño de cualquier compañía, el impacto más grande viene cuando hay comprensión emocional de todas las partes interesadas. Debido a que uno de los mayores obstáculos a superar en seguridad radica en la percepción de que la seguridad se trata de restricciones, las compañías líderes en seguridad necesitan reforzar sus relaciones entre sí para ofrecer respuestas conjuntas y consensuadas hacia los clientes.
Fuente: cso.computerworld.es