IBM presentó las conclusiones de un estudio que analiza profundamente tres áreas de relevancia para los líderes en materia de seguridad informática: prácticas de negocio, madurez de las tecnologías y capacidad de medición. Además, releva elknow-how de experimentados líderes de seguridad para delinear un conjunto de prácticas que ayuden a definir el rol del ejecutivo encargado de la seguridad informática en una organización.
Las tecnologías emergentes, como computación móvil y en nube, conllevan un aumento en el nivel de riesgo para los datos y nuevos desafíos para las empresas. “Las vulnerabilidades y riesgos son cada vez más altos y los ataques más sofisticados. Ante esto, la protección de datos de una compañía y la de sus empleados, cualquiera sea su industria, es clave para su éxito”, explica Joaquim Campos, ejecutivo Sistemas de Seguridad de IBM para Latinoamérica. “Hoy día, el líder de Seguridad Informática de una empresa está en la obligación de trabajar con todas las áreas y gerentes de negocios en políticas de seguridad y en una estrategia conjunta para asegurar el éxito del negocio, en la que deberá considerar implementar capacidades más avanzadas de medición, una seguridad móvil robusta que incluya políticas para la tendencia BYOD y la seguridad en la nube”.
Y es así como lo demuestra los datos que revela el estudio, que en resumen, concluye que:
Las mejores prácticas de negocio de los CISO (Chief Information Security Officers): Los líderes de seguridad entrevistados subrayan que la necesidad de una fuerte visión, estrategia y políticas, la gestión integral del riesgo y las relaciones de negocio eficaces tienen un impacto en sus roles. Comprender las preocupaciones de los altos ejecutivos (C-suite) también es crítico. Los líderes de seguridad más maduros se reúnen regularmente con los directores y gerentes, lo cual ayuda a mejorar las relaciones. Cuando se reúnen, los principales temas de discusión incluyen: la identificación y evaluación de riesgos (59%), la resolución de problemas y solicitudes de presupuesto (49%) y la implementación de nuevas tecnologías(44%). El desafío para los líderes de seguridad consiste en manejar con éxito las diversas preocupaciones de seguridad que plantea el área de negocios.
Madurez de las tecnologías: La seguridad móvil es la tecnología de seguridad número uno “implementada más recientemente”. Una cuarta parte de los líderes de seguridad la implementaron en los últimos 12 meses. Y si bien la privacidad y seguridad en un entorno de nube siguen siendo motivo de preocupación, tres cuartas partes (76%) han implementado algún tipo de servicios de seguridad para la nube. Entre ellos, el más popular es el de monitoreo y auditoría de datos, junto con administración federada de identidades y accesos (ambos 39%).
Si bien las tecnologías móviles y de nube siguen recibiendo mucha atención dentro de las organizaciones, las tecnologías fundacionales que también tienen un papel central para los CISOs son: la administración de identidades y accesos (51%), la prevención de intrusiones a la red y el escaneo de vulnerabilidades (39%), y la seguridad de la base de datos (32%).
El principal desafío en el área móvil para los líderes de seguridad consiste en avanzar, pensando menos en la tecnología y más la estrategia y políticas de seguridad. Menos del 40% de las organizaciones han implementado políticas de respuesta específica para dispositivos personales traídos por los empleados, o una estrategia empresarial bring-your-own-device (BYOD). A pesar de ello, actualmente ya se establecen estrategias empresariales para BYOD (39%) y una política de respuesta ante incidentes para dispositivos personales de propiedad de los empleados (27%), que son las dos áreas cuyo desarrollo se tiene pensado implementar para los próximos 12 meses.
Capacidades de medición: Los líderes de seguridad utilizan métricas principalmente para guiar la elaboración de presupuestos y en general las métricas técnicas y de negocio se siguen enfocando en cuestiones operativas. Por ejemplo, más de 90% de los entrevistados hacen un seguimiento del número de incidentes de seguridad, registros, datos o dispositivos perdidos o robados y el estado de auditoría y cumplimiento: dimensiones fundamentales que es esperable que todos los líderes de seguridad controlen. Un porcentaje mucho menor de los encuestados (12%)incorpora medidas de negocio y seguridad a su proceso de riesgo empresarial, a pesar de que los líderes de seguridad reconocen que el impacto de la seguridad en el riesgo empresarial total es su factor más importante para el éxito.
Acerca del informe
El IBM Center for Applied Insights, en colaboración con IBM Security Systems eIBM Security Services, realizó entrevistas exhaustivas con líderes de la alta dirección que tienen a su cargo la seguridad informática en sus organizaciones. El objetivo de las entrevistas fue identificar prácticas y comportamientos organizacionales específicos que pudieran fortalecer el rol y servir de ejemplo para otros líderes de seguridad. Los entrevistados fueron seleccionados del grupo de ejecutivos que participaron en la investigación de 2012 – 80% de los seleccionados ya habían participado en el estudio anterior – con énfasis en líderes de seguridad más maduros. Los entrevistados eran de una amplia gama de industrias y de cuatro países. Acceda al estudio completo en: ibm.com/ibmcai/ciso.