Llegamos a ustedes gracias a:



Reportajes y análisis

Volver a lo básico: Reducir los costos de seguridad de forma segura

La Guía de los ex-BP CISO

[03/04/2009] Los chief information security officers (CISO) tienen que volver a lo básico para reducir sus costos departamentales, de acuerdo a los ex-CISO en BP.

Paul Dorey, director de la Facultad de Seguridad, que ofrece capacitación y desarrollo para los CISO, reconoció que eran tiempos realmente difíciles para los profesionales de la seguridad de la información, quienes se enfrentan a crecientes niveles de robo de datos y malware, y a la reducción de sus presupuestos.
Las amenazas provenientes de los insiders también han crecido rápidamente, en particular debido a los empleados que quedaron descontentos luego de que sus posiciones fueran consideradas excedentes, afirmó. Casi dos tercios de los empleados han admitido haber robado información luego de haber dejado sus puestos, de acuerdo a una investigación.
En la industria de la seguridad todos hemos sido un poco perezosos cuando había dinero. Implementamos software y nunca lo usamos, incluso compramos software y nunca lo implementamos, señaló, hablando ante una audiencia de CISO y CSO en el Forrester EMEA Security Forum en Londres. Ahora ya no hay dinero y tenemos que ser más inteligentes.
Los CISO necesitan enfocarse en la eficiencia, automatización de procesos, estandarización, y centralización cada vez que sea posible, afirmó. En el evento, las disertaciones de los diferentes conferencistas y delegados se concentraron en cómo mantener fuerte la seguridad a pesar del ajuste en los presupuestos.
Tenemos que realizar recortes y eliminar cualquier superposición en nuestros sistemas. Piensen en software como servicio para la seguridad, evitando todos los costos de infraestructura y servidores, señaló. Las empresas incluso pueden tomar en consideración software de seguridad gratuito en la web, pero necesitan estar más al tanto de los temas legales, la falta de soporte y los problemas de administración.
Añadió: Tenemos que concentrarnos en lo importante. ¿Abordan sus iniciativas de seguridad los riesgos más importantes? ¿Está solo reaccionando o está previniendo? Tiene que poner su energía en proteger las joyas de la corona, y permitir que los otros activos tomen más riesgos.
Sería inteligente de parte de los CISO hacer algo de espacio en sus presupuestos, trasladando las funciones que no tienen que ver con la seguridad a otros departamentos, aconsejó, tales como hacerse cargo de las personas que no hacen un uso apropiado de Internet en el trabajo. ¿No es más bien un tema de RR.HH? Probablemente
Es vital para los CISO relacionar su trabajo con la estrategia global del chief executive, de tal forma que puedan mostrarle que están haciendo la diferencia. Si no conoce la prioridades del CEO, tiene que preguntar por ellas. Es conveniente para el CEO, ellos no quieren caminar a ciegas -y si no hace esto ya sabe a quién van a culpar: a usted, indicó.
Hay muchas formas en las que las TI -además de la seguridad- están recortando costos, señaló, pero la mayoría de ellas incrementa sus tareas en seguridad. Éstas incluyen virtualizar servidores, trasladar el trabajo fuera del país, trasladarse a código abierto, consolidar a los proveedores y la infraestructura, y trasladarse a cloud computing.
En todo este proceso de reducción de costos, las empresas necesitan ser muy cautelosas al momento de hacer outsourcing de la seguridad en sí misma, le dijo a Computerworld Reino Unido. Las personas son el recurso más escaso y necesitas que estén bien capacitadas. Hay algunos aspectos de la seguridad que pueden ser sujetos de outsourcing, pero no debe hacer un outsourcing en donde ciegamente la entregue a alguien más para que arregle el problema.
 
Acérquese al CEO cuando los presupuestos se ajustan
Por su parte, Khalid Kark, también analista principal de Forrester Research, señaló que es vital que los chief information security officers mejoren en gran medida sus relaciones con sus CEO cuando los presupuestos se ajustan, y se espera que hagan más con menos.
Kark señaló que los departamentos de seguridad generalmente luchan con una relación intermitente con los CEO, lo cual dificulta su funcionalidad. Este es un problema fundamental, indicó, ya que las amenazas a la seguridad han empeorado y se pide a los CISO que proporcionen una buena seguridad con presupuestos reducidos por la recesión. Se arriesgan a no ser capaces de explicar su caso y justificar un gasto correcto, advirtió.
Durante la Forrester EMEA Security Forum, Kark afirmó: Tienen que asegurarse que hay una adecuada interacción entre Seguridad de la Información y el resto de la empresa.
Incluso podrían necesitar crear una posición de enlace empresarial, añadió, de tal forma que haya una clara comunicación, y que la seguridad de TI y otros departamentos trabajen por las mismas metas. Aunque esto podría incurrir en costos, hay demasiado que perder no teniendo la seguridad adecuada.
Sin embargo, es inevitable que los departamentos de seguridad tengan que aceptar un recorte en sus presupuestos generales, señaló Kark, añadiendo que aún queda mucha grasa que recortar.
Pero los CISO necesitan crear conciencia en sus CEO de que ellos cumplen una función vital en la empresa que no puede ser recortada imprudentemente, señaló. Ustedes tienen efecto sobre los resultados de las empresas, no hay duda acerca de eso, dijo. Tienen que planear como enfrentarse con la economía, cómo manejar los cambios en la tecnología, y cómo proporcionar lo que la empresa quiere. Entonces podrán mostrarle a la empresa lo que están dándole.
Los CEO saben que la seguridad es importante, afirmó, y generalmente se encuentran muy preocupados por proteger al cliente y a los datos corporativos, así como en concentrarse en la continuidad del negocio y en cumplir con la regulación. Pero a medida que los presupuestos se reducen -la seguridad es ahora, en promedio, un 11% del gasto en TI- los CISO necesitan un plan de acción para cumplir con las expectativas.
Junto con una mejor comunicación con los CEO, los departamentos de seguridad necesitan mantener la flexibilidad, es decir sin atarse a prolongados contratos con proveedores, afirmó. Los CISO deben evitar caer en mitos sobre la seguridad, señaló Kark. Éstos incluyen la paranoia acerca de la seguridad de los ambientes virtualizados, los dispositivos móviles y las redes sociales, que pueden ser todas útiles para las empresas cuando la privacidad y la seguridad son vigiladas adecuadamente, indicó.
Con la recesión, es difícil y muchos de nosotros en la seguridad decimos que necesitamos rendirnos. Pero lo que necesitamos es ver los cambios y actuar. Estamos aquí para hacer que las empresas realicen sus transformaciones de forma segura.
Leo King, Computerworld UK