Llegamos a ustedes gracias a:



Columnas de opinión

Las cinco erres de la seguridad en tiempos de crisis

Por: Khalid Kark, analista principal en Forrester Research

[17/09/2009] Si la recesión económica ha demostrado algo es que muchos CSO todavía luchan por articular el valor de sus programas de seguridad y justificar el gasto ante la dirección ejecutiva de su empresa. Muchos han visto reducir sus presupuestos, postponer sus proyectos y despedir sus empleados. Estas son las cinco erres a las que deberían responder si quieren estar bien preparados: reputación, regulación, rentabilidad, resiliencia y recesión.

Muchos CSO están experimentando un entorno de rápidos cambios donde el negocio demanda más de la organización de seguridad, el consumo de la tecnología está usurpando el control al responsable y las nuevas arquitecturas tienen que responder a las demandas de reducción del perímetro, virtualización y tecnologías web 2.0.
Aunque algunos de los despidos y recortes presupuestarios pueden ser necesarios, muchos CSO se preguntan si habría sido distinto de haber mejores relaciones con la dirección de la empresa, o mejor comunicación de sus mensajes. La consultora Forrester ha trabajado con algunos de los CSO de grandes organizaciones y ha desarrollado estas cinco categorías que ayudan a articular el valor de la seguridad para el negocio.
Dependiendo del destinatario, es recomendable que utilice todas o solo una combinación de estas categorías para conseguir que su empresa siga invirtiendo en seguridad.
Reputación
El impacto de las brechas de seguridad en las marcas consolidadas y conocidas durante los últimos años, ha provocado grandes pérdidas a estas compañías. No solo por culpa de amenazas externas procedentes de la comunidad hacker, que cada vez son más sofisticadas y dirigidas, sino por el daño provocado por amenazas internas. Las acciones perjudiciales, intencionadas o no, de los propios usuarios están incrementándose en los últimos años.
Los CSO deben subrayar la importancia de la seguridad para la reputación de la compañía, protegiéndola contra un paradigma de amenazas internas y externas cada vez más complejas, y evitar el abuso por parte de terceros y socios empresariales.
Una compañía farmacéutica con la que habló Forrester había comenzado a recibir quejas de reacciones adversas de pacientes procedentes de un área geográfica en la que apenas tenían ventas. El equipo de seguridad trabajó junto con el departamento de fraude para descubrir que un socio comercial había accedido a detalles de fabricación y especificaciones de empaquetado de ese producto unos meses atrás. Además, este socio había monitorizado sospechosamente los planes de negocio y márketing desde un servidor centralizado. Tras investigarlo, se descubrió que se habían fabricado medicamentos falsos para venderlos en esa área geográfica bajo la misma marca.
Regulación
Según avanzan las regulaciones se incrementan exponencialmente los requisitos que hay que cumplir. La organización de seguridad tiene la tarea de gestionar la conformidad con múltiples regulaciones, y hacerlo de forma eficiente para que una misma auditoría o valoración pueda utilizarse múltiples veces. Los CSO deben centrarse en las siguientes áreas cuando articulen el valor de la regulación: conformidad con múltiples regulaciones simultáneamente mediante el desarrollo de un marco de trabajo común de seguridad y auditoría, no solo cumplir la letra de la ley, sino también incorporar la perspectiva empresarial, y evitar denuncias y multas por falta de conformidad. Como ejemplo, un establecimiento comercial pudo evitar multas de más de 30 mil dólares diarios gracias a un firewall de aplicaciones que le costó unos 70 mil dólares.
Rentabilidad
Aunque la seguridad informática no siempre contribuye directamente a la rentabilidad de la empresa, a menudo es imprescindible para proteger su propiedad intelectual. Los CSO deben ir un paso más allá y reforzar el valor de la seguridad, remarcando su papel en la protección contra el robo de IP y la obtención de nuevos negocios potenciando la seguridad. En algunas industrias, como los servicios financieros, la seguridad de la información es parte del márketing corporativo. El Bank of America, por ejemplo, se ha posicionado adecuadamente como un banco que valora la privacidad y seguridad de sus clientes. Como resultado de ello, ha encontrado una forma innovadora de incrementar los ingresos a través de la seguridad de los usuarios, ofreciendo testigos de autenticación de doble factor a cambio de una pequeña cuota. Para las empresas de estas industrias la seguridad es una necesidad absoluta, tanto para sus usuarios internos como para los clientes.
Resiliencia
La resiliencia es una preocupación importante para muchas empresas debido a desastres naturales pandémicos, como el huracán Katrina o los tsunamis de extremo oriente. Muchas empresas se dieron cuenta durante esos lamentables desastres de que no tenían planes ni procesos preparados para enfrentarse a ellos. La seguridad puede ayudar mediante planes de continuidad de negocio crítico durante esos períodos y coordinando, y respondiendo a las amenazas e incidentes eficientemente.
Un proveedor de servicios en el Golfo perdió todo su negocio cuando sus dos centros de datos -separados entre sí, 50 kilómetros- fueron destruidos por el huracán Katrina. La compañía no se recuperó de la pérdida y tuvo que declararse en bancarrota. Por otro lado, una compañía de servicios financieros no solo pudo trasladar su actividad a su centro de backup en el nordeste sin problemas, sino que tenía disponible al 99% de su planilla tres horas después de que el huracán llegase a la costa.
Los esfuerzos para garantizar la continuidad del negocio fueron encabezados por el equipo de seguridad y coordinados con el equipo de recuperación de desastres del departamento de TI. Aunque la compañía sufrió pérdidas, se pudo recuperar por completo en menos de 48 horas.
Recesión
Algunos podrían argumentar que hablar sobre la recesión no ayuda a articular el valor de negocio de la seguridad informática. Pero muchos CSO se han dado cuenta de que en el entorno actual ésta puede ser la única forma de llamar la atención de sus jefes. Los CSO pueden ayudarles a conseguir sus objetivos en los tiempos difíciles reduciendo costos mediante la inversión en relaciones estratégicas con fabricantes, utilizando los productos y herramientas existentes con mayor eficacia y creando eficiencia en los procesos empresariales.
Como ejemplo, un fabricante gastaba aproximadamente dos millones de dólares al año en procesos manuales de conformidad. El CSO de la compañía propuso una herramienta de gestión para aprovechar el trabajo haciendo que el proceso de auditoría y conformidad fuera más eficaz. La compañía pudo ahorrar 1,4 millones de dólares en tres años, combinando sus distintas actividades de gobierno TI, riesgo y conformidad, como la auditoría, valoración, prueba e informes.
Muchos CSO han estado tan centrados en responder a las amenazas y gestionar el día a día operativo que no se han podido dedicar a responder algunas cuestiones básicas. Implementar estas cinco erres les ayudará a articular mejor el valor de sus programas de seguridad.
Khalid Kark es analista principal en Forrester Research, y es experto en gobierno de programas de seguridad.
CSO, España