Llegamos a ustedes gracias a:



Reportajes y análisis

Encuesta: Más compañías están contratando CSO

[30/10/2009] A pesar de que la peor recesión en décadas ha impulsado a las compañías a gastar menos en outsourcing de servicios de seguridad y hacer más en casa, los presupuestos de seguridad parecen mantenerse sin variación. Y más compañías están empleando un chief security officer.

Ese es uno de los grandes hallazgos de la séptima encuesta Global Information Security, que las revistas CSO y CIO realizaron con PricewaterhouseCoopers a inicios de este año. Unos 7.200 ejecutivos de negocios y tecnología a nivel mundial y de una amplia variedad de industrias, entre las que se encuentra gobierno, cuidados de la salud, servicios financieros, y retail, respondieron a las preguntas.
He visto ejemplos en donde hay compañías que están haciendo inversiones grandes en capacitación para que su personal sea más conciente de la seguridad, señala Miguel López, profesional de la seguridad TI en Los Ángeles, que ha trabajado para compañías como MSC Software y Stamps.com. Parte de esto se debe a que las presiones regulatorias le han abierto bruscamente los ojos a la alta gerencia, un grupo que antes se encontraba ciego ante las necesidades de seguridad interna. López señala a uno de sus amigos en la industria para demostrar cómo han cambiado las cosas en la industria. Mi amigo, un gerente de seguridad de la información, se sienta en un comité ejecutivo de seguridad con doctores y otros miembros del personal que no son de TI, señala. La seguridad está siendo tomada en cuenta como nunca antes.
Un nuevo compromiso corporativo
Las compañías aún luchan con la calidad de la seguridad de sus datos, pero la respuesta a la encuesta de este año sugiere que sus pares ejecutivos han acordado, finalmente, que la seguridad no puede ser ignorada.
Los planes de los presupuestos de las compañías cuentan una parte de la historia. No solo hay más empresas que invierten en tecnologías de seguridad, sino que las inversiones en seguridad en general no se han tocado mayormente, a pesar de los problemas económicos.
12% de los encuestados esperan que su gasto en seguridad caiga en los 12 meses siguientes. Pero el 63% señala que sus presupuestos se mantendrán sin variación o se incrementarán (aunque son menos, con respecto al año pasado, los que prevén incrementos).
Para comenzar, más compañías están contratando CSO o chief information security officers (CISO). 85% de los encuestados afirmaron que sus compañías ahora tienen un ejecutivo de seguridad, una cifra mayor al 56% del año pasado y del 43% en el 2006. Poco menos de un tercio de los security chiefs reportan al CIO, 35% al CEO y 28% a los directorios.
Dos factores están influyendo en las compañías para mantener la seguridad como prioridad corporativa: 76% señaló que el incremento en el ambiente de riesgo ha elevado la importancia de la ciberseguridad entre la alta gerencia, mientras el 77% afirmó que la cada vez más intrincada red de regulaciones y estándares industriales ha ayudado a generar una sensación de urgencia.
A los encuestados se les preguntó cuán importantes se habían hecho ciertas estrategias de seguridad en el contexto de una realidad económica más difícil. 70% citó la creciente importancia de la protección de los datos mientras que el 68% citó la necesidad de reforzar el gobierno corporativo de la empresa y sus programas de riesgo y cumplimiento.
 Para propósito de diferenciación de responsabilidades, es interesante ver cómo a las compañías se les está solicitando -por parte de auditores de cumplimiento, asesores de seguridad calificados y a través de la legislación- contratar gerentes de seguridad TI con un conjunto mucho más definido de roles y responsabilidades, afirma Mauricio Angee, gerente senior de seguridad y cumplimiento TI y CSO de Universal Orlando. Tales roles incluyen establecer la política de seguridad de la compañía, hacer que el presupuesto de seguridad alcance (en lugar del CIO), y delegar responsabilidad entre lo administradores e ingenieros de seguridad TI de menor nivel.
Sin embargo, ninguno de estos desarrollo hacen que concentrarse en la seguridad de la información sea una apuesta segura a los ojos de los líderes TI. El que las compañías sientan que están gastando dinero en seguridad no significa que los ejecutivos lo ven como algo esencial, o incluso un proceso de negocios beneficioso en lugar de una tarea fastidiosa que se les fuerza a cumplir.
Angee afirma que los líderes de la seguridad aún tienen que luchar muy duro por cada centavo. Mientras tanto, los ejecutivos de seguridad no tienen el mismo poder de decisión que otros líderes del mismo nivel en las empresas, señala Mark Lobel, socio en la práctica de seguridad de PricewaterhouseCoopers. Los CIO pueden contratar a un CSO o CISO sin tener una estrategia y presupuesto para esa persona y terminar logrando nada. Si algo sale mal, concluye, todo lo que tendrán será una persona a quien culpar y despedir.
Bill Brenner, IDG News Service