Llegamos a ustedes gracias a:



Reportajes y análisis

Estrategias para cerrar la brecha de criterios entre los CISO y los CEO

[17/12/2009] RSA, la División de Seguridad de EMC, dio hoy a conocer una nueva investigación que explora la conexión entre las prioridades de los CEO y la estrategia de seguridad de la información. Se examina en el informe como la división entre el CEO de la organización y su responsable de seguridad de la información -CSO- puede impactar severamente sobre el perfil de riesgo y el éxito del negocio. 

El 5to reporte de RSA acerca de la Seguridad para la Innovación del Negocio, Bridging the CISO-CEO Divide -Acercando Posiciones entre CEO & CSO- aborda profundos criterios a fin de alinear el apoyo del CEO en pos de un esfuerzo mancomunado de seguridad estratégica de la información dentro de la organización. Conjuntamente con esas advertencias, se realizan serias recomendaciones respecto a cuáles son las actitudes que los Chief Information Security Officers -CISO- no deben poseer. Se lleva a cabo una inteligente y detallada mirada respecto de algunas potenciales maneras en que los CISO desquician a sus CEO, en su intento de ponerlos en línea con las estrategias de seguridad de la compañía.  
El reporte es sobre la base de serias y revisadas argumentaciones dentro del Consejo de la Seguridad para la Innovación del Negocio -Security for Business Innovation Council-, cuyos miembros se conforman con los más prestigiosos ejecutivos de seguridad dentro de las mil compañías más importantes de los Estados Unidos, contando además con la participación del presidente y CEO de First Data, una subsidiaria de EMC.
Art Corviello, vicepresidente ejecutivo de EMC y presidente de RSA, la División de Seguridad de EMC, señala que si bien la seguridad comienza a formar parte de la agenda de inversiones de las compañías, los CISO llegan a fastidiar a los CEO respecto del concepto de seguridad como aspecto fundacional de las operaciones del negocio. Tanto los CEO como los CISO deberán revisar en conjunto como llevar adelante su trabajo en la materia dentro de las organizaciones.
El reporte llama a los CISO-CEO a la acción
El Reporte Bridging the CISO-CEO Gap -Acercando Posiciones entre CEO & CISO- llama la atención respecto del hecho de que muchas de las acciones que las organizaciones llevan a cabo para sobrevivir en la actual economía -como la utilización de nuevas tecnologías y nuevos modelos globales de negocio-  son tanto innovadoras como riesgosas. Nunca antes los ejecutivos de seguridad estuvieron en semejante posición de fortaleza dentro de la toma de decisiones de negocio a partir de sus capacidades de reconocimiento cuantificados de los riesgos asociados. Pero en primera instancia deberán ganarse la confianza y el apoyo de los CEO. Los CEO por su parte, deberán reconocer que el éxito en el recupero en el largo plazo de las compañías en la actual economía depende de la habilidad de administrar con jerarquía los riesgos vinculados con la toma de decisiones de negocio, señaló Corviello.  
De acuerdo al informe de RSA, las recomendaciones clave paras ayudar a los profesionales de la seguridad para ganarse el apoyo de los CEO incluyen:
? Establezca expertos en seguridad dentro del círculo íntimo de confianza del CEO: Inclúyase entre los que influencian e interactúan con los CEO de manera frecuente: Reportes Directos al CEO y Reportes al Directorio. 
? Desarrolle una clara estructura organizacional de seguridad: La estructura de seguridad debe ser absolutamente transparente. Debe estar claramente articulada, ser sociable y de jerarquía institucional. El personal debe reconocer lo que hace el staff de seguridad, de igual forma que saben lo que hacen los departamentos de finanzas o contaduría.
? Haga del riesgo una realidad: Para ayudar al CEO a comprender un riesgo, hágalo realidad. En cuanto le es posible, los CISO deben cuantificar el riesgo. No se limite a explicaciones retóricas, sino que describa escenarios realistas sobre la base de ponderar probabilidades actuales de impactos y pérdidas financieras frente a la ocurrencia de riesgos de seguridad.
La premisa es conocer el análisis del riesgo, señaló Michael Capellas, presidente y CEO de First Data, una subsidiaria de EMC. Se trata de riesgo. El lenguaje de negocio es riesgo. Y si usted ocupa una posición CISO y no puede desarrollar una charla acerca de las mediciones y de las fuentes de riesgo, es muy probable que no sea exitoso.
El reporte es también un aviso para los CEO. Nos muestra como los CEO soslayan la necesidad de comprender como sus acciones y actitudes impactan en el esfuerzo de proteger los activos de la información de sus compañías, indicó Corviello. Bajo esta circunstancia, el Consejo destaca algunas de las modalidades más salientes bajo las que un CEO puede de manera involuntaria poner en riesgo la seguridad de la información de la compañía:
? El mensaje de seguridad viene desde arriba: Si los líderes crean un ambiente de apatía hacia la seguridad en la protección de la información, la organización tendrá la misma postura. El CEO puede comunicar la importancia estratégica y promover el hecho de responsabilidad compartida en la protección de la información a lo largo de la organización.
? Pensar en la seguridad de la información como un problema tecnológico o un problema en la gobernabilidad de la información: La seguridad de la información necesita ser considerada como un problema de administración del riesgo. Cuando un CEO no observa el panorama de negocios en su totalidad alrededor de la toma de decisiones en materia de seguridad, su compañía se expone a todo tipo de riesgos. 
? Fracaso en la asignación de responsabilidades en la organización: Si la comandancia sobre la seguridad de la información no se establece a un adecuado nivel jerárquico dentro de la compañía, la estrategia carece completamente de seriedad. Una potencial andanada de impactos directos sobre las marcas de la compañía y los activos de la información debe enmarcar la responsabilidad del líder de seguridad seleccionado, sea este un CISO o personal equivalente, a sabiendas que el elegido deberá tener el expertise necesario para reconocer semejante exposición.
CIO, Perú