[18/05/2012] Las organizaciones mejor preparadas para hacerle frente a las amenazas de seguridad actuales, comparten un perfil fundamental que las separa de las organizaciones atrapadas en el modo de respuesta a la crisis. Esa es la conclusión a la que ha llegado el Center of Applied Insights de IBM (centro para la aplicación de hallazgos), que recientemente realizó entrevistas a 138 líderes de seguridad -directores generales de seguridad de información (CISO) y otros ejecutivos de TI y a los responsables de la seguridad de la información en la empresa- para tener una mejor comprensión de las estrategias y enfoques de los líderes de seguridad.
Marc van Zadelhoff, vicepresidente de Estrategia de IBM Security Systems, señala que el estudio ha hecho que IBM divida a los líderes de seguridad en tres categorías basadas tanto en la madurez de su organización y su preparación para el incumplimiento.
La categoría de menor rango, lo que representa a un 28% de los encuestados, son Respondedores. Ellos permanecen atrapados en el modo de respuesta. Ellos trabajan para proteger a la empresa y cumplir con las regulaciones y normas; van Zadelhoff señala que ellos luchan por avanzar con su estrategia pero puede que no tengan todavía los recursos o influencia empresarial para impulsar un cambio significativo.
La categoría intermedia, que representa a un 47% de los encuestados, son Protectores. Van Zadelhoff indica que los protectores reconocen que la seguridad es una prioridad estratégica, pero carecen de la visión basada en indicadores y la autoridad presupuestaria para transformar el enfoque de seguridad de su organización.
Los líderes de seguridad con más visión de futuro son los Influyentes, que representan un 25% de los encuestados. Los influyentes tienen una voz estratégica en la empresa que viene con la influencia en los negocios y la autoridad.
IBM explora tres grandes categorías al crear los perfiles de seguridad: estructura y administración, alcance de la organización y medición.
Estructura y Administración
Una de las características más contundente que separa a los influyentes y protectores de los respondedores, es la presencia de un líder dedicado a la función de seguridad con un enfoque estratégico en todos los ámbitos de la empresa. Las organizaciones de los influyentes son más propensas a nombrar a un CISO debido a que su alta gerencia reconoce la necesidad de un enfoque coordinado, explica van Zadelhoff.
"Mucha gente no tiene un CISO nombrado oficialmente", señala van Zadelhoff. "Alrededor de la mitad de las empresas encuestadas no tienen una persona nombrada para ese papel, ya sea en nombre o en espíritu. Las empresas que tienen a un influyente en el papel en lugar de un respondedor, tienden a tener un CISO dedicado".
Los organismos de seguridad más avanzados tienden a tener un comité directivo de seguridad encabezado por un alto ejecutivo -a menudo el CISO- con una carta blanca para evaluar de manera integral los problemas de seguridad y desarrollar una estrategia empresarial integrada. El comité de seguridad/riesgo es responsable de los cambios sistémicos que abarquen las funciones, incluidas las operaciones comerciales, legales, finanzas, recursos humanos y muchas más. Por lo general, los respondedores carecen de un CISO y un comité directivo de seguridad.
IBM señala que las organizaciones que carecen de un líder dedicado a la seguridad y un comité directivo de seguridad tienen un enfoque más táctico y fragmentado hacia la seguridad.
"Aquí es donde vemos una gran diferencia entre los CISO que están teniendo éxito y los que están fallando", agrega van Zadelhoff. "Los que tienen éxito están recibiendo la aceptación por parte de ejecutivos ajenos a la seguridad".
Los influyentes también tienden a tener un presupuesto dedicado a seguridad que apoya sus esfuerzos. Ya sea que las organizaciones tengan a respondedores, protectores o influyentes, los CIO suelen controlar el presupuesto, pero los protectores e influyentes a menudo también les dan esa autoridad a los líderes empresariales. Entre los influyentes, los CEO tienen las mismas probabilidades que los CIO para dirigir el presupuesto de seguridad de la información. Van Zadelhoff señala que la falta de un presupuesto dedicado obliga a que las organizaciones de seguridad negocien constantemente para financiar o limitar el alcance de iniciativas para funciones o silos específicos.
Alcance de la organización
IBM indica que los organismos de seguridad más avanzados también tienen la atención de los líderes de negocios y sus juntas directivas, no solo como temas ad-hoc, sino como una parte regular de las reuniones de negocios. Esto le da a los CIOS la capacidad de enfocar sus esfuerzos en la educación de toda la empresa, la colaboración y la comunicación.
De hecho, mientras que los respondedores más tácticamente orientados están centrando su atención en la nueva tecnología de seguridad fundacional de construcción de bloques para cerrar las brechas de seguridad, rediseñar los procesos de negocio y contratar nuevo personal -los influyentes se están concentrando en la creación de una cultura en la que los empleados adopten un papel más proactivo en la protección de la empresa. E IBM señala que su mayor integración con el negocio les da la posibilidad adicional de influir en el diseño de nuevos productos y servicios, con la incorporación de consideraciones de seguridad al inicio del proceso.
Medición
Las organizaciones de seguridad más exitosas son también las más propensas a medir su eficacia con las métricas o indicadores. Las tres categorías son propensas a asignar importancia a los indicadores de cumplimiento, riesgo y capacidad para hacer frente a futuras amenazas y vulnerabilidades. Los influyentes también le dan una gran importancia a los indicadores de educación y sensibilización, la velocidad de la recuperación de los incidentes y a las operaciones de seguridad del día a día.
"Los influyentes no son los únicos que hacen mediciones más consistentes, pero lo hacen de un modo más amplio", señala van Zadelhoff.
Obtener seguridad de aquí para allá
En muchos sentidos, indica van Zadelhoff, las categorías representan una continuidad en la escala evolutiva de los organismos de seguridad. Y eso significa que con el plan adecuado, los respondedores pueden transformarse en protectores y eventualmente en influyentes.
Los respondedores pueden tomar una serie de medidas para mejorar su posición. Primero, dice, deben enfocarse en el establecimiento de una función de liderazgo dedicada a la seguridad, implementando un comité de riesgo y seguridad para medir su progreso. Luego deben prestar atención a la automatización de los procesos rutinarios de seguridad, para dedicar más tiempo y recursos a la innovación en seguridad.
Los protectores También pueden planificar una ruta a seguir. Van Zadelhoff señala que pueden hacer que la seguridad sea más que una prioridad estratégica mediante la adopción de una serie de medidas: invertir una mayor parte de sus presupuestos en la reducción de riesgos futuros; la alineación de las iniciativas de seguridad de la información con las prioridades empresariales más amplias; y el aprendizaje y colaboración con una red de sus pares de seguridad.
Por último, los influyentes pueden seguir perfeccionando su enfoque mediante el fortalecimiento de sus habilidades de comunicación, educación y liderazgo empresarial; y mediante el uso de conclusiones en base a los análisis de los indicadores y los datos para identificar áreas de alto valor de mejora.
Thor Olavsrud, CIO (EE.UU.)