EL ESCENARIO TECNOLÓGICO SE DIVERSIFICA… Y COMPLICA
El panorama tecnológico en la actualidad es diferente. Los sistemas
on premise (propios y ubicados en la propia empresa) han dado paso, en muchas ocasiones, a sistemas basados en el modelo de aprovisionamiento
cloud computing. Por otro lado, los datos ya no se general y almacenan solo en el data center sino, sobre todo, en los dispositivos móviles que proliferan entre los empleados y que, en muchas ocasiones, no los facilita ni siquiera la propia empresa, sino que son personales. Incluso la inteligencia de la red corporativa ha saltado del centro de datos a los dispositivos de los profesionales. Es más, la red, en la actualidad, empieza a dotar de conexión a los dispositivos más variopintos, y cada vez habrá más teniendo en cuenta la tendencia hacia el llamado
Internet de las cosas. Este escenario exige a los directores de seguridad una nueva aproximación que dé repuesta a estos nuevos modelos (
cloud) y prácticas (el famoso BYOD o el uso de dispositivos personales en el entorno de trabajo). Disponer de políticas muy concretas en este sentido y, sobre todo, darlas a conocer a los propios empleados, a los que es importante evangelizar sobre cómo actuar para no poner en riesgo la información de su empresa, es esencial. Como también lo es proteger desde el centro de datos al dispositivo móvil con las nuevas herramientas de software (muchas entregadas en modelo
cloud o como servicio) y de gestión de dispositivos móviles que los proveedores de seguridad brindan. Sin olvidar, cómo no, blindar la red interna y los activos corporativos. Además, en lo que respecta a la adopción de
cloud, es preciso fijar bien con los proveedores de nube cuáles son los controles de seguridad que hay que aplicar y, por supuesto, solo ‘subir a la nube’ los activos y sistemas
core si los estándares de seguridad son los más elevados y cumplen con la normativa pertinente de Protección de datos, etc. MÁS AMENAZAS Y MÁS VIRULENTAS El segundo pero no menos importante reto para los responsables de seguridad es el cambio en el tipo de ataques y amenazas que se ha producido en los últimos tiempos. Los ciberataques que ideaban los hackers de antaño para superar un reto informático han dado paso a amenazas dirigidas y persistentes realizadas por grupos de cibercriminales cuyo fin es el robo de información, el espionaje y/o el lucro económico. Los directores de seguridad deben ser conscientes de esta nueva realidad y saber que, aunque es difícil evitar los ataques, sí es posible mitigar su efecto si se reacciona con celeridad y se está preparado. Los expertos recomiendan adoptar una aproximación de la seguridad basada en la metodología y apostar por estándares ya reconocidos en la industria como ISO 27000 o CoBit y realizar auditorías con frecuencia para ver el grado de preparación que se tiene de cara a una incidencia de este tipo. Mejorar la gestión del riesgo es posible, además, gracias a la monitorización constante de las amenazas, cada vez más sofisticadas, que se producen en los equipos y la red. Son muchas las herramientas ya disponibles en el mercado y su implantación y despliegue (muchas funcionan en modo como servicio) es sencillo. PRESUPUESTOS AÚN AJUSTADOS Los últimos años se han caracterizado por una caída o, al menos, ajuste importante en los presupuestos de TI que aún siguen sufriendo muchas empresas, aunque la situación económica empiece a mejorar. Afortunadamente la cúpula directiva de las compañías de todo tipo es cada vez más consciente de que el gasto en seguridad de la información es absolutamente necesario. Así que a pesar de que es todo un reto justificar los gastos en el área de TI, lo cierto es que los directores de seguridad tienen algo más fácil esta tarea, sobre todo después de sonados ataques producidos en la industria como los sufridos por Sony Pictures, entre otras compañías. Muestra de ello es que el gasto en seguridad ha seguido aumentando exponencialmente en los últimos tiempos (incluso en época de crisis) y, según Gartner, alcanzará los 76.000 millones de dólares en todo el mundo este año 2015, es decir, crecerá más de un 8% respecto al ejercicio anterior. La creciente adopción de las ya comentadas tecnologías de movilidad y cloud computing, así como de las redes sociales será lo que impulse, aseveran desde la consultora, el uso de nuevas tecnologías y servicios de seguridad hasta el año 2016. ESCASEZ DE PERSONAL ESPECIALIZADO Los recursos humanos relacionados con la seguridad de la información son escasos y tienen un coste elevado, una realidad que es en sí, otro gran reto para el responsable de esta área. No obstante, más problemático es aún poder retener a estos profesionales en un mercado en el que, directamente, “se los rifan”. ¿Qué hacer? No está de más que el director de seguridad, entre sus funciones, dedique un tiempo a promover la realización de programas de impulso de talento y desarrollo de empleados de su área que no solo conlleven una contraprestación económico sino que aporten beneficios que vayan más allá (trabajo flexible, elevado nivel de formación, etc.) con el fin de retener a estos perfiles tan codiciados y, al mismo tiempo, necesarios. MAYOR CONOCIMIENTO Y ALINEACIÓN CON EL NEGOCIO Sí, no solo el director de TI debe estar más alineado con el negocio sino también el director de seguridad de la información. Así que, más allá de disponer de conocimientos sólidos del ámbito de las comunicaciones y la informática y de cómo garantizar la seguridad en las aplicaciones y los sistemas, el responsable de seguridad tendrá que saber cómo guiar a su empresa para introducirse en nuevos mercados, abrazar nuevas tecnologías y áreas geográficas de forma que los riesgos de negocio se mitiguen en todo lo posible. Tener la capacidad de establecer puentes entre el equipo de negocio y los ingenieros de sistemas y desarrolladores de aplicaciones será también un elemento más que necesario para los directores de seguridad de la información de nuevo cuño. HACER LA SEGURIDAD INVISIBLE PARA EL USUARIO Al igual que en el caso de las TI en general es preciso trabajar para que la seguridad de la información, estando ahí, sea invisible, transparente, para la organización y sus usuarios (empleados, socios, proveedores, clientes…). El trabajo que esto implica por detrás (relacionar la información de seguridad con la base del negocio) es arduo pero necesario. En esta liga encuentras la información completa 6 retos del Director de Seguridad de la Información En Grupo Smartekh queremos ayudarte a determinar el riesgo en tu organización en cualquier momento que lo solicites a fin de evitar cualquier afectación a tu negocio
¡Contáctenos!
La idea principal es que conozcas como nuevas tecnologías pueden ofrecerte eficiencia, confiabilidad y seguridad ahorrando costos.
¡Compártelo!
**********************************************