¿Cuáles son los retos a los que se enfrente un director de seguridad de la información?
Seguridad de la información
Cada día es más complejo el panorama que ofrece la digitalización masiva de la sociedad, impulsado por la movilidad y la conectividad permanente, unido a los nuevos riesgos y amenazas que proliferan en el mercado, cada vez mucho más sofisticados, se imponen nuevos retos a los directores de seguridad de la información.
El escenario tecnológico se diversifica y complica
Aunque parezca mentira no hace tanto tiempo, en las empresas se trabajaba de forma exclusiva con ordenadores personales y redes muy controladas por el equipo de sistemas protegidas en el perímetro de la organización que quedaba a salvo de posibles ataques. El panorama tecnológico hoy en día en muy diferente. Los sistemas propios de la organización han dado paso, en muchas ocasiones, a sistemas basados en el modelo de aprovisionamiento cloud computing.
Los datos ya no se almacenan solo en el data center sino, sobre todo, en los dispositivos móviles que proliferan entre los empleados y no los facilita ni siquiera la propia organización. La inteligencia de la red corporativa ha saltado del centro de datos a los dispositivos de los profesionales.
Exige a los directores de seguridad de la información una nueva aproximación que dé respuesta a estos nuevos modelos y prácticas. Es necesario disponer de políticas concretas de este sentido y, sobre todo, darlas a conocer a los propios empleados, a los que es importante evangelizar sobre cómo actuar para no poner en riesgo la información de su organización. Es necesario para proteger desde el centro de datos al dispositivo móvil con las nuevas herramientas de software y de gestión de dispositivos móviles que los proveedores de seguridad de información utilizan. Igualmente debemos blindar la red interna y los activos corporativos.
En lo que respecta a la adopción del cloud, es preciso fijar bien con los proveedores de la nube cuáles son los controles de seguridad de la información que existe a la hora de aplicar y, por supuesto, solo subir a la nube los activos y sistemas si los estándares de seguridad de la información son los más elevados y cumplen con la normativa de protección de datos.
Más amenazas y más virulentas
El siguiente reto para los responsables de seguridad es el cambio de tipo de ataques y amenazas que se ha producido en los últimos tiempos. Los ciberataques que ideaban los hackers de antaño han dado paso a amenazas dirigidas y persistentes llevadas a cabo por grupos de ciberdelicuentes cuyo fin es el robo de información, el espionaje o lucro económico.
Los directores de seguridad deben ser conscientes de esta nueva realidad y saber que, aunque es difícil evitar los ataques, si es posible mitigar su efecto si se reacciona con celeridad y se está preparado. Los expertos recomiendan adoptar una aproximación de la seguridad basada en la metodología y apostar por estándares ya reconocidos en la industria como la norma ISO 27001 y llevar a cabo auditorías con frecuencia para ver el grado de preparación que tiene de cara a una incidencia de este tipo.
Mejorar la gestión de riesgos es posible, además, gracias a la monitorización constante de las amenazas, que se producen en los equipos y en la red. Son muchas las herramientas disponibles en el mercado y su implementación.
Presupuestos aún ajustados
Los últimos años se han caracterizado porque se ajusta a los presupuestos de TI que aún siguen sufriendo muchas organizaciones, aunque la situación económica que empiece a mejorar. Afortunadamente la cúpula directiva de las compañías de todo tipo siendo cada vez más consciente de que el gasto en seguridad de la información es absolutamente necesario. Los directores de seguridad tienen algo más fácil esta terea, sobre todo después de sonados ataques que se han producido en la industria.
El gasto en seguridad ha seguido aumentando exponencialmente en los últimos tiempos, y consiguen los 76.000 millones de dólares en todo el mundo este año 2015, crecerá más de un 8% con respecto al ejercicio anterior. La creciente adopción de las ya comentadas tecnologías de movilidad y cloud computing, además de que las redes sociales lo impulse, la utilización de nuevas tecnologías y servicios de seguridad de la información.
Escasez de personal especializado
Los recursos humanos que se relacionan con la seguridad de la información son escasos y tienen un coste elevado. Es más problemático poder retener a estos profesionales en un mercado en el que son tan necesarios. No está de más que el director de seguridad de la información, entre sus funciones, se dedique un tiempo para promover la realización de programas de impulso de talento y desarrollo de empleados de sus área que no solo conlleven una contraprestación económica que aportan beneficios que vayan más allá con el fin de retener a estos perfiles tan codiciados, y al mismo tiempo, necesarios.
Mayor conocimiento y alineación con el negocio
No solo el director de TI debe estar alineado con el negocio sino también el director de seguridad de la información. Más allá de disponer de conocimientos sólidos del ámbito de las comunicaciones y la informática, además de garantizar la seguridad en las aplicaciones y los sistemas, el responsable de seguridad tendrá que saber cómo guiar a su organización para introducirse en nuevos mercados, abrazar nuevas tecnologías y áreas geográficas de forma que los riesgos de negocio se mitiguen en todo lo posible.
Hacer la seguridad invisible para el usuario
En el caso de la TI en general es preciso trabajar para la seguridad de la información, para la empresa y sus usuarios. El trabajo que esto implica es arduo, pero necesario.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.