Mercadotecnia

Un enfoque de seguridad integrado

Predictivo y para toda la empresa

Es momento de cambiar la perspectiva. La seguridad de la información no es un simple ejercicio de cumplimiento. Ninguna solución puede inocular a una red de un ataque y proteger la información no solamente depende del área de TI. En cambio, el nuevo enfoque de seguridad integrado es predictivo y para toda la empresa. Protege de manera proactiva y espera lo peor. Opta por aceptar ciertos elementos en lugar de prohibirlos. Se enfoca en la confianza y no en la paranoia. A continuación se presentan los elementos de una estrategia transformacional de seguridad de la información que su organización puede utilizar para fomentar la confianza en un mundo sin fronteras.

Identificar los riesgos reales

• Definir la inclinación de riesgo general de la empresa y cómo encaja el riesgo de la información.

• Identificar la información y aplicaciones más importantes, en dónde se localizan y quién tiene o requiere acceso.

• Evaluar el panorama de amenazas y elaborar modelos predictivos que resaltan su exposición real.

Sustentar un programa empresarial

• Asegurar que las funciones de gobierno sean las adecuadas convertir la seguridad en una prioridad a nivel del consejo de administración.

• Permitir que una buena seguridad impulse el cumplimiento y no al revés.

• Medir los indicadores líderes para poder identificar los problemas cuando todavía son pequeños.

• Aceptar los riesgos manejables que mejoran el desempeño. Sustentar un programa empresarial

Habilitar el desempeño del negocio

• Garantizar que la seguridad sea responsabilidad de todos.

• No restringir las nuevas tecnologías; utilizar las fuerzas del cambio para habilitarlas.

• Ampliar el programa de seguridad para adoptar conceptos de administración de riesgo de información para toda la empresa.

• Establecer metas o métricas del programa que impacten el desempeño del negocio.

Proteger lo más importante

• Elaborar una estrategia de seguridad enfocada en los impulsores de negocio y en proteger los datos de alto valor.

• Aceptar que habrá violaciones mejorar los procesos que planean, protegen, detectan y responden.

• Equilibrar los fundamentos con la administración de amenazas emergentes.

• Establecer y racionalizar los modelos de control de acceso para las aplicaciones e información.

Optimizar para el desempeño del negocio

• Alinear todos los aspectos de la seguridad (información, privacidad, continuidad física y del negocio) con la organización.

• Invertir de manera prudente en controles y tecnología invertir más en gente y procesos.

• Considerar selectivamente la posibilidad de subcontratar áreas del programa de seguridad operativa.

Identificar los riesgos reales

Los profesionales de seguridad a menudo se quejan de que están demasiado ocupados resolviendo los asuntos que requieren atención inmediata y no tienen tiempo de anticiparse a los problemas que se encuentran a la vuelta de la esquina. Si pretende proteger los activos críticos de su organización, tanto el negocio como los equipos de seguridad deben entender en dónde reside su información (afuera o adentro). Saber qué es lo que su compañía considera como información y aplicaciones más importantes, en donde residen y quién tiene o podría requerir acceso a ellas, permitirá que el negocio sepa qué áreas del programa de seguridad son las más vulnerables a ataques.

Después de conocer en dónde reside la información, evalúe el panorama de amenazas y elabore modelos predictivos que puedan resaltar su exposición real. A continuación se presentan algunas de las amenazas más relevantes que enfrentan las organizaciones:

• Amenazas internas. La reciente publicación de WikiLeaks de los cables diplomáticos clasificados del Departamento de Estado de EE.UU. es un excelente ejemplo de los ataques maliciosos internos. En este caso, un especialista de inteligencia de bajo nivel del Ejército de EE.UU. fue acusado de divulgar información clasificada, lo cual no se controló eficazmente. Pero la advertencia no termina ahí. Las amenazas internas prevalecen aún más que las externas, ya sea accidental o intencionalmente. Durante mucho tiempo las organizaciones no han sido capaces de entender la importancia de las amenazas internas. Este riesgo solamente aumentará si no se atiende en estos momentos.

• Computación en nube. Las compañías están trabajando cada vez más con proveedores de computación en nube debido a varias posibles ventajas, incluyendo una inversión inicial considerablemente menor, menos recursos internos de TI con experiencia y costos operativos más bajos. Sin embargo, a pesar de todos los posibles beneficios, los servicios de computación en nube aumentan los riesgos de seguridad y retos reglamentarios ya que la información personal y propiedad intelectual atraviesan las fronteras. Debido a que no todos los países ponen énfasis en la seguridad y privacidad de la información, la tarea de cumplir con muchos de los reglamentos parece desalentadora. Además, surgen inquietudes en torno a las prácticas de seguridad clave que adoptan los proveedores de computación en nube. Aun en las jurisdicciones que valoran mucho la privacidad puede haber excepciones. Por ejemplo, ciertos reglamentos de EE.UU. permitirían que las autoridades tengan acceso (en circunstancias específicas) a la información personal en manos de los proveedores terceros de computación en nube, sin antes notificar al propietario o sujeto de la información.

• Dispositivos móviles. La proliferación reciente de los dispositivos móviles orientados hacia el consumidor ha alterado considerablemente el flujo de información tanto dentro como fuera de las organizaciones. Los empleados utilizan con frecuencia teléfonos inteligentes y tabletas multimedia que a menudo son de su propiedad, para

...