Entradas
-
Análisis de más de 130 entrevistas presenta una nueva
clase de ejecutivo de seguridad, denominado CISO. El rol del CISO sigue la
evolución del CIO y el CFO, con responsabilidades más estratégicas en la
organización.
México, D.F., a 6
de mayo de 2012: Un nuevo estudio de IBM (NYSE:
IBM) revela una evolución clara en las organizaciones de seguridad de la
información y sus líderes: 25% de los directores de seguridad encuestados están
pasando de un enfoque en la tecnología a un rol de liderazgo de negocios
estratégico.
En el primer estudio de IBM sobre ejecutivos de
seguridad, los consultores del IBM Center forAppliedInsights entrevistaron a más de 130 líderes de seguridad a nivel mundial, y
descubrieron tres tipos de líderes en base a la preparación que poseen para
enfrentar violaciones de seguridad y la madurez general del área de seguridad.
Aproximadamente una cuarta partes de los entrevistados son ejecutivos de
seguridad senior, del tipo “Influenciador”, que en general influencian las
estrategias de negocio de sus empresas y se sienten más seguros y preparados
que sus pares en las otras categorías, las de “Protectores” y “Respondedores”.
En general, todos los líderes de seguridad hoy enfrentan intensas
presiones, pues tienen la responsabilidad de proteger algunos de los activos
más valiosos de sus empresas: dinero, datos de clientes, propiedad intelectual
y marcas. Casi dos terceras partes de los ejecutivos de seguridad (ChiefInformation Security Executives, CISO)
encuestados manifestaron que la alta dirección está prestando más atención a la
seguridad hoy día que hace dos años. Frente a una serie de violaciones de datos
y ataques de hackers de alto perfil, los altos niveles gerenciales se han
convencido del papel clave que desempeña la seguridad en la empresa moderna.
Más de la mitad de los encuestados citó la seguridad móvil como preocupación
central en el área de tecnología en los próximos dos años. Casi dos terceras
partes de los encuestados estiman que el gasto en seguridad de la información
aumentará durante los dos próximos años, y de ellos, 87% cree que los aumentos
estarán en el rango de dos dígitos.
En lugar de limitarse a responder a los incidentes de seguridad, el rol del
CISO se orienta más hacia la gestión riesgos holística e inteligente; en lugar
de salir a apagar incendios, se está enfocando en anticiparlos y mitigarlos
antes de que se produzcan. Surgieron varias características notables entre las
prácticas de seguridad maduras de los “Influenciadores” en una variedad de
organizaciones:
·
La seguridad vista como un imperativo de negocios (versus
tecnología): Uno de los atributos principales de una organización líder
es haber logrado la atención de los líderes de negocio y sus directorios. La
seguridad no es un tema ad hoc, sino más bien una parte habitual de los debates
de negocio y, cada vez más, de la cultura. De hecho, 60% de las organizaciones
avanzadas nombran la seguridad como un tema habitual en la sala de directorio,
en comparación con sólo 22% de las organizaciones menos avanzadas. Estos
líderes comprenden la necesidad de una conciencia del riesgo más generalizada,
y se encuentran mucho más enfocadas a la educación, colaboración y comunicación
en toda la empresa. Las organizaciones de seguridad visionarias tienen más
probabilidad de establecer un comité de dirección de seguridad para alentar
enfoques sistémicos respecto de cuestiones de seguridad que abarcan asuntos
legales, operaciones comerciales, finanzas y recursos humanos. 68% de las
organizaciones consideradas más avanzadas en esta área contaban con un comité
de riesgo, frente a sólo 26% del grupo menos avanzado.
·
Uso de toma de decisiones y mediciones basadas en datos: Las organizaciones
líderes tienen el doble de probabilidad de utilizar métricas para monitorear el
progreso, según mostró la evaluación (59% versus 26%). Hacer un seguimiento de
la concientización de los usuarios, la educación de los empleados, la capacidad
de manejar amenazas futuras y la integración de nuevas tecnologías puede ayudar
a crear una cultura de conciencia del riesgo. Y un monitoreo automatizado de
métricas estandarizadas permite a los CISO dedicar más tiempo a enfocarse en
riesgos más amplios y sistémicos.
·
Responsabilidad presupuestaria compartida con los
directores de nivel “C”: El estudio demostró que dentro de la
mayoría de las organizaciones, los CIO en general tienen control del
presupuesto de seguridad de la información. Sin embargo, entre las
organizaciones de alto rango, la autoridad sobre la inversión reside con mayor
frecuencia en los líderes de negocio. En las organizaciones más avanzadas, los
CEO tenían la misma probabilidad que los CIO de dirigir los presupuestos de
seguridad de la información. Las organizaciones de menor rango a menudo
carecían de una partida presupuestaria dedicada, lo cual indica un enfoque más
táctico y fragmentado de la seguridad. 71% de las organizaciones avanzadas
tenían una partida presupuestaria exclusivamente para seguridad, en comparación
con 27% del grupo menos maduro.
“Estos datos pintaron un perfil de una nueva clase de líderes CISO que
están desarrollando una voz estratégica, y allanando el camino hacia una
posición más proactiva e integrada de la seguridad informática,” comentó David
Jarvis, autor del informe y consultor senior
del IBM Center forAppliedInsights.
“Vemos que la trayectoria del CISO ahora está madurando en forma similar a la
del director de finanzas (CFO) desde la década de 1970 y el director de
informática (CIO) desde la década de 1980: de técnico a habilitador de negocios
estratégicos. Esto demuestra cómo la seguridad de TI se ha convertido en una
parte integrante clave de las organizaciones.”
Recomendaciones para la evolución del rol de seguridad en
una empresa
Para crear una organización de seguridad más firme y capaz, IBM reconoce
que los líderes de seguridad deben construir un plan de acción basado en sus
capacidades actuales y necesidades más urgentes. El informe ofrece consejos
prescriptivos basados en sus conocimientos de cómo las organizaciones pueden
avanzar en base a su nivel de madurez actual.
Por ejemplo, los “Respondedores” en la etapa inicial de la madurez en
seguridad, pueden ir más allá de su enfoque táctico estableciendo un rol de
liderazgo en seguridad dedicado (un CISO), armando un comité de seguridad y riesgo
que mida los avances, y automatizando los procesos de seguridad rutinarios,
para dedicar más tiempo y recursos a la innovación en seguridad.
“La seguridad en una era híper-conectada presenta un nuevo conjunto de
desafíos, pero estos pueden aliviarse considerablemente implementando prácticas
innovadoras y adoptando un enfoque más integrado y holístico,” indicó Marc van
Zadelhoff, un autor del informe y vicepresidente de Estrategia de IBM Security
Systems. “Los CISO que priorizan estos factores pueden ayudar a sus
organizaciones a mejorar significativamente los procesos de negocio y lograr un
éxito mensurable en su avance hacia la construcción de una cultura consciente
del riesgo que sea ágil y esté bien equipada para afrontar amenazas futuras.”
Acerca de la Evaluación
El estudio desarrollado por el IBM
Center forAppliedInsights, titulado “Finding
a strategicvoice: Insightsfromthe 2012 IBM ChiefInformation Security
OfficerAssessment”(Encontrar una voz estratégica: Visiones de la Evaluación
de Directores de Seguridad de la Información 2012 de IBM) abarcó a
organizaciones que cubren una amplia gama de sectores en siete países. Durante
el primer trimestre de 2012, el Centro realizó entrevistas a doble ciego con
138 altos ejecutivos de negocio y de TI responsables de la seguridad de la
información en sus organizaciones. Casi 20% de los encuestados dirigen la
seguridad informática en empresas de más de 10.000 empleados y 55% se
encuentran en empresas de 1000 a 9999 empleados.
Para ver el
estudio completo, visite: ibm.com/smarter/cai/security.
Acerca
de IBM Security
La cartera de
seguridad de IBM ofrece la inteligencia de seguridad necesaria para ayudar a
las organizaciones a proteger en forma holística su gente, sus datos,
aplicaciones e infraestructura. IBM ofrece soluciones para la gestión de
identidades y accesos, administración de eventos e información de seguridad,
seguridad de base de datos, desarrollo de aplicaciones, gestión de riesgos,
administración de puntos terminales, seguridad de redes y más. IBM conduce la
organización de investigación y desarrollo en seguridad más amplia del mundo.
Incluye nueve centros de operaciones especializados en seguridad, nueve centros
de la unidad IBM Research, 11
laboratorios de desarrollo de software de seguridad, y un Instituto para la
Seguridad Avanzada, con capítulos en EEUU, Europa y Asia Pacífico. IBM
monitorea 13 mil millones de eventos de seguridad por día en más de 130 países,
y tiene más de 3000 patentes en seguridad.
regresar/home
0 comentarios:
Publicar un comentario