Crece la importancia de los responsables de seguridad corporativos

La figura del responsable o director de seguridad de sistemas de información está tomando cada vez más protagonismo dentro de las compañías, según se desprende de un informe realizado por la firma de analistas Giga Group y presentado en España por Telenium.


Muchas grandes empresas están tomando conciencia de la necesidad de crear unidades permanentes responsables de la gestión de seguridad de sistemas de información, que pongan en marcha programas de seguridad eficientes y de calidad. Hasta la fecha, en la mayoría de las empresas la gestión de la seguridad se ha realizado de forma fragmentada, reactiva e improvisadora, lo que origina una baja preparación ante ataques a los sistemas, ya sea por virus, hackers o usos inadecuados desde dentro de la propia organización.

En el análisis se han detectado cuatro elementos clave a la hora de implantar programas de seguridad eficientes: gestión, personal dedicado, presupuestos coherentes y realistas y posibilidades de medición con las que evaluar de forma práctica las mejoras. Una buena parte de los responsables de seguridad con los que se ha tenido contacto para la elaboración de este informe han afirmado que el entorno ideal en cuanto a seguridad se caracterizaría por: existencia de un departamento dedicado a gestionar la seguridad, dirigido por un responsable con varios años de experiencia en la materia, con personal cualificado y entrenado en seguridad y que contara con el soporte de consultores externos y asesores en seguridad que ayuden a la toma de decisiones.

Para lograr una gestión de seguridad eficiente es necesario la dirección de un profesional cualificado en la materia. Dependiendo del tamaño de la organización, este departamento tendrá más o menos entidad, reportando a la dirección general o a otras direcciones subalternas, como la dirección de Sistemas de Información. en la práctica, y en la actualidad, este es un rol que está asumiendo el director de sistemas.

Entre las competencias del director de seguridad estarían realizar una evaluación de riesgos, asesorar sobre medidas de seguridad, desarrollar procedimientos, supervisar la administración y las políticas de seguridad y ser el contacto con consultores y proveedores externos en materia de seguridad

Hay que tener en cuenta muchas variables a la hora de determinar cómo ha de ser el Departamento de Seguridad. Una vez analizado el riesgo de la compañía, hay tres opciones: aceptarlo, gestionarlo o mitigarlo. En función de cuál sea la alternativa elegida, así se configurará este departamento. Por supuesto, el tamaño de la organización es un elemento clave a tener en cuenta. La tarea que más recursos requiere es la gestión diaria de la seguridad: incorporación de nuevos usuarios, cambio de contraseñas, solución de problemas de acceso, asignación de PIN´s, gestión de sistemas de autenticación, etc.

Giga Group estima que se necesita una persona dedicada a este cometido por cada 1.000 empleados. A este número habría que añadir un empleado más por cada 6.000 empleados en caso de que no se utilicen sistemas de autenticación por contraseña o certificados digitales. Por el contrario, compañías que han incorporado sistemas de control de accesos basados en funciones han conseguido reducir las necesidades de staff en seguridad, pasando de 1 técnico por cada 1.000 empleados a uno por cada 5.000.

Las grandes corporaciones se servirán cada vez más de servicios externos de consultores y técnicos expertos en seguridad, para desarrollar proyectos e implantar infraestructuras. El director de seguridad puede formar así un equipo que colabore en mejorar la eficiencia y optimizar la inversión en seguridad.

Según estimaciones de Giga Group, el presupuesto dedicado por las compañías a seguridad está entre el 2% y el 20% del presupuesto total en Tecnologías de la Información, incluyendo gastos de personal, licencias en tecnología, gestión de proyectos, etc. Los acontecimientos recientes, han incrementado la concienciación de los gestores sobre la importancia de la seguridad y se dedican mayores esfuerzos a la evaluación y mitigación de riesgos. La tolerancia al riesgo por parte de las organizaciones está siendo re-evaluada, y los presupuestos de seguridad van en consonancia con esta nueva situación.

Por sectores, se aprecian diferencias. Los que presentan una más baja tolerancia al riesgo son el sector financiero y de tecnología, mientras que la industria tradicional presenta una mayor tolerancia

Son necesarios para poder establecer una situación de partida y posteriormente evaluar el grado de mejora alcanzado, una vez puesto en marcha el proyecto de seguridad que se trate. Giga Group recomienda establecer siete categorías a analizar y sobre las que trabajar:

- Concienciación de los empleados y comunicación: Hay que involucrar a los empleados en la política de seguridad de la compañía, a través de programas de concienciación, manuales de seguridad, información de la seguridad en Internet, etc.
- Administración y soporte técnico: Se trata de evaluar y medir los recursos que se emplean en gestionar la seguridad día a día: gestión de derechos y privilegios, gestión de cambios, gestión de problemas, configuraciones, etc.
- Arquitectura y estándares: La complejidad de los sistemas de información incrementa costes y tiempos de recuperación y resta efectividad a los programas de seguridad. Hay que crear un programa de estándares.
- Políticas, prácticas y procedimientos: La creación de cualquier procedimiento o política debe de estar justificada desde el punto de vista del negocio.
- Organización y planificación: Hace referencia a la necesidad de evaluar el grado de cualificación del equipo encargado de la seguridad
- Análisis coste/beneficio de los diferentes proyectos de seguridad
- Auditoría financiera.

Estableciendo objetivos y puntuaciones en cada una de estas áreas, el responsable de seguridad puede analizar las mejoras o degradaciones del servicio.

www.telenium.es


Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital