El panorama cada vez más complejo que ha establecido digitalización masiva de la sociedad, impulsado por la movilidad y la conectividad permanente, unido a los nuevos riesgos y amenazas que proliferan en el mercado, cada vez más sofisticados, impone nuevos retos a los Directores de Seguridad,en inglés Chief Information Security Officer (CISO), de las organizaciones. Veamos cuáles.
1.- El escenario tecnológico se diversifica… y complica
Aunque parezca mentira no hace tanto tiempo -apenas unos años- en las organizaciones se trabajaba exclusivamente con ordenadores personales y redes muy controladas por el equipo de sistemas de forma que protegiendo el perímetro de la organización la empresa quedaba a salvo de posibles ataques. Pero el panorama tecnológico en la actualidad es muy diferente. Los sistemas on premise (propios y ubicados en la propia empresa) han dado paso, en muchas ocasiones, a sistemas basados en el modelo de aprovisionamiento cloud computing.
Por otro lado, los datos ya no se general y almacenan solo en el data center sino, sobre todo, en los dispositivos móviles que proliferan entre los empleados y que, en muchas ocasiones, no los facilita ni siquiera la propia empresa, sino que son personales (aunque también se usan con fines laborales sin el control de acceso a las aplicaciones de antaño). Incluso la inteligencia de la red corporativa ha saltado del centro de datos a los dispositivos de los profesionales. Es más, la red, en la actualidad, empieza a dotar de conexión a los dispositivos más variopintos, y cada vez habrá más teniendo en cuenta la tendencia hacia el llamado Internet de las cosas.
Este escenario exige a los directores de seguridad una nueva aproximación que dé repuesta a estos nuevos modelos (cloud) y prácticas (el famoso BYOD o el uso de dispositivos personales en el entorno de trabajo). Disponer de políticas muy concretas en este sentido y, sobre todo, darlas a conocer a los propios empleados, a los que es importante evangelizar sobre cómo actuar para no poner en riesgo la información de su empresa, es esencial. Como también lo es proteger desde el centro de datos al dispositivo móvil con las nuevas herramientas de software (muchas entregadas en modelo cloud o como servicio) y de gestión de dispositivos móviles que los proveedores de seguridad brindan. Sin olvidar, cómo no, blindar la red interna y los activos corporativos.
Además, en lo que respecta a la adopción de cloud, es preciso fijar bien con los proveedores de nube cuáles son los controles de seguridad que hay que aplicar y, por supuesto, solo ‘subir a la nube’ los activos y sistemas core si los estándares de seguridad son los más elevados y cumplen con la normativa pertinente de Protección de datos, etc.
2.- Más amenazas y más virulentas
El segundo pero no menos importante reto para los responsables de seguridad es el cambio en el tipo de ataques y amenazas que se ha producido en los últimos tiempos. Los ciberataques que ideaban los hackers de antaño para superar un reto informático han dado paso a amenazas dirigidas y persistentes realizadas por grupos de cibercriminales cuyo fin es el robo de información, el espionaje y/o el lucro económico.
Los directores de seguridad deben ser conscientes de esta nueva realidad y saber que, aunque es difícil evitar los ataques, sí es posible mitigar su efecto si se reacciona con celeridad y se está preparado. Los expertos recomiendan adoptar una aproximación de la seguridad basada en la metodología y apostar por estándares ya reconocidos en la industria como ISO 27000 o CoBit y realizar auditorías con frecuencia para ver el grado de preparación que se tiene de cara a una incidencia de este tipo.
Mejorar la gestión del riesgo es posible, además, gracias a la monitorización constante de las amenazas, cada vez más sofisticadas, que se producen en los equipos y la red. Son muchas las herramientas ya disponibles en el mercado y su implantación y despliegue (muchas funcionan en modo como servicio) es sencillo.
3.- Presupuestos aún ajustados
Los últimos años se han caracterizado por una caída o, al menos, ajuste importante en los presupuestos de TI que aún siguen sufriendo muchas empresas, aunque la situación económica empiece a mejorar. Afortunadamente la cúpula directiva de las compañías de todo tipo es cada vez más consciente de que el gasto en seguridad de la información es absolutamente necesario. Así que a pesar de que es todo un reto justificar los gastos en el área de TI, lo cierto es que los directores de seguridad tienen algo más fácil esta tarea, sobre todo después de sonados ataques producidos en la industria como los sufridos por Sony Pictures, entre otras compañías.
Muestra de ello es que el gasto en seguridad ha seguido aumentando exponencialmente en los últimos tiempos (incluso en época de crisis) y, según Gartner, alcanzará los 76.000 millones de dólares en todo el mundo este año 2015, es decir, crecerá más de un 8% respecto al ejercicio anterior. La creciente adopción de las ya comentadas tecnologías de movilidad y cloud computing, así como de las redes sociales será lo que impulse, aseveran desde la consultora, el uso de nuevas tecnologías y servicios de seguridad hasta el año 2016.
4.- Escasez de personal especializado
Los recursos humanos relacionados con la seguridad de la información son escasos y tienen un coste elevado, una realidad que es en sí, otro gran reto para el responsable de esta área. No obstante, más problemático es aún poder retener a estos profesionales en un mercado en el que, directamente, “se los rifan”. ¿Qué hacer? No está de más que el director de seguridad, entre sus funciones, dedique un tiempo a promover la realización de programas de impulso de talento y desarrollo de empleados de su área que no solo conlleven una contraprestación económico sino que aporten beneficios que vayan más allá (trabajo flexible, elevado nivel de formación, etc.) con el fin de retener a estos perfiles tan codiciados y, al mismo tiempo, necesarios.
5.- Mayor conocimiento y alineación con el negocio
Sí, no solo el director de TI debe estar más alineado con el negocio sino también el director de seguridad de la información. Así que, más allá de disponer de conocimientos sólidos del ámbito de las comunicaciones y la informática y de cómo garantizar la seguridad en las aplicaciones y los sistemas, el responsable de seguridad tendrá que saber cómo guiar a su empresa para introducirse en nuevos mercados, abrazar nuevas tecnologías y áreas geográficas de forma que los riesgos de negocio se mitiguen en todo lo posible.
Tener la capacidad de establecer puentes entre el equipo de negocio y los ingenieros de sistemas y desarrolladores de aplicaciones será también un elemento más que necesario para los directores de seguridad de la información de nuevo cuño.
6.- Hacer la seguridad invisible para el usuario
Al igual que en el caso de las TI en general es preciso trabajar para que la seguridad de la información, estando ahí, sea invisible, transparente, para la organización y sus usuarios (empleados, socios, proveedores, clientes…). El trabajo que esto implica por detrás (relacionar la información de seguridad con la base del negocio) es arduo pero necesario.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
