El mercado de appliances de seguridad gana impulso en la recta final del año
RSA hace cinco recomendaciones para actualizar los equipos de seguridad de las empresas tras la presentación del informe ‘Security for Business Innovation Council’.
RSA presentó un nuevo informe elaborado por el Consejo de Seguridad para la Innovación Empresarial. En él se muestra a las organizaciones que para conseguir que sus negocios sean más competitivos han de cambiar los obsoletos e inflexibles procesos que administran el uso y la protección de los activos de la información. En “Transformando la Seguridad de la Información: Procesos a prueba de futuro” se destaca como las divisiones de negocio dentro de las organizaciones están adquiriendo un papel más importante dentro de la administración del riesgo de la información. Sin embargo, los procesos de seguridad obsoletos obstaculizan la innovación y hacen que cada vez resulte más complicada la lucha contra los nuevos riesgos de ciberseguridad.
“Para que las empresas puedan innovar con éxito en el actual entorno digital, los equipos de seguridad deben mostrarse más proactivos en la administración del riesgo cibernético, alejándose de los viejos, reactivos y rígidos enfoques perimetrales, para centrarse en la colaboración proactiva con el negocio. Los procesos actuales, como los que describe el Consejo, permitirán a las organizaciones obtener mayor visibilidad a la hora de identificar el riesgo, que puede ser aprovechada en beneficio de la empresa”, declaró Art Coviello, Executive Vice President en EMC y Executive Chairman en RSA, la División de Seguridad de EMC
El documento señala que las áreas propicias para optimizar los procesos son las de medición de riesgos, participación de los departamentos del negocio, evaluaciones de control, evaluación de riesgos de terceros y detección de amenazas. Además, el Consejo de Seguridad hace cinco recomendaciones sobre cómo poner en marcha programas de seguridad de la información para ayudar a los departamentos de negocio:
En primer lugar, hay que establecer evaluaciones de riesgos centradas en el negocio. Habrá que utilizar herramientas automatizadas para el seguimiento de los riesgos de la información de manera que las divisiones de negocio puedan tomar un papel activo en la identificación de los peligros y en la mitigación de los riesgos, asumiendo, de esta forma, una mayor responsabilidad en lo que a la seguridad respecta.
Además, habrá que dejar de ser “técnico” para enfocarse en procesos críticos del negocio. Hay que dejar atrás el punto de vista estrictamente técnico a la hora de proteger los activos de información y considerar cómo se está utilizando la información en el desarrollo del negocio. Es necesario trabajar con las distintas divisiones para documentar los procesos críticos del negocio.
Por otro lado, se tiene que establecer un mecanismo para garantizar los controles basados en evidencias. Desarrollar y documentar capacidades para recopilar datos que prueben la eficacia de los controles de forma continua.
También tienen que desarrollar técnicas de recopilación de datos. Esto significa que habrá que establecer mecanismos de arquitectura de datos que puedan mejorar la visibilidad y el proceso analítico. Considerar las preguntas de análisis de datos a las que se puede dar respuesta a fin de identificar las fuentes pertinentes de datos.
Por último, tienen que establecerse estimaciones de negocio sobre los riesgos de ciberseguridad. Desarrollar técnicas para poder describir los riesgos de ciberseguridad en términos de negocio e integrarlas dentro del proceso de asesoramiento de riesgos.
-CSO
