Durante este fin de semana he vuelto a analizar la encuesta “The Global State of Security Information 2007” realizada por PriceWaterhouseCooper y CXO Media conjuntamente.
Existe una importante tendencia en vista a las actividades bajo la responsabilidad del CSO y CISO de las organizaciones. Un alto crecimiento en implementación de herramientas de seguridad, pero una baja cantidad de profesionales que aplican conceptos estratégicos en la protección de los activos de información de las organizaciones.El 90% de las empresas han invertido en años anteriores para poseer actualmente la infraestructura y soluciones de seguridad que requieren para los controles mínimos requeridos. Solo el 50% de las organizaciones ha desarrollado y mantiene en ejecución un plan estratégico relacionado con la seguridad.
[<img border="0" src="/pcwla2.nsf/0/C537EBF577ACFCD6852574130070BE5F/$File/pag10bloabr08.gif">]
La responsabilidad de seguridad de la información, o bien, la protección de los activos de información, es asignada a diferentes posiciones dentro de la estructura organizacional. Ahora si concretamente consideramos como válida la función directiva en términos de seguridad, el rol propio de la misma es el CSO (Chief Security Officer) o CISO (Chief Information Security Officer). Solo el 30% de las empresas encuestadas poseen un profesional de estas características con dicho cargo ejecutivo.
Los hackers o ataques externos le corresponden el 40% de los casos de ataques. Alrededor del 84% de los incidentes o ataques provienen desde adentro de la empresa. Uno pensaría que los hackers se están metiendo dentro de la empresa. Pero eso no es verdad. Nadie contrata personas que atentan contra la seguridad de la empresa. Pero la naturaleza humana va mutando dentro de una organización frente a sucesos o cambios propios del contexto laboral. Los empleados descontentos, disconformes con la empresa, con discrepancias con el jefe o bien con el mismo grupo de trabajo, son circunstancias laborales no ajenas al común de las compañías.
Particularmente la confianza reina entre los principios del management y en las reglas de oro del teamworking. La confianza es el principio por el cual no nos sentimos con la obligación de monitorear a los empleados. Mi personal es de plena confianza… Nunca realizaría algo que atente contra la seguridad de la empresa…
¿Escucharon alguna vez esto? Pero controlar no significa desconfiar. Uno realiza controles por el objetivo primario de la seguridad, la prevención y la anticipación proactiva a los incidentes. Muchas veces fragilidades de seguridad se producen accidentalmente por usuarios sin intención maliciosa. Siguiendo con el concepto monitorear no significa desconfiar. Un CSO debe tener herramientas e información sólida a la hora de realizar estudios forenses o sus investigaciones puntuales. Sin este conjunto informativo ¿con qué autoridad profesional puede elevar a sus pares CxOs situaciones delicadas? La información concreta despeja cualquier situación subjetiva que en estas circunstancias pueden provocar si un efecto desconfianza infundado. Un dato para no olvidar. Pese al alto grado de implementación de herramientas, equipamiento y procesos, el 40% de los CSOs desconocen el número de incidentes, el tipo de ataque o el método primario de ataque utilizado. Ahora bien, tenemos en un 90% las soluciones de tecnología necesarias de seguridad, pero ¿no podemos conocer el tipo y fuente del incidente? Esto es algo así como tener un sistema de seguridad que me detecta cuando una ventana es rota por un delincuente al querer traspasarla, pero esta detección (reactiva) no me sirve para prevenir el próximo ataque en esa u otra ventana.
Esta detección me sirve para eso, pero no para detectar un robo interno de algún activo de información. Tomemos nota. Desde el año 2000 a la actualidad nos estuvimos especializando en realizar y aprender de herramientas tecnológicas que permitan brindar seguridad a nuestra infraestructura y perfeccionamos tareas operativas vinculadas con monitoreos y controles de seguridad. Pero ahora el CSO debe perfeccionarse en otras habilidades. La gestión centralizadas de información de seguridad, análisis y evaluación de riesgos y metodologías de mitigación de los mismos, son las funciones que debe incorporar en su carrera profesional. En función de la carrera profesional y la autonomía del área de seguridad dentro de la organización, se desprende la gestión, presupuesto, tomador de decisión y planificación estratégica. La puja por la independencia del área de IT es constante y por el momento no tiene un rumbo definido. Muchas de las entidades financieras obligan la independencia del área de seguridad, jerárquicamente bajo un comité de seguridad o del CEO de la empresa. Mas allá del nivel de madurez que implica una independencia del área de IT, la dependencia de los últimos años permitió el alto crecimiento y mejora de soluciones de seguridad en la infraestructura de IT.
El 79% de los reportes actualmente se realiza a áreas Neutrales (CEO, CFO, COO, Legales, etc.), el 53% a áreas de IT (CIO y CTO) y el 46% a áreas relacionadas con la seguridad y auditoria. La tendencia marca que los reportes y los presupuestos de seguridad se orientan a áreas de IT más que a áreas neutrales. Por último y en contra de mis expectativas, la seguridad sigue teniendo dos caras que por el momento no pueden unificarse en lo que a gestión se refiere. La seguridad física/electrónica por un lado y la seguridad de la información/informática por el otro. Casi el 70% de las empresas respondieron que no se integrarán estas dos subáreas de la seguridad, y el 80% indica que tampoco lo tiene planificado.
Lea la nota completa en www.pcwla.com/buscar/08041001
-Por Oscar Andrés Schmitz