Dr. Martin Carmichael*
En la actualidad, con demasiada frecuencia, las decisiones sobre el gasto de seguridad de IT se basan en percepciones de la industria en lugar de apoyarse en las necesidades reales de la empresa. Las empresas a menudo se ven influenciadas por lo que los proveedores o consultores recomiendan o incluso por lo que otras compañías están haciendo, en lugar de considerar lo que su empresa requiere. Si los directores de seguridad asumieran un enfoque objetivo hacia el gasto en seguridad (vinculando los recursos de seguridad de IT a activos clave para el negocio y sistemas de prioridades), en lugar de uno subjetivo, se llegaría a la conclusión de que es más simple medir la efectividad de la estrategia y demostrar el retorno de la inversión.
En la industria de las aerolíneas, podemos encontrar una analogía interesante de la toma de decisiones subjetiva. Con el surgimiento de las amenazas a la seguridad, muchas aerolíneas han optado por entregar cubiertos de plástico como una medida de seguridad, pero no todas lo han hecho. ¿Esto significa que las aerolíneas que siguen usando cubiertos de metal no son seguras? No necesariamente. Además, muchos operadores de aeropuerto ahora exigen que los pasajeros se quiten los zapatos y los expongan a rayos X cuando pasan por el área de seguridad, sin embargo, al igual que en el ejemplo anterior, esto no sucede en todos los países. En términos simples, no existe coherencia en los requisitos de seguridad de los vuelos, porque muchas de las decisiones se toman en forma instintiva en lugar de objetivas. Se relacionan más con un asunto de opciones que con un hecho.
Lo mismo sucede a menudo en seguridad de IT. Un estudio reciente encargado por McAfee y realizado por London School of Economics, descubrió que la falta de puntos de referencia hace difícil que los directores de seguridad y CIO puedan estimar niveles adecuados de inversión o grados de sofisticación técnica.
“La falta de puntos de referencia dificulta que podamos evaluar el valor o la eficiencia de nuestras acciones, dado que el único indicador real que se tiene respecto de los niveles de seguridad son las brechas. Pero las brechas ocurren en tan pocas ocasiones que no se pueden considerar un indicador confiable”.
Ejecutivo de seguridad, Suecia** |
Parte del problema es que la seguridad de IT ha evolucionado mucho durante los últimos dos años, que ya no estamos en la época en que un gusano de correo masivo podía distribuirse en todo el mundo infectando millones de PC en cuestión de horas. En lugar de eso, las empresas se enfrentan a amenazas más letales y focalizadas desde el exterior y se está experimentando un aumento de las vulnerabilidades que se encuentran en el interior de la organización y que imponen sus propios empleados. Y además, tenemos que considerar el cumplimiento de las normas, que, de acuerdo con Gartner, seguirán siendo el impulsor más importante para el gasto en seguridad de la información hasta el año 2010.
Los directores de seguridad se enfrentan a una amplia variedad de riesgos de seguridad para sus empresas, los cuales es necesario mitigar usando un presupuesto limitado, que en sí puede ser difícil de justificar a nivel de la junta de directores. Simplemente no es posible contrarrestar todos los riesgos de seguridad, lo que significa que los directores de seguridad a menudo recurren a la toma de decisiones a nivel táctico, asignando recursos al problema más urgente, el que puede ser urgente sólo según la opinión de un proveedor o para otros directores de seguridad. Sin datos objetivos y sólidos sobre el nivel de riesgo de seguridad de IT que enfrenta la empresa, solicitar más presupuesto a la junta de directores puede ser un verdadero desafío.
Avanzar hacia un enfoque más objetivo y estratégico para la seguridad significa en primer lugar aceptar que es inevitable algún nivel de riesgo de seguridad. Los recursos siempre serán limitados y, por lo tanto, se hace necesario asignar prioridades. Un enfoque estratégico implica equilibrar los recursos en relación con las prioridades a fin de alcanzar un nivel aceptable de riesgo.
Con esto, la segunda etapa de un enfoque estratégico exitoso debe ser comprender el entorno de la empresa y sus prioridades, identificando los activos que son críticos para la operación continua del negocio. Relacionado con esto, se encuentra la comprensión de los requisitos que imponen las reglamentaciones gubernamentales a la empresa. Mientras que los sistemas que apoyan los servicios financieros de un banco son fundamentales para el negocio, la integridad de los datos de los clientes es crítica para la legislación. Esta relación entre recursos de seguridad de IT y sistemas de prioridad de negocios es esencial para justificar en definitiva el gasto en seguridad de IT.
Comprender la propuesta de valor también es primordial para implementar buenos controles de seguridad con los recursos disponibles. ¿Qué se considera una buena inversión en términos del valor que se obtiene cuando se trata de un nuevo firewall, aplicación de parches, encriptación, capacitación, controles físicos o lo que sea entre una amplia cantidad de tecnologías o herramientas? ¿En qué gastamos el dinero y por qué era importante? Con demasiada frecuencia, estas decisiones se toman sin métricas efectivas y la industria está repleta de esas historias de guerra, la mayoría de las cuales no terminan bien. Los directores de seguridad deben ser capaces de responder la pregunta “Cuán seguros estamos" sin recurrir a respuestas vagas no justificables (mal, bien, mejor, aprobado).
En la actualidad, las organizaciones de seguridad tienen una gran cantidad de herramientas y tecnologías de seguridad, escáner, consola, administradores de eventos, etc. El elemento crítico que falta es la capacidad para proporcionar una metodología de proceso replicable, como el Modelo de madurez de capacidades (CMM, Capability Maturity Model). Además, el proceso debe basarse en métricas objetivas si tomamos en cuenta el viejo adagio comercial “no puedes administrar lo que no puedes medir”. Los grupos de negocios, grupos de ventas, grupos de fabricación, deben producir métricas basadas en decisiones claras todos los días, de manera que puedan administrar las expectativas.
Las métricas deben ser criterios de decisión basados en el negocio (no en aciertos del firewall o en correos electrónicos escaneados o datos similares que son informacionales y no datos basados en decisiones) y el director de seguridad debe ser capaz de demostrar una clara tendencia de reducción del riesgo y demostrar datos objetivos que apoyen el cumplimiento de las normas.
Simplemente no hay excusas para la toma de decisiones en forma subjetiva cuando se trata de la seguridad de IT en grandes empresas. Los hechos sirven para tomar decisiones objetivas. Si usted conoce cuáles son los sistemas críticos para su negocio y puede ver el nivel de riesgo que enfrentan estos activos, es posible tomar decisiones precisas e informadas sobre a dónde dirigir los recursos o dónde se necesitan inversiones adicionales. Finalmente, las decisiones de seguridad de IT se deben basar en los requisitos específicos de la empresa y no en las opiniones de la industria en general.
*Dr. Martin Carmichael, director de seguridad de McAfee.
Evite sitios Web peligrosos, usando McAfee SiteAdvisor™. Descarga GRATUITA aquí
Fuente http://www.mcafeenewsletter.com.br
