RSA anunció hoy la publicación del informe de seguridad más reciente del Business Innovation Council (SBIC), que proporciona pautas para que las organizaciones puedan transformar los procesos de seguridad con el objetivo de ser más proactivas en la administración de los riesgos de seguridad cibernética. El informe destaca áreas clave de mejora, técnicas actualizadas y recomendaciones prácticas para desarrollar y planificar nuevos procesos que ayudan a capacitar a los equipos de seguridad para enfrentar los emergentes riesgos cibernéticos y estar mejor preparados para el futuro.
En el informe más reciente titulado Transforming Information Security: Future-Proofing Processes (Transformación de la seguridad de la información: procesos probados para el futuro), SBIC destaca que los grupos de negocios dentro de las organizaciones están asumiendo mayor responsabilidad sobre la administración de riesgos de la información. Los procesos de seguridad actuales crean barreras para la colaboración, lo que genera que resulte aún más difícil combatir los riesgos de seguridad cibernética de la actualidad. Los equipos de seguridad de la información deben trabajar en conjunto con las unidades de negocios para establecer sistemas y procesos que permitan identificar, evaluar y realizar un seguimiento de los riesgos de manera eficaz.
El nuevo informe revela detalles clave de las áreas que se pueden mejorar, como medición del riesgo, compromiso empresarial, evaluaciones de control, evaluaciones de riesgos por parte de terceros y detección de amenazas. SBIC también brinda cinco recomendaciones sobre cómo introducir mejoras, permitir el avance de los programas de seguridad de la información y prepararse para el futuro:
1. Cambiar el enfoque de activos técnicos a procesos críticos del negocio
Dejar atrás un punto de vista estrictamente técnico de protección de los activos de información y evaluar la forma en que se utiliza la información al realizar negocios. Se debe trabajar con las unidades de negocios para documentar los procesos críticos del negocio.
2. Implementar cálculos del negocio relacionados a los riesgos de seguridad cibernética
Desarrollar técnicas para describir los riesgos de seguridad cibernética en términos del negocio e integrar el uso de cálculos del negocio en los procesos de asesoramiento sobre riesgos.
3. Establecer evaluaciones de riesgos centradas en el negocio
Utilizar herramientas automatizadas para realizar un seguimiento de los riesgos de la información para que las unidades de negocios sean responsables de la administración de los riesgos.
4. Fijar el rumbo hacia la garantía de los controles basados en las pruebas
Desarrollar la capacidad para recopilar datos pertinentes con el fin de probar la eficacia de los controles de manera constante.
5. Desarrollar técnicas de recopilación de datos estratégicas
Planificar una mejora integral de la arquitectura de recopilación, generar registros con más datos importantes y aumentar la capacidad de almacenamiento de datos. En primera instancia, se deben analizar los tipos de preguntas que el análisis de datos puede responder para identificar las fuentes relevantes de datos.
Para Art Coviello, Vicepresidente Ejecutivo, EMC, Executive Chairman, RSA, de la División de Seguridad de EMC, “para que la empresa realice innovaciones exitosas en el mundo digital de la actualidad, los equipos de seguridad deben emplear un esfuerzo de administración de riegos cibernéticos más proactivo que se diferencie de los antiguos enfoques basados en el perímetro y se centre en el trabajo conjunto con los negocios. Los procesos actualizados que SBIC describe permitirán que las organizaciones obtengan mayor visibilidad e identifiquen con mayor precisión los riesgos”.
Por su parte Dave Martin, Vicepresidente y Chief Information Security Officer, de EMC Corporation, destacó que “la documentación de los procesos del negocio debe ser un esfuerzo conjunto que refleje de forma fiel cuáles son los riesgos para el sistema. Nunca podremos comprender el valor comercial de la información con la misma precisión que los propietarios de los negocios y, por el otro lado, ellos nunca comprenderán las amenazas con la misma precisión que los equipos de seguridad”.
Security for Business Innovation Council es un grupo de los principales ejecutivos de seguridad de empresas Global 1000 comprometidos con el logro de avances en la seguridad de la información en todo el mundo. En tal sentido, comparten sus diversas experiencias profesionales y conocimientos.SBIC genera informes periódicos en los que explora el papel central de la seguridad de la información en el marco de la innovación comercial.Este informe constituye la segunda entrega de una serie de tres partes para desarrollar un programa de seguridad de la información de última generación. El primer informe se titulaba Transforming Information Security: How to Build a State-of-the Art Extended Team (Transformación de la seguridad de la información: cómo desarrollar un equipo integral de vanguardia).