Conozca qué desean los profesionales de seguridad en Navidad

Seguridad. Esas nueve letras que tantas veces ha sido escrita, nombrada y hasta cuestionada en cientos de reportajes en este portal. Esa palabra que es un “dolor de cabeza” para todos, sea como sea que la usemos, la vuelvo a utilizar para lo que creo, una buena acción. A pocas horas de celebrar la fecha más trascendental de la historia le solicité a varios ejecutivos de seguridad en una variedad de industrias, qué les gustaría incluir en sus listas de deseos navideños.

Algunas de las respuestas las catalogué como irreales, imposibles de cumplir o ubicables en el reino de la fantasía pura. Por ejemplo, un jefe de seguridad pidió herramientas tecnológicas que abordan todas las principales amenazas a la seguridad, que no cuesten nada y que tengan un apoyo 7x24x365 y con los tiempos de respuesta dentro de los primeros 15 minutos. ¡No aspira a nada el susodicho!

La mayor parte de los deseos solicitados apenas superan la realidad, y algunos incluso podrían hacerse realidad si los factores se alineasen de la manera correcta. Así, que con la finalización de otro año, presentamos una lista de lo que los ejecutivos de seguridad dicen que están esperando, ya que siguen en su misión de proteger los sistemas y los datos de sus organizaciones. Como siempre, no son todos los que están, ni están todos los que son

David Barton, CISO en Websense

Su solicitud: Herramientas de seguridad integradas, ya que en su opinión los CISO se enfrentan con herramientas de seguridad cada vez más complejas que no se comunican entre si, lo que conlleva a problemas y pérdida de tiempo. “Para 2016, quiero más productos de seguridad que hablar y comunicarse entre sí mediante el intercambio basado en estándares como Stix y TAXI.”

Otro “petición navideña” fue la referente a la seguridad en la sala de juntas. Afirma que el papel de los CISOs sólo es tomado en cuenta cuando hay una crisis. “La seguridad no pertenece o puede ser tema de conversación exclusivamente de las salas de juntas; reuniones de altos ejecutivos y de expertos en estrategias negocios. Mi deseo para 2016 es mayor visibilidad a nivel del consejo de CISO, donde podemos proporcionar asesoramiento y orientación para que el negocio tenga éxito en una manera segura”.

María Chaney, directora de seguridad de la información en Johnson & Johnson

“Mi mayor deseo es que la varita mágica que utilizo para trabajar funcione y haga que todas las aplicaciones y bases de datos que utilizo sean seguras”.

La ejecutiva afirma que es necesario que haya un cambio en el pensamiento acerca de cómo las empresas tratan y gestionar las vulnerabilidades a nivel de red, aplicaciones y bases de datos. “Estas vulnerabilidades hablan de la exposición al riesgo real que una organización tiene y que es, por cierto, el factor más importante para cualquier negocio”.

“El tema de la seguridad de la información ha crecido como hijo de TI, y es una advertencia para los profesionales que creen que una red endurecida es la respuesta. Hemos construido programas enteros seguridad de la información alrededor de defensa de la red cibernética tradicional y eso no funciona más. Como profesionales tenemos que cambiar nuestros pensamientos y centrarnos en la conexión entre la tecnología y el riesgo“.

Erkan Kahraman, CSO en Planview

“El año pasado había deseado la concresión de las metas en seguridad y estoy terminando el trimestre con el sentimiento de haber logrado precisamente eso. Para el próximo año, estoy deseando encontrar especialistas en seguridad de la información calificados para incorporarlos a mi equipo en crecimiento. Son tan difíciles de conseguir hoy en día. ”

Kahraman confiesa  que como cualquier otro CSO, se siente frustrado, ya que las peticiones que hizo el año pasado sobre el tema, ninguna se hizo realidad.

Robert J. Schadey, CISO y director de servicios de infraestructura de  Group 1901

“Mientras estoy sentado en el aeropuerto de la ciudad de Kansas, padeciendo un retraso de 12 horas, lo primero que se me ocurre desear es poseer el poder de la teletransportación”.

Añade que a menudo queremos mantener el ritmo y generalmente movernos demasiado rápido hacia las soluciones, sin examinar los requisitos. Schadey es de la opinión que mientras no se considere a la ingeniería de seguridad como algo realmente importante, “seguiremos atornillando el tema con modificaciones técnicas, y averiguando luego los métodos para hacer frente a los requisitos de cumplimiento”.

“Es mucho más fácil trabajar y conducir las funciones de seguridad y saber qué capacidades deben ser activadas con la ingeniería de seguridad“.

Roland Cloutier, vicepresidente y OSC en Automatic Data Processing

“Espero que los arquitectos, ingenieros y especialistas en diseño de productos para la división de tecnologías navideñas de seguridad estén considerando el desarrollo de una plataforma automatizada con realmente eficaces controles; desde un soporte de decisiones para controlar la validación, e incluso la existencia de componentes de gestión de auditoría. Imagina la capacidad de mirar a una consola activa, que indica que todos mis controles están funcionando y me permite entender su necesidad, su eficacia, y las oportunidades para la distribución, consolidación o eliminación del problema. Sí, ya sé lo que quiero para Navidad “.