La misión de la seguridad de la información ha evolucionado para incluir actividades técnicas y centradas en el negocio avanzadas. La intensificación de los ataques cibernéticos, el aumento del escrutinio normativo y un ambiente empresarial hiperconectado ha impulsado esta evolución.
¿Qué se requiere para administrar los riesgos de los activos de información en una empresa global en la actualidad?
¿Qué se requiere para administrar los riesgos de los activos de información en una empresa global en la actualidad?
Mucho más de lo que se necesitaba hace algunos años. En especial, durante los últimos 18 meses se han agregado requisitos debido a la intensificación de los ataques cibernéticos, la adopción ferviente de nuevas tecnologías, el aumento de escrutinio normativo y un ambiente empresarial hiperconectado.
La misión de la seguridad de la información ya no es solo “implementar y operar los controles de seguridad”, sino que ha evolucionado para incluir actividades técnicas avanzadas y centradas en el negocio; por ejemplo: análisis de riesgo empresarial, valoración de activos, integridad de la cadena de abastecimiento de TI, inteligencia cibernética, análisis de datos de seguridad, data warehousing y optimización de procesos.
Se requieren muchos conjuntos de habilidades nuevas, por lo que un reto significativo para crear un equipo eficaz es la falta de profesionales con las habilidades adecuadas.
Una oportunidad que está surgiendo es que, en muchas organizaciones, el personal que no pertenece al área de seguridad está detectando que ellos, y no el personal de seguridad, son responsables de sus activos de información y que deben asociarse de manera activa con el área de seguridad para administrar esos riesgos.
Para lograr el éxito, la función de la seguridad de la información es un esfuerzo interorganizacional, con procesos de seguridad integrados profundamente con los procesos del negocio.
El equipo ampliado incluye personal de TI, unidades comerciales y departamentos como el legal, de adquisición y de marketing.
El equipo de seguridad de la información principal rige y coordina el esfuerzo general y realiza las tareas que requieren centralización o un conocimiento especializado.
Existen siete recomendaciones que brindan una guía para crear un equipo ampliado de última generación a fin de administrar eficazmente los riesgos de seguridad cibernética y optimizar el uso de recursos humanos disponibles, y para garantizar que el equipo cuente con los conjuntos de habilidades nuevas necesarias.
1. Vuelva a definir y fortalezca las competencias clave: Concentre al equipo principal para que aumente el conocimiento en cuatro áreas fundamentales: inteligencia de riesgos cibernéticos y análisis de datos de seguridad,
administración de datos de seguridad, consultoría sobre riesgos y garantía y diseño de controles.
2. Delegue las operaciones de rutina: Asigne procesos de seguridad repetibles y bien establecidos a TI, las unidades
comerciales o los proveedores de servicios externos.
3. Solicite o contrate los servicios de expertos: Para determinadas especializaciones, aumente el equipo principal con expertos de dentro y fuera de la organización.
4. Dirija a los responsables de riesgos en la administración de riesgos: Asóciese con el negocio para administrar los riesgos de seguridad cibernética y coordine un enfoque consistente. Facilite esta tarea al negocio y hágalo responsable.
5. Contrate a especialistas en optimización de procesos: En el equipo debe haber personas con experiencia o certificaciones en calidad, administración de proyectos o programas, optimización de procesos y prestación de servicios.
6. Desarrolle relaciones clave: Esté bien posicionado de manera tal que pueda tener influencia sobre los participantes clave, como los propietarios de las “joyas de la corona”, la administración media y los proveedores de servicios subcontratados.
7. Piense de manera creativa en el talento futuro: Debido a la falta de experiencia disponible de manera inmediata, el desarrollo del talento es la única solución verdadera a largo plazo para la mayoría de las organizaciones. Los conocimientos valiosos incluyen administración de bases de datos, desarrollo de software, análisis del negocio, inteligencia militar, oficiales legales o privados, ciencia de datos, matemáticas o historia.