RSA, la División de Seguridad de EMC (NYSE:EMC), ha presentado un nuevo informe elaborado por el Consejo de Seguridad para la Innovación Empresarial en el que se muestra a las organizaciones cómo conseguir que sus negocios sean más competitivos cambiando los obsoletos e inflexibles procesos que gestionan el uso y la protección de los activos de la información. El informe destaca y proporciona las áreas clave de mejora, técnicas optimizadas y recomendaciones para construir y planificar nuevos procesos que ayuden a las empresas a ser más competitivos y a gestionar, de forma más eficaz, los riesgos de seguridad.
En este informe, titulado Transformando la Seguridad de la Información: Procesos a Prueba de Futuro, el Consejo observa que las divisiones de negocio dentro de las organizaciones están adquiriendo un papel más importante dentro de la gestión del riesgo de la información. Sin embargo, los procesos de seguridad obsoletos obstaculizan la innovación y hacen que cada vez resulte más complicada la lucha contra los nuevos riesgos de ciberseguridad. El Consejo muestra un camino para que los equipos especializados en la seguridad de la información puedan colaborar de forma más cercana con las distintas divisiones del negocio con el fin de establecer nuevos sistemas y procesos que logren identificar, evaluar y realizar un seguimiento de los riesgos de forma más rápida y precisa.
El nuevo informe defiende que las áreas propicias para optimizar los procesos son las de medición de riesgos, participación de los departamentos del negocio, evaluaciones de control, evaluación de riesgos de terceros y detección de amenazas. El Consejo también ofrece cinco recomendaciones sobre cómo poner en marcha programas de seguridad de la información para ayudar a los departamentos de Negocio a sacar partido de la situación y lograr una ventaja competitiva:
- Dejar de ser “técnico” para enfocarse en procesos críticos del negocio. Hay que dejar atrás el punto de vista estrictamente técnico a la hora de proteger los activos de información y considerar cómo se está utilizando la información en el desarrollo del negocio. Es necesario trabajar con las distintas divisiones para documentar los procesos críticos del negocio.
- Establecer estimaciones de negocio sobre los riesgos de ciberseguridad. Desarrollar técnicas para poder describir los riesgos de ciberseguridad en términos de negocio e integrarlas dentro del proceso de asesoramiento de riesgos.
- 3. Establecer evaluaciones de riesgos centradas en el negocio.
Utilizar herramientas automatizadas para el seguimiento de los riesgos de la información de manera que las divisiones de negocio puedan tomar un papel activo en la identificación de los peligros y en la mitigación de los riesgos, asumiendo, de esta forma, una mayor responsabilidad en lo que a la seguridad respecta. - Establecer un mecanismo para garantizar los controles basados en evidencias.
Desarrollar y documentar capacidades para recopilar datos que prueben la eficacia de los controles de forma continua. - Desarrollar técnicas de recogida de datos.
Establecer mecanismos de arquitectura de datos que puedan mejorar la visibilidad y el proceso analítico. Considerar las preguntas de análisis de datos a las que se puede dar respuesta a fin de identificar las fuentes pertinentes de datos.