IBM ha dado a conocer los resultados de su primer estudio sobre la situación de los responsables de seguridad de las empresas, CISO – Chief Information Security Officer. El informe, que se basa en la información recopilada por IBM a través de más de 130 entrevistas a altos directivos relacionados con la seguridad en todo el mundo, muestra una clara evolución en el papel que juegan en las empresas, dejando a un lado en enfoque meramente tecnológico y asumiendo mucha mayor responsabilidad en la estrategia del negocio (el 25% de los encuestados).
El estudio clasifica además a los responsables de seguridad en tres categorías en función de su nivel de preparación. Los “influenciadores” representan aproximadamente un 25% de los entrevistados y son aquellos que influyen en la estrategia de negocio de sus empresas, están mejor preparados y tienen una mayor experiencia que los integrantes de las otras dos categorías, los “protectores” y los “que dan respuestas”.
En general, los responsables de seguridad están actualmente bajo una intensa presión, ya que son los encargados de proteger algunos de los activos más valiosos de sus empresas, desde el dinero a los datos de los clientes o la propiedad intelectual y la marca. Casi dos tercios de los CISOs encuestados afirman que los altos directivos están prestando más atención a la seguridad que hace dos años. El creciente número de ataques a la seguridad y vulnerabilidades les ha convencido del papel clave que debe jugar la seguridad en la empresa moderna. Al mismo tiempo, más del 50% de los encuestados citaron la seguridad móvil como una de sus principales preocupaciones para los próximos dos años y casi dos tercios de ellos esperan un incremento en los presupuestos destinados a la seguridad (el 87% de ellos prevé incluso incrementos de dos dígitos).
En lugar de ejercer un papel meramente reactivo ante los ataques o incidentes, los responsables de seguridad están evolucionando hacia una gestión del riesgo más inteligente (pasando de tratar de apagar fuegos a luchar para prevenirlos antes de que aparezcan). Entre las principales características que definen a los responsables de seguridad más preparados, los “influenciadores”, destacan las siguientes:
· Percepción de la seguridad como imperativo de negocio (más que tecnológico): La seguridad debe ser tema habitual en las reuniones de negocio. De hecho, el 60% de las organizaciones más avanzadas consideran la seguridad como un tema clave en sus reuniones, en comparación con sólo el 22% de las organizaciones menos avanzadas. Estos líderes tiene mayor conciencia de los riesgos a los que se enfrentan y dan mayor protagonismo a la formación, comunicación y colaboración de sus equipos. Las empresas con mayor visión de futuro son más propensas a establecer un comité directivo de seguridad, que sea capaz de responder a los desafíos de una forma global, teniendo en cuenta todos los enfoques, desde el legal, al de negocios, financiero o de recursos humanos. El 68% de las empresas más avanzadas disponían de un comité de riesgos, frente a sólo el 26% de las menos avanzadas.
· Toma de decisiones basada en datos y medición: las empresas avanzadas son el doble de susceptibles de usar ciertos baremos para medir su evolución; concretamente según la encuesta, el 59% frente 26%. El seguimiento del conocimiento del usuario, la formación de los empleados, la capacidad para hacer frente a futuras amenazas y la integración de las nuevas tecnologías pueden ayudar a generar una cultura de conciencia de los riesgos. Asimismo, un seguimiento y control automatizado de baremos estandarizados permite a los CISO dedicar más tiempo a centrarse en los riesgos más amplios y sistémicos.
· Responsabilidad presupuestaria compartida con el equipo directivo: el estudio destaca que en la mayoría de las organizaciones son los CIOs quienes controlan el presupuesto de seguridad de la información. Sin embargo, entre las empresas más avanzadas, la responsabilidad de la inversión y de la gestión del presupuesto de la seguridad de la información recae frecuentemente en los directores generales. Los datos del estudio muestran, además, que en las organizaciones menos avanzadas a menudo carecen de una partida presupuestaria destinada por completo a la seguridad de la información, lo que demuestra que tienen un enfoque más táctico y fragmentado a este respecto. El 71% de las organizaciones más avanzadas tienen un presupuesto específico de seguridad frente al 27% de las organizaciones menos avanzadas.
Recomendaciones para evolucionar la función de seguridad en una empresa
En el informe, IBM recomienda a los responsables de seguridad la creación de un plan de acción sobre la base de sus capacidades actuales y las necesidades más apremiantes. El informe ofrece una serie de consejos sobre cómo las organizaciones pueden avanzar en función de su nivel de madurez actual.
Por ejemplo, aquellos responsables de seguridad que se encuentran en la categoría de los que “dan respuestas” en la primera etapa de madurez en materia de seguridad pueden superar su enfoque táctico estableciendo un cargo específico dedicado a la seguridad (como, por ejemplo, un CISO), creando de un comité de seguridad y riesgo que mida el progreso o apostando por la automatización de los procesos rutinarios de seguridad para dedicar más tiempo y recursos a la innovación de seguridad.
