Magazine

Estudio IBM revela transformación crítica en el rol de los ejecutivos de seguridad de la información globalmente

Publicado el 08 mayo 2012 por Erasmo
Bienvenidos al Sitio Web www.informanet1.com Director General: Erasmo Martínez Cano… Comentarios y sugerencias: Editor: Erasmo Martínez / Javier Tlatoa ( [email protected] ) ( [email protected] ) Informanet Videos

-   Análisis de más de 130 entrevistas presenta una nueva clase de ejecutivo de seguridad, denominado CISO. El rol del CISO sigue la evolución del CIO y el CFO, con responsabilidades más estratégicas en la organización.
México, D.F., a 6 de mayo de 2012: Un nuevo estudio de IBM (NYSE: IBM) revela una evolución clara en las organizaciones de seguridad de la información y sus líderes: 25% de los directores de seguridad encuestados están pasando de un enfoque en la tecnología a un rol de liderazgo de negocios estratégico.
En el primer estudio de IBM sobre ejecutivos de seguridad, los consultores del IBM Center forAppliedInsights entrevistaron a más de 130 líderes de seguridad a nivel mundial, y descubrieron tres tipos de líderes en base a la preparación que poseen para enfrentar violaciones de seguridad y la madurez general del área de seguridad. Aproximadamente una cuarta partes de los entrevistados son ejecutivos de seguridad senior, del tipo “Influenciador”, que en general influencian las estrategias de negocio de sus empresas y se sienten más seguros y preparados que sus pares en las otras categorías, las de “Protectores” y “Respondedores”.
En general, todos los líderes de seguridad hoy enfrentan intensas presiones, pues tienen la responsabilidad de proteger algunos de los activos más valiosos de sus empresas: dinero, datos de clientes, propiedad intelectual y marcas. Casi dos terceras partes de los ejecutivos de seguridad (ChiefInformation Security Executives, CISO) encuestados manifestaron que la alta dirección está prestando más atención a la seguridad hoy día que hace dos años. Frente a una serie de violaciones de datos y ataques de hackers de alto perfil, los altos niveles gerenciales se han convencido del papel clave que desempeña la seguridad en la empresa moderna. Más de la mitad de los encuestados citó la seguridad móvil como preocupación central en el área de tecnología en los próximos dos años. Casi dos terceras partes de los encuestados estiman que el gasto en seguridad de la información aumentará durante los dos próximos años, y de ellos, 87% cree que los aumentos estarán en el rango de dos dígitos.
En lugar de limitarse a responder a los incidentes de seguridad, el rol del CISO se orienta más hacia la gestión riesgos holística e inteligente; en lugar de salir a apagar incendios, se está enfocando en anticiparlos y mitigarlos antes de que se produzcan. Surgieron varias características notables entre las prácticas de seguridad maduras de los “Influenciadores” en una variedad de organizaciones:
·   La seguridad vista como un imperativo de negocios (versus tecnología): Uno de los atributos principales de una organización líder es haber logrado la atención de los líderes de negocio y sus directorios. La seguridad no es un tema ad hoc, sino más bien una parte habitual de los debates de negocio y, cada vez más, de la cultura. De hecho, 60% de las organizaciones avanzadas nombran la seguridad como un tema habitual en la sala de directorio, en comparación con sólo 22% de las organizaciones menos avanzadas. Estos líderes comprenden la necesidad de una conciencia del riesgo más generalizada, y se encuentran mucho más enfocadas a la educación, colaboración y comunicación en toda la empresa. Las organizaciones de seguridad visionarias tienen más probabilidad de establecer un comité de dirección de seguridad para alentar enfoques sistémicos respecto de cuestiones de seguridad que abarcan asuntos legales, operaciones comerciales, finanzas y recursos humanos. 68% de las organizaciones consideradas más avanzadas en esta área contaban con un comité de riesgo, frente a sólo 26% del grupo menos avanzado.
·   Uso de toma de decisiones y mediciones basadas en datos: Las organizaciones líderes tienen el doble de probabilidad de utilizar métricas para monitorear el progreso, según mostró la evaluación (59% versus 26%). Hacer un seguimiento de la concientización de los usuarios, la educación de los empleados, la capacidad de manejar amenazas futuras y la integración de nuevas tecnologías puede ayudar a crear una cultura de conciencia del riesgo. Y un monitoreo automatizado de métricas estandarizadas permite a los CISO dedicar más tiempo a enfocarse en riesgos más amplios y sistémicos. 
·   Responsabilidad presupuestaria compartida con los directores de nivel “C”: El estudio demostró que dentro de la mayoría de las organizaciones, los CIO en general tienen control del presupuesto de seguridad de la información. Sin embargo, entre las organizaciones de alto rango, la autoridad sobre la inversión reside con mayor frecuencia en los líderes de negocio. En las organizaciones más avanzadas, los CEO tenían la misma probabilidad que los CIO de dirigir los presupuestos de seguridad de la información. Las organizaciones de menor rango a menudo carecían de una partida presupuestaria dedicada, lo cual indica un enfoque más táctico y fragmentado de la seguridad. 71% de las organizaciones avanzadas tenían una partida presupuestaria exclusivamente para seguridad, en comparación con 27% del grupo menos maduro.
“Estos datos pintaron un perfil de una nueva clase de líderes CISO que están desarrollando una voz estratégica, y allanando el camino hacia una posición más proactiva e integrada de la seguridad informática,” comentó David Jarvis, autor del informe y consultor seniordel IBM Center forAppliedInsights. “Vemos que la trayectoria del CISO ahora está madurando en forma similar a la del director de finanzas (CFO) desde la década de 1970 y el director de informática (CIO) desde la década de 1980: de técnico a habilitador de negocios estratégicos. Esto demuestra cómo la seguridad de TI se ha convertido en una parte integrante clave de las organizaciones.”Recomendaciones para la evolución del rol de seguridad en una empresaPara crear una organización de seguridad más firme y capaz, IBM reconoce que los líderes de seguridad deben construir un plan de acción basado en sus capacidades actuales y necesidades más urgentes. El informe ofrece consejos prescriptivos basados en sus conocimientos de cómo las organizaciones pueden avanzar en base a su nivel de madurez actual.
Por ejemplo, los “Respondedores” en la etapa inicial de la madurez en seguridad, pueden ir más allá de su enfoque táctico estableciendo un rol de liderazgo en seguridad dedicado (un CISO), armando un comité de seguridad y riesgo que mida los avances, y automatizando los procesos de seguridad rutinarios, para dedicar más tiempo y recursos a la innovación en seguridad.
“La seguridad en una era híper-conectada presenta un nuevo conjunto de desafíos, pero estos pueden aliviarse considerablemente implementando prácticas innovadoras y adoptando un enfoque más integrado y holístico,” indicó Marc van Zadelhoff, un autor del informe y vicepresidente de Estrategia de IBM Security Systems. “Los CISO que priorizan estos factores pueden ayudar a sus organizaciones a mejorar significativamente los procesos de negocio y lograr un éxito mensurable en su avance hacia la construcción de una cultura consciente del riesgo que sea ágil y esté bien equipada para afrontar amenazas futuras.”
Acerca de la EvaluaciónEl estudio desarrollado por el IBM Center forAppliedInsights, titulado “Finding a strategicvoice: Insightsfromthe 2012 IBM ChiefInformation Security OfficerAssessment”(Encontrar una voz estratégica: Visiones de la Evaluación de Directores de Seguridad de la Información 2012 de IBM) abarcó a organizaciones que cubren una amplia gama de sectores en siete países. Durante el primer trimestre de 2012, el Centro realizó entrevistas a doble ciego con 138 altos ejecutivos de negocio y de TI responsables de la seguridad de la información en sus organizaciones. Casi 20% de los encuestados dirigen la seguridad informática en empresas de más de 10.000 empleados y 55% se encuentran en empresas de 1000 a 9999 empleados.
Para ver el estudio completo, visite: ibm.com/smarter/cai/security.
Acerca de IBM SecurityLa cartera de seguridad de IBM ofrece la inteligencia de seguridad necesaria para ayudar a las organizaciones a proteger en forma holística su gente, sus datos, aplicaciones e infraestructura. IBM ofrece soluciones para la gestión de identidades y accesos, administración de eventos e información de seguridad, seguridad de base de datos, desarrollo de aplicaciones, gestión de riesgos, administración de puntos terminales, seguridad de redes y más. IBM conduce la organización de investigación y desarrollo en seguridad más amplia del mundo. Incluye nueve centros de operaciones especializados en seguridad, nueve centros de la unidad IBM Research, 11 laboratorios de desarrollo de software de seguridad, y un Instituto para la Seguridad Avanzada, con capítulos en EEUU, Europa y Asia Pacífico. IBM monitorea 13 mil millones de eventos de seguridad por día en más de 130 países, y tiene más de 3000 patentes en seguridad.
Para ver más información sobre soluciones de seguridad de IBM, visite: www.ibm.com/security.
regresar/homeregresar/home

Volver a la Portada de Logo Paperblog