Comparte:
Ciberseguridad
20 de mayo de 2015

Los nuevos retos de un CISO con la cabeza en la nube

Los nuevos retos de un CISO con la cabeza en la nube

Los nuevos retos de un CISO con la cabeza en la nube

Escrito por , 20/05/2015

Los departamentos de Tecnologías de la Información de las empresas deben evolucionar para convertirse en impulsores de la evolución tecnológica que sustentará los nuevos modelos de negocio necesarios. Así se recoge en el último Informe sobre la Sociedad de la Información en España de Fundación Telefónica.

A continuación repaso algunas nuevas tendencias que afectan sobre todo a los CISO (Chief Information Security Officer)

  1. De “Bring your own device” a “Bring your own application”. Según el informe, un 39 por ciento de los responsables TI consideran que su papel debe ser el de un bróker o consultor para las líneas de negocio, más que el mero suministrador de todos los servicios. Esto tiene especial impacto en lo referente a la seguridad. Por ejemplo, ya no sólo se está consolidando la tendencia BYOD (Bring Your Own Device), sino también el BYOA (Bring Your Own Application), es decir, el uso por parte de los trabajadores de aplicaciones propias que pueden comprometer la seguridad de la empresa. Se estima que hay una media de 20 app personales en los dispositivos empleados para trabajar y un número creciente de empleados que utilizan sus dispositivos particulares. Es lo que se ha dado en llamar “shadow IT”, algo así como “TI en la sombra”, es decir, aquellos elementos hardware y software no soportados por el departamento TI.
  2. Gestión del dispositivo versus gestión de la aplicación. La empresa puede verse obligada a proteger y gestionar unos dispositivos que no son suyos usando herramientas MDM (Mobile Device Management) y, en ocasiones, a aplicar políticas que no son del gusto del usuario (y propietario) del dispositivo. Ésta es una de las razones por las que veremos un incremento de soluciones MAM (Mobile Application Management), con las que la empresa deja de poner la atención en la seguridad específica del dispositivo, que será cosa del usuario, para centrarse en securización de las aplicaciones que se usen en el entorno empresarial. Esta solución de compromiso, como mínimo de forma teórica, parece más adecuada: es el empleado el que se responsabiliza si así lo desea, y con el método que él elija: antivirus, antimalware… de proteger su dispositivo y es la empresa quien garantiza la “seguridad del dato”.
  3. La nube dinamiza pero también diluye el perímetro de seguridad. La misma tecnología cloud que está haciendo que los departamentos TI innoven, es la que está diluyendo el perímetro que es necesario securizar. Ahora la tecnología que empleamos no siempre reside en la organización y ello añade nuevas vulnerabilidades en la relación de la empresa con clientes, empleados y socios. En este sentido, el CISO dispone de diferentes herramientas, el cumplimiento normativo debe ser una aproximación  necesaria pero no suficiente.
  4.  La continuidad de los procesos de negocio es clave. El CISO ya sabe que la dificultad de un ataque a la infraestructura de la empresa cada vez es menor; además, la tecnología es para la mayoría de las compañías un elemento crítico en los procesos de negocio, por ello, debe elaborar los planes adecuados para que la recuperación frente a un ataque (u otra eventualidad) se produzca en el menor plazo posible. El hecho es que, casi con toda probabilidad, todas las empresas van a ser atacadas en algún momento, por lo que la capacidad de seguir operando tras un ataque es clave.

Pero, pese a todo lo que hemos visto, la inversión en seguridad sigue siendo básicamente reactiva, se pone énfasis en ella si se sufre un ataque o, progresivamente, para cumplir con la regulación. De forma natural se sigue reaccionando de manera lenta a la incorporación progresiva del BYOD y del BYOA, así como al hecho de que cada vez más infraestructura migre a la nube.

Con todos estos retos, ¿cómo es el CISO que necesitan las empresas?

Debe comprender y hacer entender el nuevo reto que plantea la seguridad para la propia supervivencia del negocio y ser capaz de gestionarla en el presente y pensando proactivamente en el futuro. Para ello, según un estudio de la consultora Penteo, este puesto debe ocuparlo alguien con un perfil acreditado dentro de la organización y con autoridad suficiente.

Junto a sus capacidades de liderazgo también es importante la capacitación continua e impulsar la certificación de los responsables de seguridad de las empresas, así como la colaboración externa con ecosistemas relevantes: instituciones públicas y privadas.

La complejidad de todo esto explica en parte una evolución más lenta de lo deseable en la incorporación de nuevas tecnologías de manera segura en las organizaciones.

Imagen: Phil Roeder

 

Sobre el autor

Joan Parra Torronteras

Joan Parra Torronteras

Ingeniero informático y licenciado en marketing. Trabajo en el departamento de Ingeniería de clientes, impulsando la adopción de las TIC en las empresas para la consecución de sus objetivos de negocio. Interesado en social media y marketing digital. Me encanta viajar
Ver todos sus artículos »