Recomiendan a los CIO desplegar la seguridad TI como si fuera un negocio

 A veces, el equipo de seguridad no debe desplegar todos los parches de software que se les presenten. En este caso, las decisiones de seguridad se basan más en el miedo a los hackers y en una fe ciega en que los parches son la mejor manera de protegerse frente a ellos. En su lugar, lo ideal sería desplegar una estrategia en la que la seguridad TI se ejecutara como un negocio, lo que significa que la reparación de vulnerabilidades se realizara a la máxima velocidad, pero no siempre. Es decir, conseguir que el equipo de seguridad pensase en términos de gestión del riesgo de negocio, lo que no es fácil.

"La seguridad habla un idioma diferente al del negocio", afirma Eliav Levy, CTO de gestión de riesgos de HPE. "Por lo general se centra en la presentación de informes de operaciones técnicas, y la mayoría de las organizaciones no dan ese paso extra de traducirlo al significado del negocio, por lo que los ejecutivos tienen dificultades para equilibrar los riesgos, los costes y el presupuesto. No hay forma de saber cómo gastar el presupuesto de seguridad de una manera que beneficie más al negocio".

La dependencia de indicadores clave de rendimiento y el análisis debe prevalecer sobre el temor a los hackers. Para evaluar dónde está su organización, debe preguntarse si están usted y su equipo de seguridad centrados en el negocio de la seguridad de la información o si su organización sigue sumida en simulacros de incendio reactivos. También debería preguntarse si puede medir el impacto de las actividades de seguridad en su empresa. Por ejemplo, en lugar de preguntarse, "¿Tenemos los parches de seguridad al día?", la pregunta más importante es "¿Cómo está afectando al rendimiento del negocio la gestión de parches?". Según Levy, “el reto para la seguridad es unir los datos procedentes de diferentes herramientas para proporcionar una visión de conjunto sobre el estado de seguridad de la organización".

Según Eliav Levy, se pueden adoptar cuatro pasos para pasar de un modo reactivo a desplegar la seguridad TI como si fuera un negocio:

1. Evaluar el inventario de activos de la organización y entender lo que está en riesgo. Saber lo que se tiene es tener la mitad de la batalla ganada.

2. Establecer la gestión del cambio. Un proceso sólido de gestión del cambio basado en ITIL es crucial para tener una buena base de seguridad.

3. Aplicar un contexto de negocio de indicadores clave de rendimiento. Dos indicadores clave de rendimiento son especialmente importantes a medida que se comienza a tratar la seguridad como un negocio. Uno de ellos es la velocidad del cambio: ¿Cómo de rápido puede reaccionar el negocio para mantenerse a salvo? El otro es la cantidad de interrupciones de negocio causadas por la seguridad: ¿Cuánto tiempo de inactividad se ha producido por cortes?

4. Analizar el impacto de las acciones de seguridad. ¿Cuándo se decide si debe actualizar ese parche o no? Hay que retirar el miedo de la ecuación y tomar decisiones basadas en el análisis. La práctica más eficaz es utilizar un modo de fallo y análisis de efectos para evaluar los posibles riesgos de seguridad.

Para saber más sobre las soluciones de seguridad de Hewlett Packard Enterprise que permiten Proteger la empresa digital, inscríbase al evento Reimagine 2016.