• El presupuesto
dedicado por las compañías a seguridad está entre el 2%
y el 20% del presupuesto total en Tecnologías de la
Información, y varía en función de la tolerancia al
riesgo de la empresa en cuestión
• El sector de Banca es el que menor tolerancia al
riesgo presenta, y por tanto mayor porcentaje dedica a
seguridad. En el otro extremo estaría el sector
industrial |
enviar página |
imprimir |
Giga Group estima que
se necesita una persona dedicada a este cometido por cada
1.000 empleados.
La figura del Responsable o Director de Seguridad de Sistemas
de Información está tomando cada vez más protagonismo dentro
de las compañías, según se desprende de un informe realizado
por la firma de analistas Giga Group y presentado en España
por Telenium.
Muchas grandes empresas están tomando conciencia de la
necesidad de crear unidades permanentes responsables de la
gestión de seguridad de Sistemas de Información, que pongan en
marcha programas de seguridad eficientes y de calidad.
Hasta la fecha, en la mayoría de las empresas la gestión de la
seguridad se ha realizado de forma fragmentada, reactiva e
improvisadora, lo que origina una baja preparación ante
ataques a los sistemas, ya sea por virus, hackers o usos
inadecuados desde dentro de la propia organización.
En el análisis se han detectado cuatro elementos clave a la
hora de implantar programas de seguridad eficientes: gestión,
personal dedicado, presupuestos coherentes y realistas y
posibilidades de medición con las que evaluar de forma
práctica las mejoras.
Una buena parte de los responsables de seguridad con los que
se ha tenido contacto para la elaboración de este informe han
afirmado que el entorno ideal en cuanto a seguridad se
caracterizaría por: existencia de un departamento dedicado a
gestionar la seguridad, dirigido por un responsable con varios
años de experiencia en la materia, con personal cualificado y
entrenado en seguridad y que contara con el soporte de
consultores externos y asesores en seguridad que ayuden a la
toma de decisiones.
Gestión de seguridad
Para lograr una Gestión de Seguridad eficiente es necesario la
dirección de un profesional cualificado en la materia.
Dependiendo del tamaño de la organización, este departamento
tendrá más o menos entidad, reportando a la dirección general
o a otras direcciones subalternas, como la dirección de
Sistemas de Información. en la práctica, y en la actualidad,
este es un rol que está asumiendo el Director de Sistemas.
Entre las competencias del Director de Seguridad estarían:
- Realizar una evaluación de riesgos
- Asesorar sobre medidas de seguridad
- Desarrollar procedimientos
- Supervisar la administración y las políticas de seguridad
- Ser el contacto con consultores y proveedores externos en
materia de seguridad
Departamento de seguridad
Hay que tener en cuenta muchas variables a la hora de
determinar cómo ha de ser el Departamento de Seguridad. Una
vez analizado el riesgo de la compañía, hay tres opciones:
aceptarlo, gestionarlo o mitigarlo. En función de cuál sea la
alternativa elegida, así se configurará este departamento.
Por supuesto, el tamaño de la organización es un elemento
clave a tener en cuenta. La tarea que más recursos requiere es
la gestión diaria de la seguridad: incorporación de nuevos
usuarios, cambio de contraseñas, solución de problemas de
acceso, asignación de PIN´s, gestión de sistemas de
autenticación, etc.
Giga Group estima que se necesita una persona dedicada a este
cometido por cada 1.000 empleados. A este número habría que
añadir un empleado más por cada 6.000 empleados en caso de que
no se utilicen sistemas de autenticación por contraseña o
certificados digitales.
Por el contrario, compañías que han incorporado sistemas de
control de accesos basados en funciones han conseguido reducir
las necesidades de staff en seguridad, pasando de 1 técnico
por cada 1.000 empleados a uno por cada 5.000.
Las grandes corporaciones se servirán cada vez más de
servicios externos de consultores y técnicos expertos en
seguridad, para desarrollar proyectos e implantar
infraestructuras. El director de seguridad puede formar así un
equipo que colabore en mejorar la eficiencia y optimizar la
inversión en seguridad.
Presupuesto en seguridad
Según estimaciones de Giga Group, el presupuesto dedicado por
las compañías a seguridad está entre el 2% y el 20% del
presupuesto total en Tecnologías de la Información, incluyendo
gastos de personal, licencias en tecnología, gestión de
proyectos, etc.
Los acontecimientos recientes, han incrementado la
concienciación de los gestores sobre la importancia de la
seguridad y se dedican mayores esfuerzos a la evaluación y
mitigación de riesgos. La tolerancia al riesgo por parte de
las organizaciones está siendo re-evaluada, y los presupuestos
de seguridad van en consonancia con esta nueva situación.
Por sectores, se aprecian diferencias. Los que presentan una
más baja tolerancia al riesgo son el sector financiero y de
tecnología, mientras que la industria tradicional presenta una
mayor tolerancia
Sistemas de
medición y evaluación
Son necesarios para poder establecer una situación de partida
y posteriormente evaluar el grado de mejora alcanzado, una vez
puesto en marcha el proyecto de seguridad que se trate. Giga
Group recomienda establecer siete categorías a analizar y
sobre las que trabajar:
- Concienciación de los empleados y comunicación: Hay que
involucrar a los empleados en la política de seguridad de la
compañía, a través de programas de concienciación, manuales de
seguridad, información de la seguridad en Internet, etc.
- Administración y soporte técnico: Se trata de evaluar y
medir los recursos que se emplean en gestionar la seguridad
día a día: gestión de derechos y privilegios, gestión de
cambios, gestión de problemas, configuraciones, etc.
- Arquitectura y estándares: La complejidad de los sistemas de
información incrementa costes y tiempos de recuperación y
resta efectividad a los programas de seguridad. Hay que crear
un programa de estándares.
- Políticas, prácticas y procedimientos: La creación de
cualquier procedimiento o política debe de estar justificada
desde el punto de vista del negocio.
- Organización y planificación: Hace referencia a la necesidad
de evaluar el grado de cualificación del equipo encargado de
la seguridad
- Análisis coste/beneficio de los diferentes proyectos de
seguridad
- Auditoría financiera.
Estableciendo objetivos y puntuaciones en cada una de estas
áreas, el responsable de seguridad puede analizar las mejoras
o degradaciones del servicio.
sábado mayo 24, 2014 |