Un estudio de IBM revela una evolución clara en las organizaciones de seguridad de la información y sus líderes: 25% de los directores de seguridad encuestados están pasando de un enfoque en la tecnología a un rol de liderazgo de negocios estratégico.
En el primer estudio de IBM sobre ejecutivos de seguridad, los consultores del IBM Center for Applied Insights entrevistaron a más de 130 líderes de seguridad a nivel mundial, y descubrieron tres tipos de líderes en base a la preparación que poseen para enfrentar violaciones de seguridad y la madurez general del área de seguridad. Aproximadamente una cuarta partes de los entrevistados son ejecutivos de seguridad senior, del tipo “Influenciador”, que en general influencian las estrategias de negocio de sus empresas y se sienten más seguros y preparados que sus pares en las otras categorías, las de “Protectores” y “Respondedores”.
En general, todos los líderes de seguridad hoy enfrentan intensas presiones, pues tienen la responsabilidad de proteger algunos de los activos más valiosos de sus empresas: dinero, datos de clientes, propiedad intelectual y marcas. Casi dos terceras partes de los ejecutivos de seguridad (Chief Information Security Executives, CISO) encuestados manifestaron que la alta dirección está prestando más atención a la seguridad hoy día que hace dos años.
Frente a una serie de violaciones de datos y ataques de hackers de alto perfil, los altos niveles gerenciales se han convencido del papel clave que desempeña la seguridad en la empresa moderna. Más de la mitad de los encuestados citó la seguridad móvil como preocupación central en el área de tecnología en los próximos dos años. Casi dos terceras partes de los encuestados estiman que el gasto en seguridad de la información aumentará durante los dos próximos años, y de ellos, 87% cree que los aumentos estarán en el rango de dos dígitos.
En lugar de limitarse a responder a los incidentes de seguridad, el rol del CISO se orienta más hacia la gestión riesgos holística e inteligente; en lugar de salir a apagar incendios, se está enfocando en anticiparlos y mitigarlos antes de que se produzcan.
Surgieron varias características notables entre las prácticas de seguridad maduras de los “Influenciadores” en una variedad de organizaciones:
· La seguridad vista como un imperativo de negocios (versus tecnología): Uno de los atributos principales de una organización líder es haber logrado la atención de los líderes de negocio y sus directorios. La seguridad no es un tema ad hoc, sino más bien una parte habitual de los debates de negocio y, cada vez más, de la cultura. De hecho, 60% de las organizaciones avanzadas nombran la seguridad como un tema habitual en la sala de directorio, en comparación con sólo 22% de las organizaciones menos avanzadas. Estos líderes comprenden la necesidad de una conciencia del riesgo más generalizada, y se encuentran mucho más enfocadas a la educación, colaboración y comunicación en toda la empresa. Las organizaciones de seguridad visionarias tienen más probabilidad de establecer un comité de dirección de seguridad para alentar enfoques sistémicos respecto de cuestiones de seguridad que abarcan asuntos legales, operaciones comerciales, finanzas y recursos humanos. 68% de las organizaciones consideradas más avanzadas en esta área contaban con un comité de riesgo, frente a sólo 26% del grupo menos avanzado.
· Uso de toma de decisiones y mediciones basadas en datos: Las organizaciones líderes tienen el doble de probabilidad de utilizar métricas para monitorear el progreso, según mostró la evaluación (59% versus 26%). Hacer un seguimiento de la concientización de los usuarios, la educación de los empleados, la capacidad de manejar amenazas futuras y la integración de nuevas tecnologías puede ayudar a crear una cultura de conciencia del riesgo. Y un monitoreo automatizado de métricas estandarizadas permite a los CISO dedicar más tiempo a enfocarse en riesgos más amplios y sistémicos.
· Responsabilidad presupuestaria compartida con los directores de nivel “C”: El estudio demostró que dentro de la mayoría de las organizaciones, los CIO en general tienen control del presupuesto de seguridad de la información. Sin embargo, entre las organizaciones de alto rango, la autoridad sobre la inversión reside con mayor frecuencia en los líderes de negocio. En las organizaciones más avanzadas, los CEO tenían la misma probabilidad que los CIO de dirigir los presupuestos de seguridad de la información. Las organizaciones de menor rango a menudo carecían de una partida presupuestaria dedicada, lo cual indica un enfoque más táctico y fragmentado de la seguridad. 71% de las organizaciones avanzadas tenían una partida presupuestaria exclusivamente para seguridad, en comparación con 27% del grupo menos maduro.