Informe basado en los análisis con Dr. Martijn Dekker, vicepresidente sénior, director de seguridad de la información Airtel Félix Mohan, vicepresidente sénior y director global de seguridad de la información AstraZeneca Simon Strickland, jefe global de seguridad Automatic Data Processing Roland Cloutier, vicepresidente, director de seguridad The Coca-Cola Company Renee Guttmann, directora de seguridad de la información EMC Corporation Dave Martin, vicepresidente y director de seguridad Security for Business Innovation Council Transformación de la seguridad de la información t ABN Amro Diseño de un equipo ampliado de última generación FedEx Denise D. Wood, vicepresidenta corporativa, seguridad de la información, directora de seguridad de la información, directora de riesgos de TI Fidelity Investments Tim M cKnight, vicepresidente ejecutivo, riesgo y seguridad de la información empresarial HDFC Bank Vishal Salvi, director de seguridad de la información y vicepresidente sénior HSBC Holdings plc. Bob Rodger, líder de grupo de seguridad de infraestructura Intel Malcolm Harkins, vicepresidente, director de privacidad y seguridad Johnson & Johnson Marene N. Allison, vicepresidenta mundial de seguridad de la información JPMorgan Chase Anish Bhimani, director de riesgos de la información Nokia Petri Kuivala, director de seguridad de la información SAP AG Ralph Salomon, vicepresidente, oficina de riesgos y seguridad de TI TELUS Kenneth Haertling, vicepresidente y director de seguridad T-Mobile USA William Boni, director corporativo de seguridad de la información (CISO) y vicepresidente, seguridad de la información empresarial Walmart Stores, Inc. Jerry R. Geisler III, oficina del director de seguridad de la información Recomendaciones de los ejecutivos de Global 1000 En este informe encontrará lo siguiente: La misión de seguridad de la información en evolución Los nuevos conjuntos de habilidades que se requieren La oportunidades emergentes para la colaboración Información sobre la optimización del uso de recursos Recomendaciones prácticas Mapa de las tareas de cada uno en un equipo ampliado Una iniciativa del sector patrocinada por RSA * Contenido Puntos destacados del informe 1 1. Introducción: equipos en transición 2 2. El nuevo plan de trabajo 3 Cuadro 1: La misión actual de la seguridad de la información>>>>>>>>>>>>> 4 3. retos y oportunidades 6 4. recomendaciones 7 1. Vuelva a definir y fortalezca las competencias clave>>>>>>>>>>>>>>>>>>> 7 2. Delegue las operaciones de rutina>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9 3. Solicite o contrate los servicios de expertos>>>>>>>>>>>>>>>>>>>>>>>> 10 4. D irija a los responsables de riesgos en la administración de riesgos>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 10 5. Contrate a especialistas en optimización de procesos>>>>>>>>>>>>>>>>> 11 6. Desarrolle relaciones clave>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 11 7. Piense de manera creativa en el talento futuro>>>>>>>>>>>>>>>>>>>>> 12 Conclusión13 Acerca del Security for Business Innovation Council 13 apéndice Cuadro 2: Ilustración de un equipo ampliado de seguridad de la información de última generación>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Contribuyentes16 Exención de responsabilidades: Este informe del Security for Business Innovation Council (el “Informe”) incluye información y materiales (conjuntamente, el “Contenido”) que están sujetos a cambios sin previo aviso. RSA Security LLC, EMC Corporation y los autores individuales de Security for Business Innovation Council (conjuntamente, los “Autores”) renuncian expresamente a cualquier obligación para mantener el contenido actualizado. El contenido se brinda “TAL CUAL”. Los autores renuncian a cualquier garantía expresa o implícita relacionada con el uso del contenido, incluidas, entre otras, la comerciabilidad, adecuación, ausencia de infracción, precisión o idoneidad para un determinado propósito. La finalidad del contenido es brindar información al público, no es un asesoramiento legal por parte de RSA Security LLC, su empresa matriz, EMC Corporation, sus abogados ni ninguno de los autores de este informe del SBIC. No debe actuar o abstenerse de actuar según el contenido sin consultar a un abogado con autorización para trabajar en su jurisdicción. No se puede demandar a los autores por ningún error incluido en el presente documento ni por ningún tipo de daño que surja a partir del uso de este informe o en relación con este (incluido todo el contenido). Se incluyen, entre otros, daños directos, indirectos, incidentales, especiales, consecuentes o punitivos, independientemente de la existencia de un contrato, agravio o cualquier otra teoría de responsabilidad, incluso en caso de que los autores tengan conocimiento de la posibilidad de que se produzcan tales errores o daños. Los autores no asumen responsabilidad alguna por los errores u omisiones de ningún contenido. 2| Informe del Security for Business Innovation Council | RSA, la División de seguridad de EMC Puntos destacados del informe ¿Qué se requiere para administrar los riesgos de los activos de información en una empresa global en la actualidad? Mucho más de lo que se necesitaba hace algunos años. En especial, durante los últimos 18 meses se han agregado requisitos debido a la intensificación de los ataques cibernéticos, la adopción ferviente de nuevas tecnologías, el aumento de escrutinio normativo y un ambiente empresarial hiperconectado. a misión de la seguridad de la información ya no es solo “implementar y operar los controles de seguridad”, sino que ha evolucionado para incluir actividades técnicas avanzadas y centradas en el negocio; por ejemplo: análisis de riesgo empresarial, valoración de activos, integridad de la cadena de abastecimiento de TI, inteligencia cibernética, análisis de datos de seguridad, data warehousing y optimización de procesos. Se requieren muchos conjuntos de habilidades nuevas, por lo que un reto significativo para crear un equipo eficaz es la falta de profesionales con las habilidades adecuadas. Una oportunidad que está surgiendo es que, en muchas organizaciones, el personal que no pertenece al área de seguridad está detectando que ellos, y no el personal de seguridad, son responsables de sus activos de información y que deben asociarse de manera activa con el área de seguridad para administrar esos riesgos. Para lograr el éxito, la función de la seguridad de la información es un esfuerzo interorganizacional, con procesos de seguridad integrados profundamente con los procesos del negocio. El equipo ampliado incluye personal de TI, unidades comerciales y departamentos como el legal, de adquisición y de marketing. El equipo de seguridad de la información principal rige y coordina el esfuerzo general y realiza las tareas que requieren centralización o un conocimiento especializado. Existen siete recomendaciones que brindan una guía para crear un equipo ampliado de última generación a fin de administrar eficazmente los riesgos de seguridad cibernética y optimizar el uso de recursos humanos disponibles, y para garantizar que el equipo cuente con los conjuntos de habilidades nuevas necesarias. 1. Vuelva a definir y fortalezca las competencias clave: Concentre al equipo principal para que aumente el conocimiento en cuatro áreas fundamentales: inteligencia de riesgos cibernéticos y análisis de datos de seguridad, administración de datos de seguridad, consultoría sobre riesgos, y garantía y diseño de controles. 5. Contrate a especialistas en optimización de procesos: En el equipo debe haber personas con experiencia o certificaciones en calidad, administración de proyectos o programas, optimización de procesos y prestación de servicios. 6. Desarrolle relaciones clave: Esté bien posicionado de manera tal que pueda tener influencia sobre los participantes clave, como los propietarios de las “joyas de la corona”, la administración media y los proveedores de servicios subcontratados. 7. Piense de manera creativa en el talento futuro: Debido a la falta de experiencia disponible de manera inmediata, el desarrollo del talento es la única solución verdadera a largo plazo para la mayoría de las organizaciones. Los conocimientos valiosos incluyen administración de bases de datos, desarrollo de software, análisis del negocio, inteligencia militar, oficiales legales o privados, ciencia de datos, matemáticas o historia. 2. Delegue las operaciones de rutina: Asigne procesos de seguridad repetibles y bien establecidos a TI, las unidades comerciales o los proveedores de servicios externos. 3. Solicite o contrate los servicios de expertos: Para determinadas especializaciones, aumente el equipo principal con expertos de dentro y fuera de la organización. 4. Dirija a los responsables de riesgos en la administración de riesgos: Asóciese con el negocio para administrar los riesgos de seguridad cibernética y coordine un enfoque consistente. Facilite esta tarea al negocio y hágalo responsable. RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council | 1 1 I Introducción: Equipos en transición ngresar a un departamento de seguridad de la información hace algunos años probablemente implicaba ver a un equipo orientado técnicamente. En ese caso, es posible que escuchara conversaciones sobre protecciones perimetrales, listas de verificación de cumplimiento de normas y actualizaciones de antivirus. Al hacerlo en la actualidad, se podrá ver un panorama totalmente diferente. Los equipos están evolucionando hacia grupos de especialistas multidisciplinarios, incluidos analistas de amenazas, asesores de riesgos, científicos de datos y expertos en procesos. Los debates se están orientando hacia temas como la administración del riesgo del negocio, el análisis de datos, la garantía de controles, y el buen manejo y control de los proveedores de servicios. Las diferentes organizaciones se encuentran en etapas distintas de transformación, pero la mayoría reconoció la necesidad de nuevos enfoques para la seguridad de la información. De hecho, en una encuesta reciente sobre seguridad, la segunda prioridad más importante para el gasto de las empresas globales era un nuevo diseño fundamental de los programas de seguridad de la información.1 Simplemente agregar soluciones puntuales o trabajar en mejoras incrementales ya no es suficiente. Pero, exactamente, ¿qué características tiene un programa de seguridad de la información eficaz y de tendencia vanguardista? Este informe es el primero de una serie sobre la transformación de los programas de seguridad de la información de las empresas. Tiene como objetivo responder a esa pregunta a partir de la experiencia y la visión de algunos de los ejecutivos de seguridad de la información líderes a nivel mundial en el Security for Business Innovation Council (SBIC). En este primer informe, se describen conjuntos de 1 Encuesta de seguridad sobre información global de E&Y, noviembre de 2012 2| Informe del Security for Business Innovation Council | RSA, la División de seguridad de EMC habilidades nuevas y esenciales, y se explica cómo las responsabilidades en torno a la seguridad de la información se están distribuyendo en toda la empresa. El informe ofrece recomendaciones específicas y prácticas para diseñar un equipo ampliado de última generación. 2 El nuevo plan de trabajo L a misión de la seguridad de la información ya no es solo implementar y operar controles, sino que ha evolucionado para incluir un conjunto mucho más amplio de actividades. El desarrollo de un equipo optimizado con las mejores personas para el trabajo requiere una comprensión del alcance del trabajo. ¿Qué se requiere para administrar los riesgos de los activos de información en una empresa global en la actualidad? Mucho más de lo que se necesitaba hace algunos años. En especial, durante los últimos 18 meses se han agregado requisitos debido a la intensificación de los ataques cibernéticos, la adopción ferviente de nuevas tecnologías, el aumento de escrutinio normativo y un ambiente empresarial hiperconectado. Hoy en día las organizaciones se encuentran bajo una inmensa presión por tener que lograr una posición proactiva con respecto a los riesgos de la seguridad cibernética. Hacer este cambio requiere nuevos enfoques para defenderse de las amenazas avanzadas, integrar la seguridad de la información en las estrategias de tecnología y del negocio, y garantizar que los procesos de seguridad sean eficaces y eficientes. Ahora se requieren actividades técnicas y centradas en el negocio avanzadas, que incluyen lo siguiente: DD Riesgo del negocio/administración de riesgos de la información en comparación con el análisis de compensación • Para sistematizar la toma de decisiones de riesgo/compensación DD Administración de datos de seguridad y data warehousing • Para desarrollar una infraestructura y una estrategia general y así poder recopilar datos de varios tipos a fin de usarlos para diferentes objetivos, como la detección de amenazas, el monitoreo de controles y la creación de informes sobre el cumplimiento de normas DD Optimización de los procesos de seguridad • Para formalizar el mejoramiento de la eficacia de los procesos de seguridad DD Agilidad de controles • Para lograr los objetivos de los controles de seguridad con los nuevos métodos como respuesta a tendencias como el cómputo móvil y en la nube La base de la estrategia de un equipo es definir la misión a fin de determinar quién hará cada cosa. El cuadro 1 describe la misión de seguridad de la información en organizaciones líderes de la actualidad. Se enumeran desde las actividades más convencionales hasta las que son cada vez más avanzadas. Las organizaciones que cuentan con un programa convergente también pueden incluir tareas relacionadas, como el fraude, el descubrimiento electrónico, la privacidad, la calidad de los productos o la seguridad física en la misión. En este informe se tratan los componentes de la seguridad de la información, teniendo en cuenta la coordinación necesaria con otras actividades relacionadas. DD Inventario y valoración de activos • Para priorizar las estrategias de protección y enfocarse en resguardar las “joyas de la corona”. DD Integridad de la cadena de abastecimiento de TI/administración de riesgos de terceros • Para evaluar el número creciente de proveedores de servicios de origen global y los componentes del sistema DD Inteligencia de riesgos cibernéticos y análisis de amenazas • Para comprender el panorama de los autores de las amenazas y reconocer los indicadores de ataques DD Análisis de datos de seguridad • Para aplicar técnicas avanzadas de análisis y así poder detectar un comportamiento anormal del sistema o del usuario en ambientes de TI RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council | 3 El nuevo plan de trabajo Cuadro 1 la misión actual de la seguridad de la información Las actividades se enumeran en términos generales desde las más convencionales a las que son cada vez más avanzadas. Administración del programa • Determinar la estrategia general y planear el programa de administración de seguridad de la información • Asegurarse de que el programa satisfaga las necesidades comerciales más importantes para la organización • Coordinar con las tareas relacionadas, como el fraude, el descubrimiento electrónico, la seguridad física, la seguridad de los productos o la privacidad Política y estándares de seguridad • Desarrollar y documentar las directivas y reglas generales que prescriben cómo la organización protege la información • Elaborar el conjunto completo de controles de seguridad de la información administrativa, técnica y física utilizado por la organización (es decir, el marco de trabajo de los controles), incluidos los controles de acceso, el cifrado, la identificación y autenticación, la administración de la configuración, el monitoreo, los registros de auditoría, la seguridad de las aplicaciones y la capacitación de concientización (del personal y los clientes) • Considerar los requisitos de varias leyes y normativas (p. ej., SOX, HIPAA, PCI) • Asegurarse de que los controles sean ágiles y hacer un control de los cambios en el panorama de amenazas y del negocio Implementación de controles • Implementar controles según la política y los estándares, y en función de los factores ambientales internos y externos Operación de controles • Operar los controles según la política y los estándares, y en función de los factores ambientales internos y externos Diseño de controles (arquitectura de la seguridad) • Desarrollar controles nuevos o maneras nuevas de implementar los controles según los cambios en el panorama de amenazas, de TI y del negocio Garantía/supervisión de controles • Evaluar todos los controles para garantizar que cumplan con la política y los estándares • Incluye técnicas de desarrollo de aplicaciones; especificación, implementación, personalización o desarrollo de nueva tecnología de seguridad; y nuevos acuerdos y procedimientos para usuarios finales • Verificar que todos los controles estén presentes y se ejecuten según su finalidad • Asegurarse de que todos los controles se autentifiquen y monitoreen de manera consistente Resistencia/ respuesta a los incidentes • Coordinar y administrar la respuesta de la organización a los incidentes de seguridad, incluida la recuperación de desastres/continuidad del negocio Evaluación de riesgos de la información • Evaluar los riesgos de un programa, proceso, proyecto, iniciativa o sistema en función del valor de la información, los activos de datos, las amenazas y vulnerabilidades aplicables, la probabilidad de riesgos, el impacto en la organización (p. ej., sobre la reputación, los ingresos, el incumplimiento de las normas) y las pérdidas estimadas Riesgo del negocio/ administración de riesgos de la información en comparación con el análisis de compensación • Establecer niveles de tolerancia y de aceptación de riesgos autorizados de los responsables de riesgos • En función de la evaluación de riesgos para un programa, proceso, proyecto, iniciativa o sistema en particular, formular una estrategia de mitigación y corrección de riesgos • Contar con un proceso consistente para evaluar los riesgos de seguridad de la información en comparación con las compensaciones del negocio • Determinar los controles necesarios para llevar el riesgo a un nivel aceptable • Integrar el riesgo de la información con el programa/marco de trabajo de administración de riesgos de la empresa 4| Informe del Security for Business Innovation Council | RSA, la División de seguridad de EMC El nuevo plan de trabajo Inventario y valoración de activos • Definir el inventario completo de los procesos del negocio, los datos confidenciales y los sistemas de información que usa la organización • Realizar un mapeo integral del flujo de datos y de la documentación de los procesos del negocio a fin de comprender los procesos y los datos que requieren protección y formular estrategias de protección • Identificar a los usuarios privilegiados en toda la empresa ampliada que tengan acceso a los sistemas importantes • Determinar el valor de los activos para priorizar las estrategias de protección Integridad de la cadena de abastecimiento de TI/administración de riesgos de terceros • Asegurarse de que se realice una evaluación de riesgos antes de que la organización establezca una relación con terceros • Desarrollar un proceso de diligencia debida para evaluar a los proveedores, partners y abastecedores • Evaluar los riesgos que implica hacer negocios con proveedores, partners y abastecedores de manera continua • Comprender la cadena de abastecimiento de TI y evaluar la seguridad del hardware y el software que se usa en el ambiente de TI de la empresa • Aumentar la eficiencia por medio de evaluaciones compartidas y el monitoreo continuo de los controles Inteligencia de riesgos cibernéticos y análisis de amenazas • Comprender el panorama adversario relacionado con los activos del negocio (identidad, capacidades, motivaciones, objetivos) • Recopilar datos de inteligencia con respecto a las amenazas para la organización • Administrar las fuentes de datos de inteligencia, interpretar los datos, realizar análisis y generar alertas e informes de inteligencia de amenazas • Integrar la inteligencia y el modelado de amenazas en el ciclo de vida y el proceso de administración de seguridad completo Análisis de datos de seguridad • Usar la ciencia de datos y técnicas analíticas avanzadas para analizar los datos de seguridad enriquecidos con los datos de inteligencia • Desarrollar consultas, algoritmos y modelos de datos usados para detectar o predecir la actividad maliciosa Administración de datos de seguridad y Data Warehousing • Desarrollar una infraestructura y una estrategia de administración de datos para sumar y analizar datos de seguridad de varios tipos (sistemas de seguridad, bases de datos, aplicaciones, feeds de amenazas) para distintos propósitos (p. ej., detección de amenazas, cumplimiento de normas y administración de riesgos de la empresa, monitoreo continuo de controles) • Diseñar un data warehouse para los datos de seguridad Optimización de los procesos de seguridad • Rastrear y medir de manera consistente la eficacia de los procesos de seguridad y las mejoras de implementación mediante una administración de calidad formalizada, administración de proyectos y metodologías de prestación de servicios Planificación de mayor alcance • Observar las futuras tendencias de negocios, tecnología y normativa a fin de formular estrategias de seguridad proactivas. Por ejemplo, los desarrollos de tecnología como “Internet de las cosas” y el cómputo portátil traen nuevos retos de seguridad RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council | 5 Retos y oportunidades 3 C dave martin Vicepresidente y director de seguridad, EMC Corporation rear un equipo de seguridad de la información eficaz trae aparejado un cierto número de retos actuales: DD La experiencia escasea y el talento es difícil de mantener • Existe una gran demanda de expertos especializados en riesgos comerciales y de seguridad. DD El presupuesto es limitado DD Los equipos de seguridad ya trabajan a plena capacidad DD La atención de la sala de juntas requiere una visión del negocio • A medida que la seguridad de la información se vuelve un componente más importante de la estrategia comercial, los profesionales de seguridad requieren un conocimiento más profundo del negocio. Es sorprendente de ver. Hemos pasado de ‘ustedes, muchachos de seguridad, se están entrometiendo, ¿por qué tenemos que hacer esto?’ a tener unidades comerciales que usan nuestros servicios de consultaría central para implementar estrategias de mitigación de riesgos. Está cobrando velocidad porque las unidades comerciales se están dando cuenta de que necesitan administrar sus riesgos, en lugar de confiar en que otra persona intente solucionarlos o le entierran la cabeza en la arena”. La buena noticia es que también existen algunas oportunidades emergentes: DD La concientización se está ampliando • En todos los niveles, desde los usuarios finales hasta el liderazgo, la concientización respecto de los problemas de seguridad es más alta que nunca debido a la atención de los medios, la experiencia real con los ataques cibernéticos o la presión normativa. DD El negocio se está apropiando de los riesgos • En muchas organizaciones, está surgiendo un cambio fundamental en el pensamiento, donde el personal que no pertenece al área de seguridad está detectando que ellos, y no el personal de seguridad, son responsables de sus activos de información y que deben asociarse de manera activa con el área de seguridad para administrar esos riesgos. DD El caché para las carreras de seguridad crece cada vez más • Es un momento maravilloso estar en la seguridad de la información, ya que aborda nuevos aspectos, como el análisis de riesgos del negocio, la inteligencia cibernética y la ciencia de datos. Los informes de noticias y los retratos de Hollywood que defienden el ciberespacio también están generando más interés en el campo, lo que puede ayudar a atraer talento. 6| Informe del Security for Business Innovation Council DD El rango de proveedores de servicios está aumentando • A medida que el mercado responde a las crecientes demandas, se hace más factible para las organizaciones recurrir a proveedores de servicios de seguridad externos a fin de reducir los costos, obtener conocimiento especializado, ayudar a lograr un aumento de las actividades o brindar asesoramiento independiente. | RSA, la División de seguridad de EMC 4 Recomendaciones P Vuelva a definir y fortalezca las competencias clave ara lograr el éxito, la función de la seguridad de la información es un esfuerzo interorganizacional, con procesos de seguridad integrados profundamente con los procesos del negocio. El equipo de seguridad de la información ampliado puede incluir lo siguiente: DD Personal de TI que implemente y opere controles de seguridad Delegue las operaciones de rutina Solicite o contrate los servicios de expertos Dirija a los responsables de riesgos en la administración de riesgos DD Gerentes de riesgos en unidades comerciales que corrijan los riesgos Contrate a especialistas en optimización de procesos DD Profesionales en adquisiciones que implementen protocolos de garantía de proveedores y de evaluación de riesgos para evaluar a los abastecedores Desarrolle relaciones clave DD Una oficina de privacidad que rastree las normativas DD Personal de marketing que monitoree las redes sociales para obtener información sobre las posibles amenazas El equipo de seguridad de la información principal rige y coordina el trabajo total y realiza las tareas que requieren centralización o un conocimiento especializado. Una parte del personal que realiza tareas de seguridad fuera del equipo principal puede tener una dependencia directa o de varios jefes; otra parte puede estar operando según estándares de seguridad o acuerdos de nivel de servicio (SLA, Service Level Agreement). El cuadro 2 del Apéndice muestra quién hace cada tarea en un equipo ampliado, a saber, la seguridad de la información principal, TI, el negocio y los proveedores de servicios. Las siguientes recomendaciones brindan una guía para crear un equipo ampliado de última generación para administrar eficazmente los riesgos de seguridad de la información y hacer un uso óptimo de los recursos humanos disponibles. Según el nivel de maduración de una organización, esta guía podría ayudar a comenzar, validar un enfoque o acelerar el progreso en áreas en particular. Piense de manera creativa en el talento futuro 1. Vuelva a definir y fortalezca las competencias clave Dentro de las organizaciones líderes, los equipos de seguridad de la información principales están concentrados actualmente en aumentar el conocimiento en cuatro áreas principales: inteligencia de riesgos cibernéticos y análisis de datos de seguridad, administración de datos de seguridad, consultoría sobre riesgos, y garantía y diseño de controles. En función del tamaño del equipo principal y del nivel de especialización, los miembros individuales pueden abarcar tareas muy específicas o varias áreas. Cada área requiere un conjunto de habilidades clave que, con frecuencia, son nuevas para los miembros del equipo. Al avanzar, el personal existente deberá desarrollar las habilidades exigidas por medio de la capacitación, o el equipo fundamental deberá agregar nuevos miembros o contratar a proveedores de servicios. RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council | 7 recomendaciones 1. Inteligencia de riesgos cibernéticos y análisis de datos de seguridad Debido al panorama de amenazas cada vez mayores, mejorar la detección de amenazas es fundamental para la mayoría de las organizaciones en todo el mundo, en especial el desarrollo de un enfoque impulsado por la inteligencia (consultar el informe del SBIC “Getting Ahead of Advanced Threats: Achieving IntelligenceDriven Information Security” [Adelantarse a las amenazas avanzadas: obtener seguridad de la información impulsada por la inteligencia]). Esto requiere recopilar y amalgamar datos de inteligencia cibernética de fuentes internas (p. ej., sensores en los sistemas de TI y las aplicaciones comerciales) y fuentes externas (p. ej., feeds de amenazas gubernamentales o comerciales), y usar técnicas avanzadas de análisis de datos para detectar indicadores o patrones de comportamiento anormal. El equipo principal debe tener la capacidad de lograr una concientización de la situación de la organización. Determinar las fuentes de datos relevantes y realizar análisis significativos requieren una comprensión profunda del verdadero ambiente comercial, los activos que se deben proteger y el panorama adversario cibernético. Los equipos de seguridad están comenzando a aprovechar el poder de las tecnologías de grandes volúmenes de datos con el objetivo no solo de detectar, sino también de predecir los ataques. DD Habilidades clave de las personas: redes internas y externas para desarrollar buenas fuentes de inteligencia, comunicación para crear informes y presentar resúmenes de inteligencia DD Habilidades clave de procesos: diseño de un proceso de inteligencia integral, incluida la obtención y el filtrado de datos, la realización de análisis, la comunicación de resultados, la toma de decisiones de riesgo y la toma de medidas DD Habilidades técnicas clave: análisis (hacer relaciones entre datos aparentemente no relacionados), técnicas de análisis de datos y ciencia de datos 2. Administración de datos de seguridad A medida que buscan técnicas de análisis de datos para la detección de amenazas, las organizaciones están notando la necesidad de una infraestructura y estrategia global de administración de datos de seguridad. Esto requiere la combinación de datos de seguridad del ambiente de TI, incluidos registros, flujos de datos de paquetes completos y datos no estructurados de sistemas, bases de datos y aplicaciones comerciales. Los datos se pueden aplicar más allá de la detección de amenazas, por ejemplo, en la administración de riesgos empresariales, y en el monitoreo de controles continuo y el cumplimiento de normas. DD Habilidades clave de las personas: interconexión con TI y el negocio, incluidos los arquitectos de administración de datos empresariales DD Habilidades clave de procesos: mapeo de los flujos de datos de seguridad en todo el ambiente de TI de la organización DD Habilidades técnicas clave: habilidades de TI principales, como la arquitectura de almacenamiento, la arquitectura de procesamiento, el esquema de datos, la normalización y el manejo de cuellos de botella de redes 3. Consultoría sobre riesgos El equipo principal actúa como asesor, aconseja al negocio sobre la administración de los riesgos de los activos de información, incluidos aquellos relacionados con la seguridad, la privacidad y los problemas legales, el cumplimiento de normas y el descubrimiento electrónico. El equipo principal debe tener un profundo conocimiento de los procesos del negocio. Deben poder colaborar con las partes interesadas para evaluar los riesgos, evaluar los activos, determinar las estrategias de mitigación de riesgos y garantizar que se analicen los riesgos cuando se inicien los proyectos. Un conjunto de riesgos de rápido crecimiento para administrar proviene de terceros. Las estrategias de cómputo en la nube y aprovisionamiento global están impulsando a las organizaciones a aumentar aún más el uso de proveedores de servicios subcontratados e incorporar nuevos partners y proveedores comerciales. Saber cómo realizar diligencias debidas de terceros, evaluaciones “La experiencia del equipo principal de seguridad se debe enfocar principalmente en brindar consultoría, proporcionar indicaciones, impulsar la estrategia, identificar y explicar los riesgos al negocio, comprender las amenazas y lograr que la organización avance; no estar abrumados con las actividades operativas de rutina”. 8| Informe del Security for Business Innovation Council | RSA, la División de seguridad de EMC bob rodger Líder de grupo de seguridad de la infraestructura, HSBC Holdings plc. recomendaciones continuas, y evaluaciones de hardware y software de manera eficiente y eficaz es fundamental. DD Habilidades clave de las personas: liderazgo, redes internas para la concientización de las estrategias comerciales, comunicación (escuchar, articulación verbal, manejo de conversaciones complejas, sensibilidad a las diferencias culturales y organizacionales) DD Habilidades clave de procesos: documentación y mapeo de procesos comerciales, estructuras de trabajo de administración de riesgos, protocolos para evaluaciones de riesgos de terceros y garantía de controles (incluidas las evaluaciones compartidas), administración de proveedores de servicios subcontratados y comunidades de la cadena de abastecimiento DD Habilidades técnicas clave: evaluación de riesgos, medición de diversos riesgos y niveles de tolerancia a riesgos en una organización con un método estandarizado, automatización de las actividades de administración de riesgos y de evaluación de proveedores, monitoreo de controles continuo 4. Diseño y garantía de controles El equipo principal se debe concentrar fundamentalmente en las áreas de diseño de controles innovadores alineados con los objetivos comerciales y el desarrollo de técnicas avanzadas de prueba para garantizar los controles. Este trabajo incluye la investigación y el desarrollo, y la evaluación e implementación de nuevas tecnologías de seguridad. Los analistas de controles deben dirigir la recopilación de evidencias no solo para comprobar que los controles estén funcionando tal como se espera, sino también para garantizar que sean óptimos para defenderse de las amenazas más recientes y permitir la agilidad comercial. DD Habilidades clave de las personas: transformar los requisitos comerciales y de cumplimiento de normas en requisitos de seguridad, en cooperación con la arquitectura empresarial DD Habilidades clave de procesos: documentar la estructura de trabajo de los controles de la organización, desarrollar protocolos para la acreditación y evaluación de controles DD Habilidades técnicas clave: arquitectura de seguridad, seguridad de aplicaciones, seguridad móvil, seguridad en la nube, monitoreo continuo de controles, pruebas y análisis avanzados de controles de seguridad 2. Delegue las operaciones de rutina Los equipos de seguridad tradicionales están más cómodos al hacer todo por sí solos. Pero esto debe cambiar. Delegar las operaciones de seguridad de rutina a otros grupos internos o a proveedores de servicios externos permite al equipo principal concentrarse en ser más proactivo y estratégico, lo que maximiza su conocimiento técnico y sus capacidades de administración de riesgos comerciales. Además, por medio de la escalación y la especialización, los proveedores de servicios adecuados no solo pueden reducir los costos, sino también aumentar la calidad. Los procesos repetibles y bien establecidos son buenos candidatos para delegar. Algunos ejemplos incluyen asignar la operación de los firewalls, la autenticación, los sistemas de prevención de intrusiones o el software antivirus a grupos de TI o a proveedores de servicios de seguridad administrados (MSSP, Managed Security Service Provider). Asigne el aprovisionamiento de acceso al usuario a nivel de las aplicaciones y la administración de las cuentas de usuario a las unidades comerciales. Capacite a los desarrolladores en seguridad de aplicaciones y proporcióneles herramientas para encontrar vulnerabilidades. Considere el uso de la seguridad como servicio para el escaneo y las pruebas. A medida que el equipo principal asigne actividades, deberá conservar un nivel adecuado de control mediante requisitos, estándares y SLA integrales. El equipo principal también debe tener conocimientos técnicos en seguridad suficientes, así como también habilidades de administración de proveedores, para garantizar una supervisión eficaz. Las organizaciones que están ansiosas por subcontratar la seguridad a terceros pueden lograr, con frecuencia, los mismos objetivos al “subcontratar” a grupos de TI internos; sin embargo, se requiere el mismo nivel de supervisión, independientemente del tipo de proveedor de servicios. Con el paso del tiempo, el equipo principal debe evaluar continuamente qué sería más eficiente o rentable que hicieran otras personas. Por ejemplo, es posible que en un comienzo el equipo principal maneje la implementación y las operaciones de una nueva tecnología en seguridad, pero con el tiempo esto se convierte en algo estandarizado y las operaciones continuas se pueden delegar. RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council | 9 recomendaciones 3. Solicite o contrate los servicios de expertos Un reto común es que el equipo principal no tenga experiencia en áreas especializadas en particular. Los expertos externos al departamento de seguridad pueden llenar este vacío. Por ejemplo, algunos equipos de seguridad están contratando personal para analizar datos de proveedores de servicios o involucran a empleados para dichas tareas provenientes de otras partes de la organización, como fraude o marketing. Es posible que los grandes volúmenes de datos sean nuevos para la seguridad, pero otras áreas del negocio han estado utilizando técnicas de análisis de datos durante años. Cuando resulte imposible o simplemente demasiado costoso contar con determinados expertos en el personal que trabajen a tiempo completo, como los especialistas forenses de malware o los analistas de inteligencia de amenazas cibernéticas, las organizaciones pueden recurrir a proveedores de servicios externos de manera continua. Es posible que los equipos principales necesiten talento adicional para manejar un aumento de actividades o para ayudar cuando los miembros del equipo abandonan su trabajo. Otra buena opción es formar una sociedad con una empresa de consultoría sobre seguridad, que puede proporcionar profesionales en seguridad de alto nivel y polifacéticos con honorarios. Pueden aumentar las capacidades del equipo principal y ofrecer una perspectiva independiente. Para resolver problemas particularmente complejos, con frecuencia lo más lógico es contar con expertos en la materia, como un asesor en arquitectura de seguridad especializado en una tecnología específica. Tenga en cuenta que el equipo principal aún necesita tener el conocimiento suficiente interno para aplicar conocimiento subcontratado. Si no tengo una habilidad esencial, la desarrollo o la compro. Debe saber cuándo desarrollar o comprar según el costo total de propiedad. Para algunas habilidades, a veces lo más lógico es recurrir a un proveedor de servicios”. Marene n. Allison Vicepresidenta mundial de seguridad de la información, Johnson & Johnson 4. Dirija a los responsables de riesgos en la administración de riesgos Generalmente, los gerentes ejecutivos del negocio son responsables de las decisiones de administración de riesgos asociadas con iniciativas como lanzar un nuevo producto o servicio, programas de uso del dispositivo propio (BYOD, Bring Your Own Device), recursos de información como los sitios web orientados al cliente o procesos comerciales como la generación de informes financieros. Debido a que los líderes del negocio reconocen cada vez más su responsabilidad en relación con la administración de los riesgos de la seguridad cibernética, una cantidad cada vez mayor de organizaciones tienen gerentes dedicados a los riesgos de seguridad de la información en las unidades comerciales, responsables de la corrección de riesgos. La función del equipo principal es dirigir las actividades de administración de riesgos de la información y asociarse con el negocio para administrar los riesgos de la seguridad cibernética. Esto implica coordinar un enfoque coherente para la identificación, evaluación, mitigación, corrección y generación de informes de riesgos; comparar los riesgos con las compensaciones; establecer niveles de tolerancia y niveles aceptables en relación con los riesgos; e incorporar el riesgo de la información al programa de administración de riesgos empresariales general. Los aspectos clave son facilitar la tarea al negocio y hacer que estos sean responsables de administrar los riesgos al brindar herramientas de autoservicio, integrar la administración de riesgos en los procesos comerciales e implementar la automatización. “Tradicionalmente el equipo de seguridad de la información se concentraba más en la tecnología. Pero una función cada vez más importante es colaborar con el negocio, traer los requisitos a la organización de seguridad y, a su vez, llevar la perspectiva de seguridad al negocio”. 10 | Informe del Security for Business Innovation Council | RSA, la División de seguridad de EMC Felix Mohan Vicepresidente sénior y director global de seguridad de la información, Airtel recomendaciones 5. Contrate a especialistas en optimización de procesos La experiencia en los procesos se ha convertido en un aspecto esencial de un equipo de última generación. Las personas del equipo deben ser hábiles para la administración de calidad, proyectos o programas; optimización de procesos; y prestación de servicios. Además, deben ser personas a quienes se pueda capacitar en seguridad. Considere la contratación de personas que tengan diplomas/credenciales en la mejora de procesos de Six Sigma, la administración de servicios de TI (ITSM) de ITIL, el buen manejo y control de TI de COBIT o la arquitectura empresarial de TOGAF. Algunos equipos principales han podido aprovechar a los expertos en procesos o profesionales en administración de programas de otras áreas de la organización, como el Departamento de Calidad o la Oficina de programas empresariales. Al contar con experiencia en los procesos, se ayudará a satisfacer las demandas cada vez mayores de las mejoras de procesos. Por ejemplo, debido al panorama de amenazas, algunas organizaciones querrían tener los parches de todos los sistemas esenciales en horas, en vez de semanas. Las unidades comerciales desean reducir el impacto de la seguridad en los procesos del negocio, lo que minimiza la fricción para los usuarios finales y el tiempo fuera de los servidores. Los reguladores desean controles más estrictos en el acceso a la información, como la revocación de los derechos vencidos en minutos, en vez de días. Se esperará que el departamento de seguridad mida cada vez más la productividad de las inversiones en seguridad y brinde mejoras cuantificables con el tiempo. Esto incluye la agilidad y repetición de los procesos, y la habilidad de escalar. “Tenemos un concepto fundamental para nuestra organización de seguridad: ‘La formalidad es importante’. Nuestros procesos se tienen que documentar y revisar detalladamente. ¿Qué podemos hacer para que sean más eficientes? ¿Más eficaces? ¿Nos falta algo? Se necesitan personas con una gran experiencia en procesos y calidad si se desea tener credibilidad por parte de los líderes del negocio”. Denise d. Wood Vicepresidenta corporativa, seguridad de la información, directora de seguridad de la información, directora de riesgos de TI, FedEx Corporation Para una empresa cibernética ampliada, fíjese en quiénes son sus proveedores de servicios importantes y establezca una relación laboral sólida con estos. No deje que los villanos se escondan elevando el estándar de cumplimiento a las buenas prácticas de seguridad en todo su entorno”. 6. Desarrolle relaciones clave Las relaciones sólidas en toda la organización son esenciales para el equipo principal de modo que se determine el número creciente de responsabilidades de seguridad del personal, crear un ambiente colaborativo y garantizar que los miembros del equipo ampliado comprendan y realicen sus tareas. El equipo principal debe llegar a todas las áreas de la empresa y comprometerse en todos los niveles. Debe estar bien posicionados para tener influencia en los participantes clave, como los que controlan las inversiones en tecnología y los que toman las decisiones comerciales estratégicas. Una de las relaciones más importantes es con aquellos que poseen las “joyas de la corona” de la organización, por ejemplo, los conjuntos de datos y los procesos comerciales con propiedad intelectual o datos de propiedad. Otra es con la administración media; se pueden lograr avances significativos cuando la administración media está de su lado. Los proveedores de subcontratación de procesos de negocios (BPO, Business Process Outsourcing) también deben ser un objetivo clave. El equipo principal debe desarrollar una red fuerte de contactos de seguridad de BPO y trabajar con ellos para garantizar altos estándares de seguridad y el uso compartido de información dentro de toda la comunidad. William Boni Director corporativo de seguridad de la información (CISO), vicepresidente, seguridad de la información empresarial, T-Mobile USA RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council | 11 7. Piense de manera creativa en el talento futuro El interés por el campo de la seguridad de la información está en aumento, pero a corto plazo escasearán los profesionales con habilidades adecuadas de consultoría de riesgos y seguridad cibernética. Es realmente un reto encontrar talento con conocimiento práctico sobre las tecnologías de seguridad que están surgiendo. Mientras tanto, algunas organizaciones están recurriendo a MSSP, ya que es difícil reclutar o conservar a los talentos con determinadas habilidades técnicas. Además, los equipos de seguridad también necesitan profesionales que puedan trascender los conocimientos técnicos para lograr conversaciones productivas sobre los riesgos comerciales con accionistas clave. Una estrategia de reclutamiento continua es esencial para crear un equipo de seguridad eficaz. Trabaje con las unidades comerciales y los recursos humanos para evaluar las necesidades y las posibles fuentes de talento. Cada vez más las organizaciones están reclutando a personas que no tienen experiencia en seguridad, pero que cuentan con valiosas habilidades y se pueden capacitar en esta materia. Un enfoque es crear una “academia de seguridad cibernética” interna. Otro es brindar respaldo a los miembros individuales del equipo para que busquen certificaciones y cursos de capacitación externos, o establecer programas de tutoría. Además de los nuevos graduados, los nuevos empleados pueden ser personas internas de TI u otras áreas que puedan estar interesadas Debido a la falta de experiencia disponible de manera inmediata, el desarrollo del talento es la única solución verdadera a largo plazo para la mayoría de las organizaciones. en hacer una carrera en seguridad. Suelen ser los mejores empleados ya que cuentan con el conocimiento de la organización y las redes establecidas. Debido a la falta de experiencia disponible de manera inmediata, el desarrollo del talento es la única solución verdadera a largo plazo para la mayoría de las organizaciones. Sea abierto al buscar personas para capacitar en funciones de seguridad. Existe una amplia variedad de conocimientos valiosos, como administración de bases de datos, desarrollo de software, análisis comercial, inteligencia militar u oficiales legales y de privacidad. Algunos equipos principales han contratado recientemente a científicos de datos que tienen conocimientos sobre la secuencia de ADN. Las personas que tienen conocimientos teóricos en áreas como econometría o matemática pueden aumentar sus capacidades técnicas prácticas. Otras personas con conocimientos en historia o periodismo pueden ofrecer excelentes habilidades de investigación. Debido a que la conservación es un reto importante al capacitar personas para que tengan las habilidades en seguridad tan buscadas, es importante ofrecer una carrera atractiva e inmediata para los miembros individuales del equipo y garantizar una compensación en el mercado. 12 | Informe del Security for Business Innovation Council “Al incorporar personal a una organización, uno seguramente desea tener una variedad de perspectivas. En la actualidad, esto es más importante que nunca ya que el cambio en el lado del negocio está superando las capacidades de seguridad y requerirá un pensamiento innovador para solucionar estos problemas”. Jerry r. Geisler iii Oficina del director de seguridad de la información, Walmart Stores Inc. Muchas organizaciones también se están asociando con universidades para garantizar el crecimiento de la cantidad de talentos en seguridad. Esto puede incluir crear programas de desarrollo de liderazgo, ayudar a que el plan de estudios se adapte a las necesidades del sector u ofrecer oportunidades de pasantías/cooperación. Los programas de promoción de las universidades e incluso de nivel secundario pueden ayudar a capacitar a la posible fuerza de trabajo sobre las carreras de seguridad cibernética. | RSA, la División de seguridad de EMC Conclusión Los equipos de seguridad de la información están evolucionando para satisfacer las demandas de un ambiente comercial, un panorama de amenazas y un régimen normativo cada vez más desafiantes. La concientización acerca de los problemas de seguridad está permitiendo un cambio en la posición de la seguridad de la información dentro de las organizaciones, porque está dejando de ser un sistema técnico aislado para convertirse en un esfuerzo verdaderamente colaborativo. Las organizaciones también están descubriendo que cumplir con los requisitos de seguridad requiere prestar más atención al proceso. Hoy en día, un equipo de seguridad eficaz tiene una comprensión sólida de los procesos comerciales y de la importancia de contar con buenos procesos de seguridad para lograr su propio mandato. El siguiente informe de esta serie de tres partes sobre la transformación de la seguridad de la información explorará aún más cómo las organizaciones líderes están reconsiderando y optimizando los procesos. El tercer informe abordará cómo las nuevas tecnologías encajan en la imagen de un programa de seguridad de la información moderno con un equipo creativo y orientado al futuro como base. Acerca del Security for Business Innovation Council La innovación comercial se ha convertido en lo más importante en la agenda de la mayoría de las empresas, ya que los líderes de mayor jerarquía se esfuerzan por aprovechar el poder de la globalización y la tecnología para crear valor y eficiencias nuevos. Sin embargo, todavía hay un eslabón perdido. A pesar de que la innovación comercial está alimentada por los sistemas de TI y de la información, la protección de estos sistemas generalmente no se considera una estrategia; incluso cuando las empresas enfrentan presiones normativas y amenazas cada vez mayores. De hecho, la seguridad de la información suele ser una idea tardía agregada al final de un proyecto o, lo que es peor, que directamente ni se aborda. Pero sin la estrategia de seguridad adecuada, la innovación comercial podría verse obstruida fácilmente o podría poner a la organización en un gran riesgo. En RSA, consideramos que si los equipos de seguridad son partners verdaderos del proceso de innovación comercial, pueden ayudar a las organizaciones a lograr resultados sin precedentes. Ahora es el momento indicado para un nuevo enfoque; la seguridad debe dejar de ser una especialidad técnica para convertirse en una estrategia comercial. Aunque la mayoría de los equipos de seguridad han reconocido la necesidad de alinear mejor la seguridad con el negocio, todavía muchos están luchando para transformar esta comprensión en planes o acciones concretos. Saben qué deben hacer, pero no están seguros de cómo lograrlo. Por este motivo, RSA está trabajando con algunos de los líderes más importantes en seguridad del mundo para impulsar la comunicación con todo el sector a fin de identificar una manera de avanzar. RSA ha convocado a un grupo de ejecutivos de seguridad altamente exitosos de las empresas de la lista Global 1000 en una variedad de sectores que llamamos “Security for Business Innovation Council”. Estamos realizando una serie de entrevistas en profundidad con este consejo, publicando sus ideas en una serie de informes y patrocinando una investigación independiente que explore estos temas. Visite www.rsa.com/securityforinnovation para ver los informes o acceder a la investigación. Juntos podemos acelerar esta transformación importante para el sector. RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council | 13 A Apéndice Ilustración de un equipo ampliado de seguridad de la información de última generación Cuadro 2 La administración ejecutiva y la junta directiva supervisan el programa. Miembros del Seguridad de la equipo información principal • Un amplio rango de especialistas • Las personas pueden tener más de una función Proveedores de TI Negocio servicios (usos comunes) Personal involucrado en funciones de seguridad operativa y estratégica Giros comerciales (LOB) y áreas funcionales (p. ej., Privacidad, Recursos Humanos, Marketing, Depto. Legal, Auditoría, Adquisición) • Puede combinarse con los equipos de seguridad de los productos, descubrimiento electrónico o seguridad física Actividades Asesores con experiencia en la materia (SME), proveedores de servicios de seguridad administrados (MSSP) y proveedores de nube (SAAS) Responsabilidades específicas Administración del programa El CISO lidera el programa y preside el “comité de riesgos de la información” interfuncional El director de TI participa en el “comité de riesgos de la información” Determinados ejecutivos comerciales participan en el “comité de riesgos de la información” Política y estándares de seguridad Desarrollar políticas y estándares Consultar políticas y estándares Consultar políticas y estándares Implementación de controles • Administrar y supervisar la implementación de controles Implementar controles en los estándares de seguridad o brindar servicios que cumplan con los SLA de seguridad Facilitar la implementación de controles Los MSSP brindan servicios de implementación de controles que cumplan con los SLA de seguridad Asegurar que las operaciones comerciales cumplan con los requisitos de control de seguridad Los MSSP brindan servicios de operación de controles que cumplan con los SLA de seguridad • Realizar la implementación de controles en casos más complejos Operaciones de controles • Administrar y supervisar las Implementar controles en operaciones de controles los estándares de seguridad o brindar servicios que cumplan • Operar controles más nuevos con los SLA de seguridad o más complejos Garantía de controles • Realizar evaluaciones de controles y desarrollar herramientas avanzadas para la prueba y el análisis de los controles Los MSSP brindan servicios, p. ej., revisión de código fuente, escaneo de vulnerabilidades • Implementar un monitoreo continuo de controles 14 | Diseño de controles (arquitectura de la seguridad) • Impulsar el diseño de nuevos controles de seguridad Resistencia/ respuesta a los incidentes Administrar y coordinar la respuesta entre organizaciones Consultar sobre el diseño de nuevos controles de seguridad Consultar sobre el diseño de nuevos controles de seguridad Trabajar en los aspectos técnicos de la respuesta Trabajar en los aspectos legales, de relaciones públicas y de recursos humanos de la respuesta • Trabajar con la arquitectura de TI empresarial Informe del Security for Business Innovation Council | RSA, la División de seguridad de EMC Los ingenieros de mantenimiento de sistemas (SME) brindan análisis forenses y de malware Evaluación de riesgos de la información • Administrar el programa de evaluación de riesgos • Realizar evaluaciones de riesgos en casos más complejos Realizar evaluaciones de riesgos con herramientas que proporciona el equipo principal • Consulta con el personal del Depto. Legal acerca de los riesgos legales y de cumplimiento de normas • Brindar herramientas para facilitar las evaluaciones de riesgos • Impulsar las actividades de administración de riesgos • Realizar evaluaciones de riesgos con herramientas que proporciona el equipo principal La tendencia emergente son las evaluaciones de riesgos realizadas por los proveedores de servicios que cumplen con los SLA de seguridad • Trabajar con el equipo principal para administrar los riesgos • Trabajar con el equipo principal para administrar los riesgos • Facilitar la solución de riesgos identificados • Facilitar la solución de riesgos identificados • Informar con regularidad el estado de los riesgos • Informar con regularidad el estado de los riesgos • Impulsar el programa de integridad de la cadena de abastecimiento y la administración de riesgos de terceros • Realizar evaluaciones de terceros y de diligencia debida con herramientas que brinde el equipo principal • Realizar evaluaciones de terceros y de diligencia debida con herramientas que brinde el equipo principal • Desarrollar estándares y brindar herramientas para las evaluaciones de terceros, y de hardware y software • Realizar la evaluación de hardware y software con herramientas que brinde el equipo principal • Adquisición desarrolla evaluaciones de seguridad del proceso de adquisición Inventario y valoración de activos Impulsar el desarrollo del registro Interactuar con el equipo principal para enumerar y valorar los activos Interactuar con el equipo principal para enumerar y valorar los activos Inteligencia de riesgos cibernéticos y análisis de amenazas • Administrar el programa de inteligencia Compartir datos de inteligencia, como el monitoreo de redes sociales Los SME brindan análisis de amenazas y fuentes • Coordinar las fuentes Compartir datos de inteligencia, como correos electrónicos de robo de identidad Análisis de datos de seguridad Impulsar el desarrollo de consultas y modelos Consultar o brindar servicios de análisis de datos Consultar o brindar servicios de análisis de datos Los SME o MSSP brindan servicios de análisis de datos Administración de datos de seguridad y Data Warehousing Impulsar la estrategia de administración de datos de seguridad y diseñar el data warehouse de seguridad • Impulsar la estrategia de administración de datos general de la organización Consultar las fuentes de datos, como los registros de base de datos y aplicaciones • Los SME brindan feeds de amenazas Optimización de los procesos de seguridad Impulsar la optimización de los proceso de seguridad en toda la organización Consultar y facilitar la implementación de mejoras Consultar y facilitar la implementación de mejoras Planificación de mayor alcance Observar las futuras tendencias de negocios, tecnología y normativa a fin de formular estrategias de seguridad proactivas Colaborar en las futuras tendencias y estrategias proactivas Colaborar en las futuras tendencias y estrategias proactivas Riesgo del negocio/ administración de riesgos de la información en comparación con el análisis de compensación • Interactuar con TI y el negocio • Consultar sobre la administración de riesgos • Brindar herramientas para facilitar la administración de riesgos Integridad de la cadena de abastecimiento de TI/ administración de riesgos de terceros Los SME realizan evaluaciones de terceros y de diligencia debida con estándares que brinda el equipo principal • Consulta con el personal del Depto. Legal acerca de los riesgos legales y de cumplimiento de normas, y escritura de contratos • Consultar la estrategia de seguridad y las fuentes de datos, como los registros de redes • Los MSSP brindan feeds de los registros de sistemas de seguridad RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council | 15 Contribuyentes del informe anish bhimani Cissp Director de riesgos de la información, JPMorgan Chase WilliAM BONI CISM, CPP, CISA Director corporativo de seguridad de la información (CISO), vicepresidente, seguridad de información empresarial, T-Mobile USA roland Cloutier Vicepresidente, director de seguridad, Automatic Data Processing, Inc. jerry R. Geisler iii GCFA, GCFE, del director de seguridad de la información, Walmart Stores, Inc. renee guttmann Directora de seguridad de la información, The Coca-Cola Company malcolm harkins Vicepresidente, director de seguridad y privacidad, Intel kenneth haertling Vicepresidente y director de seguridad, TELUS petri kuivala Director de seguridad de la información, Nokia dave martin CISSP Vicepresidente y director de seguridad, EMC Corporation tim mcknight CISSP Vicepresidente ejecutivo, riesgo y seguridad de la información empresarial, Fidelity Investments felix mohan Vicepresidente sénior y director global de seguridad de la información, Airtel robert rodger Líder de grupo de seguridad de la infraestructura, HSBC Holdings, plc. ralph salomon CRISC Vicepresidente, oficina de riesgos y seguridad de TI, SAP AG vishal salvi CISM Director de seguridad de la información y vicepresidente sénior, HDFC Bank Limited Marene N. Allison Vicepresidenta mundial de seguridad de la información, Johnson & Johnson dr. martijn dekker Vicepresidente sénior, director de seguridad de la información, ABN Amro simon Strickland Jefe global de seguridad, AstraZeneca 16 | Security for Business Innovation Council GCIH, oficina Denise D. Wood Vicepresidenta corporativa, seguridad de la información, directora de seguridad de la información, directora de riesgos de TI, FedEx Corporation Informe del Security for Business Innovation Council Para ver las biografías completas de los miembros del SBIC, visite http://mexico.emc.com (visite el sitio web de su país correspondiente) | RSA, la División de seguridad de EMC EMC, EMC2, el logotipo de EMC, RSA y el logotipo de RSA son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. El resto de los demás productos y servicios son marcas comerciales de sus respectivas empresas. ©2013 EMC Corporation. Todos los derechos reservados. 231038-H12227 CISO RPT 0813 ® RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council | 17