Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Transformación de la seguridad de la información

Anuncio 
Informe basado en los análisis con
Dr. Martijn Dekker, vicepresidente
sénior, director de seguridad de la
información
Airtel
Félix Mohan, vicepresidente
sénior y director global de seguridad de
la información
AstraZeneca
Simon Strickland, jefe global de
seguridad
Automatic Data Processing
Roland Cloutier, vicepresidente,
director de seguridad
The Coca-Cola Company
Renee Guttmann, directora
de seguridad de la información
EMC Corporation
Dave Martin, vicepresidente
y director de seguridad
Security for Business Innovation Council
Transformación de
la seguridad de la
información
t
ABN Amro
Diseño de un equipo ampliado de última generación
FedEx
Denise D. Wood, vicepresidenta
corporativa, seguridad de la
información, directora de seguridad
de la información, directora de riesgos
de TI
Fidelity Investments
Tim M cKnight, vicepresidente
ejecutivo, riesgo y seguridad de la
información empresarial
HDFC Bank
Vishal Salvi, director de seguridad
de la información y vicepresidente
sénior
HSBC Holdings plc.
Bob Rodger, líder de grupo
de seguridad de infraestructura
Intel
Malcolm Harkins, vicepresidente,
director de privacidad y seguridad
Johnson & Johnson
Marene N. Allison,
vicepresidenta mundial de seguridad de
la información
JPMorgan Chase
Anish Bhimani, director
de riesgos de la información
Nokia
Petri Kuivala, director
de seguridad de la información
SAP AG
Ralph Salomon, vicepresidente,
oficina de riesgos y seguridad de TI
TELUS
Kenneth Haertling, vicepresidente
y director de seguridad
T-Mobile USA
William Boni, director
corporativo de seguridad de la
información (CISO) y vicepresidente,
seguridad de la información
empresarial
Walmart Stores, Inc.
Jerry R. Geisler III, oficina del
director de seguridad de la información
Recomendaciones de los ejecutivos de Global 1000
En este informe encontrará lo siguiente:
La misión de
seguridad de la
información en
evolución
Los nuevos
conjuntos de
habilidades que
se requieren
La oportunidades
emergentes para la
colaboración
Información sobre
la optimización del
uso de recursos
Recomendaciones
prácticas
Mapa de
las tareas de cada
uno en un equipo
ampliado
Una iniciativa del sector patrocinada por RSA
*
Contenido
Puntos destacados del informe
1
1. Introducción: equipos en transición
2
2. El nuevo plan de trabajo
3
Cuadro 1: La misión actual de la seguridad de la información>>>>>>>>>>>>> 4
3. retos y oportunidades
6
4. recomendaciones
7
1. Vuelva a definir y fortalezca las competencias clave>>>>>>>>>>>>>>>>>>> 7
2. Delegue las operaciones de rutina>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9
3. Solicite o contrate los servicios de expertos>>>>>>>>>>>>>>>>>>>>>>>> 10
4. D
irija a los responsables de riesgos en la administración
de riesgos>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 10
5. Contrate a especialistas en optimización de procesos>>>>>>>>>>>>>>>>> 11
6. Desarrolle relaciones clave>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 11
7. Piense de manera creativa en el talento futuro>>>>>>>>>>>>>>>>>>>>> 12
Conclusión13
Acerca del Security for Business Innovation Council
13
apéndice
Cuadro 2: Ilustración de un equipo ampliado de seguridad de
la información de última generación>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14
Contribuyentes16
Exención de responsabilidades: Este informe del Security for Business Innovation Council (el “Informe”) incluye información y materiales (conjuntamente, el “Contenido”) que
están sujetos a cambios sin previo aviso. RSA Security LLC, EMC Corporation y los autores individuales de Security for Business Innovation Council (conjuntamente, los “Autores”)
renuncian expresamente a cualquier obligación para mantener el contenido actualizado. El contenido se brinda “TAL CUAL”. Los autores renuncian a cualquier garantía expresa
o implícita relacionada con el uso del contenido, incluidas, entre otras, la comerciabilidad, adecuación, ausencia de infracción, precisión o idoneidad para un determinado propósito.
La finalidad del contenido es brindar información al público, no es un asesoramiento legal por parte de RSA Security LLC, su empresa matriz, EMC Corporation, sus abogados ni
ninguno de los autores de este informe del SBIC. No debe actuar o abstenerse de actuar según el contenido sin consultar a un abogado con autorización para trabajar en su jurisdicción.
No se puede demandar a los autores por ningún error incluido en el presente documento ni por ningún tipo de daño que surja a partir del uso de este informe o en relación con este
(incluido todo el contenido). Se incluyen, entre otros, daños directos, indirectos, incidentales, especiales, consecuentes o punitivos, independientemente de la existencia de un contrato,
agravio o cualquier otra teoría de responsabilidad, incluso en caso de que los autores tengan conocimiento de la posibilidad de que se produzcan tales errores o daños. Los autores no
asumen responsabilidad alguna por los errores u omisiones de ningún contenido.
2|
Informe del Security for Business Innovation Council
| RSA, la División de seguridad de EMC
Puntos destacados del informe
¿Qué se requiere para
administrar los riesgos de los
activos de información en una
empresa global en la actualidad?
Mucho más de lo que se necesitaba
hace algunos años. En especial,
durante los últimos 18 meses se
han agregado requisitos debido
a la intensificación de los ataques
cibernéticos, la adopción ferviente
de nuevas tecnologías, el aumento de
escrutinio normativo y un ambiente
empresarial hiperconectado.
a misión de la seguridad de la
información ya no es solo
“implementar y operar los controles
de seguridad”, sino que ha
evolucionado para incluir actividades
técnicas avanzadas y centradas en
el negocio; por ejemplo: análisis de
riesgo empresarial, valoración de
activos, integridad de la cadena de
abastecimiento de TI, inteligencia
cibernética, análisis de datos de
seguridad, data warehousing y
optimización de procesos.
Se requieren muchos
conjuntos de habilidades nuevas,
por lo que un reto significativo para
crear un equipo eficaz es la falta de
profesionales con las habilidades
adecuadas.
Una oportunidad que está
surgiendo es que, en muchas
organizaciones, el personal que no
pertenece al área de seguridad está
detectando que ellos, y no el personal
de seguridad, son responsables de
sus activos de información y que
deben asociarse de manera activa
con el área de seguridad para
administrar esos riesgos.
Para lograr el éxito, la
función de la seguridad de la
información es un esfuerzo
interorganizacional, con procesos de
seguridad integrados profundamente
con los procesos del negocio.
El equipo ampliado incluye
personal de TI, unidades comerciales
y departamentos como el legal, de
adquisición y de marketing.
El equipo de seguridad de la
información principal rige
y coordina el esfuerzo general
y realiza las tareas que requieren
centralización o un conocimiento
especializado.
Existen siete recomendaciones
que brindan una guía para crear
un equipo ampliado de última
generación a fin de administrar
eficazmente los riesgos de seguridad
cibernética y optimizar el uso de
recursos humanos disponibles,
y para garantizar que el equipo
cuente con los conjuntos de
habilidades nuevas necesarias.
1. Vuelva a definir
y fortalezca las competencias
clave: Concentre al equipo principal
para que aumente el conocimiento
en cuatro áreas fundamentales:
inteligencia de riesgos cibernéticos
y análisis de datos de seguridad,
administración de datos de
seguridad, consultoría sobre riesgos,
y garantía y diseño de controles.
5. Contrate a especialistas en
optimización de procesos: En
el equipo debe haber personas con
experiencia o certificaciones en
calidad, administración de proyectos
o programas, optimización de
procesos y prestación de servicios.
6. Desarrolle relaciones
clave: Esté bien posicionado
de manera tal que pueda tener
influencia sobre los participantes
clave, como los propietarios
de las “joyas de la corona”,
la administración media
y los proveedores de servicios
subcontratados.
7. Piense de manera creativa
en el talento futuro: Debido
a la falta de experiencia disponible
de manera inmediata, el desarrollo
del talento es la única solución
verdadera a largo plazo para la
mayoría de las organizaciones.
Los conocimientos valiosos incluyen
administración de bases de datos,
desarrollo de software, análisis del
negocio, inteligencia militar, oficiales
legales o privados, ciencia de datos,
matemáticas o historia.
2. Delegue las operaciones de
rutina: Asigne procesos de
seguridad repetibles y bien
establecidos a TI, las unidades
comerciales o los proveedores de
servicios externos.
3. Solicite o contrate los
servicios de expertos: Para
determinadas especializaciones,
aumente el equipo principal con
expertos de dentro y fuera de la
organización.
4. Dirija a los responsables de
riesgos en la administración de
riesgos: Asóciese con el negocio
para administrar los riesgos de
seguridad cibernética y coordine
un enfoque consistente. Facilite
esta tarea al negocio y hágalo
responsable.
RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council |
1
1
I
Introducción: Equipos en transición
ngresar a un departamento
de seguridad de la
información hace algunos
años probablemente
implicaba ver a un equipo
orientado técnicamente.
En ese caso, es posible que
escuchara conversaciones
sobre protecciones
perimetrales, listas
de verificación de
cumplimiento de normas
y actualizaciones de
antivirus. Al hacerlo en
la actualidad, se podrá ver
un panorama totalmente
diferente. Los equipos
están evolucionando hacia
grupos de especialistas
multidisciplinarios,
incluidos analistas de
amenazas, asesores de
riesgos, científicos de datos
y expertos en procesos. Los
debates se están orientando
hacia temas como la
administración del riesgo
del negocio, el análisis
de datos, la garantía de
controles, y el buen manejo
y control de los proveedores
de servicios.
Las diferentes
organizaciones se
encuentran en etapas
distintas de transformación,
pero la mayoría reconoció
la necesidad de nuevos
enfoques para la seguridad
de la información. De
hecho, en una encuesta
reciente sobre seguridad,
la segunda prioridad
más importante para
el gasto de las empresas
globales era un nuevo
diseño fundamental de los
programas de seguridad
de la información.1
Simplemente agregar
soluciones puntuales
o trabajar en mejoras
incrementales ya no
es suficiente. Pero,
exactamente, ¿qué
características tiene un
programa de seguridad de
la información eficaz y de
tendencia vanguardista?
Este informe es el
primero de una serie sobre
la transformación de los
programas de seguridad
de la información de las
empresas. Tiene como
objetivo responder a esa
pregunta a partir de la
experiencia y la visión de
algunos de los ejecutivos de
seguridad de la información
líderes a nivel mundial en
el Security for Business
Innovation Council (SBIC).
En este primer informe,
se describen conjuntos de
1 Encuesta de seguridad sobre información global de E&Y, noviembre de 2012
2|
Informe del Security for Business Innovation Council
| RSA, la División de seguridad de EMC
habilidades nuevas
y esenciales, y se explica
cómo las responsabilidades
en torno a la seguridad de
la información se están
distribuyendo en toda
la empresa. El informe
ofrece recomendaciones
específicas y prácticas para
diseñar un equipo ampliado
de última generación.
2
El nuevo plan de trabajo
L
a misión de la seguridad de la información
ya no es solo implementar y operar
controles, sino que ha evolucionado para
incluir un conjunto mucho más amplio de
actividades. El desarrollo de un equipo optimizado con las
mejores personas para el trabajo requiere una comprensión
del alcance del trabajo.
¿Qué se requiere para administrar los riesgos de los
activos de información en una empresa global en la
actualidad? Mucho más de lo que se necesitaba hace
algunos años. En especial, durante los últimos 18 meses
se han agregado requisitos debido a la intensificación de
los ataques cibernéticos, la adopción ferviente de nuevas
tecnologías, el aumento de escrutinio normativo y un
ambiente empresarial hiperconectado.
Hoy en día las organizaciones se encuentran bajo
una inmensa presión por tener que lograr una posición
proactiva con respecto a los riesgos de la seguridad
cibernética. Hacer este cambio requiere nuevos enfoques
para defenderse de las amenazas avanzadas, integrar la
seguridad de la información en las estrategias de tecnología
y del negocio, y garantizar que los procesos de seguridad
sean eficaces y eficientes.
Ahora se requieren actividades técnicas y centradas
en el negocio avanzadas, que incluyen lo siguiente:
DD Riesgo del negocio/administración de riesgos de
la información en comparación con el análisis de
compensación
• Para sistematizar la toma de decisiones de
riesgo/compensación
DD Administración de datos de seguridad y data
warehousing
• Para desarrollar una infraestructura y una
estrategia general y así poder recopilar datos
de varios tipos a fin de usarlos para diferentes
objetivos, como la detección de amenazas, el
monitoreo de controles y la creación de informes
sobre el cumplimiento de normas
DD Optimización de los procesos de seguridad
• Para formalizar el mejoramiento de la eficacia
de los procesos de seguridad
DD Agilidad de controles
• Para lograr los objetivos de los controles de
seguridad con los nuevos métodos como respuesta
a tendencias como el cómputo móvil y en la nube
La base de la estrategia de un equipo es definir
la misión a fin de determinar quién hará cada cosa.
El cuadro 1 describe la misión de seguridad de la
información en organizaciones líderes de la actualidad.
Se enumeran desde las actividades más convencionales
hasta las que son cada vez más avanzadas. Las
organizaciones que cuentan con un programa convergente
también pueden incluir tareas relacionadas, como el fraude,
el descubrimiento electrónico, la privacidad, la calidad de
los productos o la seguridad física en la misión. En este
informe se tratan los componentes de la seguridad de la
información, teniendo en cuenta la coordinación necesaria
con otras actividades relacionadas.
DD Inventario y valoración de activos
• Para priorizar las estrategias de protección
y enfocarse en resguardar las “joyas de la corona”.
DD Integridad de la cadena de abastecimiento de
TI/administración de riesgos de terceros
• Para evaluar el número creciente de proveedores
de servicios de origen global y los componentes
del sistema
DD Inteligencia de riesgos cibernéticos y análisis de
amenazas
• Para comprender el panorama de los autores de las
amenazas y reconocer los indicadores de ataques
DD Análisis de datos de seguridad
• Para aplicar técnicas avanzadas de análisis y así
poder detectar un comportamiento anormal del
sistema o del usuario en ambientes de TI
RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council |
3
El nuevo plan de trabajo
Cuadro 1
la misión actual de la seguridad de la
información
Las actividades se enumeran en términos generales desde las más convencionales
a las que son cada vez más avanzadas.
Administración del
programa
• Determinar la estrategia general y planear el programa de administración de seguridad de la información
• Asegurarse de que el programa satisfaga las necesidades comerciales más importantes para la organización
• Coordinar con las tareas relacionadas, como el fraude, el descubrimiento electrónico, la seguridad física, la
seguridad de los productos o la privacidad
Política y estándares
de seguridad
• Desarrollar y documentar las directivas y reglas generales que prescriben cómo la organización protege la
información
• Elaborar el conjunto completo de controles de seguridad de la información administrativa, técnica y física
utilizado por la organización (es decir, el marco de trabajo de los controles), incluidos los controles de acceso,
el cifrado, la identificación y autenticación, la administración de la configuración, el monitoreo, los registros
de auditoría, la seguridad de las aplicaciones y la capacitación de concientización (del personal y los clientes)
• Considerar los requisitos de varias leyes y normativas (p. ej., SOX, HIPAA, PCI)
• Asegurarse de que los controles sean ágiles y hacer un control de los cambios en el panorama de amenazas
y del negocio
Implementación de
controles
• Implementar controles según la política y los estándares, y en función de los factores ambientales internos
y externos
Operación de
controles
• Operar los controles según la política y los estándares, y en función de los factores ambientales internos
y externos
Diseño de controles
(arquitectura de la
seguridad)
• Desarrollar controles nuevos o maneras nuevas de implementar los controles según los cambios en el
panorama de amenazas, de TI y del negocio
Garantía/supervisión
de controles
• Evaluar todos los controles para garantizar que cumplan con la política y los estándares
• Incluye técnicas de desarrollo de aplicaciones; especificación, implementación, personalización o desarrollo
de nueva tecnología de seguridad; y nuevos acuerdos y procedimientos para usuarios finales
• Verificar que todos los controles estén presentes y se ejecuten según su finalidad
• Asegurarse de que todos los controles se autentifiquen y monitoreen de manera consistente
Resistencia/
respuesta a los
incidentes
• Coordinar y administrar la respuesta de la organización a los incidentes de seguridad, incluida la
recuperación de desastres/continuidad del negocio
Evaluación de riesgos
de la información
• Evaluar los riesgos de un programa, proceso, proyecto, iniciativa o sistema en función del valor de la
información, los activos de datos, las amenazas y vulnerabilidades aplicables, la probabilidad de riesgos,
el impacto en la organización (p. ej., sobre la reputación, los ingresos, el incumplimiento de las normas)
y las pérdidas estimadas
Riesgo del negocio/
administración
de riesgos de la
información en
comparación
con el análisis de
compensación
• Establecer niveles de tolerancia y de aceptación de riesgos autorizados de los responsables de riesgos
• En función de la evaluación de riesgos para un programa, proceso, proyecto, iniciativa o sistema en
particular, formular una estrategia de mitigación y corrección de riesgos
• Contar con un proceso consistente para evaluar los riesgos de seguridad de la información en comparación
con las compensaciones del negocio
• Determinar los controles necesarios para llevar el riesgo a un nivel aceptable
• Integrar el riesgo de la información con el programa/marco de trabajo de administración de riesgos de la
empresa
4|
Informe del Security for Business Innovation Council
| RSA, la División de seguridad de EMC
El nuevo plan de trabajo
Inventario
y valoración
de activos
• Definir el inventario completo de los procesos del negocio, los datos confidenciales y los sistemas de
información que usa la organización
• Realizar un mapeo integral del flujo de datos y de la documentación de los procesos del negocio a fin
de comprender los procesos y los datos que requieren protección y formular estrategias de protección
• Identificar a los usuarios privilegiados en toda la empresa ampliada que tengan acceso a los sistemas
importantes
• Determinar el valor de los activos para priorizar las estrategias de protección
Integridad de
la cadena de
abastecimiento de
TI/administración de
riesgos de terceros
• Asegurarse de que se realice una evaluación de riesgos antes de que la organización establezca una relación
con terceros
• Desarrollar un proceso de diligencia debida para evaluar a los proveedores, partners y abastecedores
• Evaluar los riesgos que implica hacer negocios con proveedores, partners y abastecedores de manera
continua
• Comprender la cadena de abastecimiento de TI y evaluar la seguridad del hardware y el software que se usa
en el ambiente de TI de la empresa
• Aumentar la eficiencia por medio de evaluaciones compartidas y el monitoreo continuo de los controles
Inteligencia de
riesgos cibernéticos
y análisis de
amenazas
• Comprender el panorama adversario relacionado con los activos del negocio (identidad, capacidades,
motivaciones, objetivos)
• Recopilar datos de inteligencia con respecto a las amenazas para la organización
• Administrar las fuentes de datos de inteligencia, interpretar los datos, realizar análisis y generar alertas
e informes de inteligencia de amenazas
• Integrar la inteligencia y el modelado de amenazas en el ciclo de vida y el proceso de administración de
seguridad completo
Análisis de datos de
seguridad
• Usar la ciencia de datos y técnicas analíticas avanzadas para analizar los datos de seguridad enriquecidos
con los datos de inteligencia
• Desarrollar consultas, algoritmos y modelos de datos usados para detectar o predecir la actividad maliciosa
Administración de
datos de seguridad
y Data Warehousing
• Desarrollar una infraestructura y una estrategia de administración de datos para sumar y analizar datos
de seguridad de varios tipos (sistemas de seguridad, bases de datos, aplicaciones, feeds de amenazas) para
distintos propósitos (p. ej., detección de amenazas, cumplimiento de normas y administración de riesgos
de la empresa, monitoreo continuo de controles)
• Diseñar un data warehouse para los datos de seguridad
Optimización de
los procesos de
seguridad
• Rastrear y medir de manera consistente la eficacia de los procesos de seguridad y las mejoras de
implementación mediante una administración de calidad formalizada, administración de proyectos
y metodologías de prestación de servicios
Planificación de
mayor alcance
• Observar las futuras tendencias de negocios, tecnología y normativa a fin de formular estrategias
de seguridad proactivas. Por ejemplo, los desarrollos de tecnología como “Internet de las cosas” y el
cómputo portátil traen nuevos retos de seguridad
RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council |
5
Retos y oportunidades
3
C
dave martin
Vicepresidente y director de seguridad, EMC
Corporation
rear un equipo de seguridad de la información eficaz
trae aparejado un cierto número de retos actuales:
DD La experiencia escasea y el talento es difícil
de mantener
• Existe una gran demanda de expertos
especializados en riesgos comerciales
y de seguridad.
DD El presupuesto es limitado
DD Los equipos de seguridad ya trabajan a plena
capacidad
DD La atención de la sala de juntas requiere una visión
del negocio
• A medida que la seguridad de la información
se vuelve un componente más importante de
la estrategia comercial, los profesionales de
seguridad requieren un conocimiento más
profundo del negocio.
Es sorprendente de ver. Hemos pasado de
‘ustedes, muchachos de seguridad, se están
entrometiendo, ¿por qué tenemos que hacer
esto?’ a tener unidades comerciales que usan
nuestros servicios de consultaría central para
implementar estrategias de mitigación de
riesgos. Está cobrando velocidad porque las
unidades comerciales se están dando cuenta
de que necesitan administrar sus riesgos, en
lugar de confiar en que otra persona intente
solucionarlos o le entierran la cabeza en
la arena”.
La buena noticia es que también existen
algunas oportunidades emergentes:
DD La concientización se está ampliando
• En todos los niveles, desde los
usuarios finales hasta el liderazgo,
la concientización respecto de los
problemas de seguridad es más alta
que nunca debido a la atención de
los medios, la experiencia real con
los ataques cibernéticos o la presión
normativa.
DD El negocio se está apropiando de los riesgos
• En muchas organizaciones, está
surgiendo un cambio fundamental en
el pensamiento, donde el personal que
no pertenece al área de seguridad está
detectando que ellos, y no el personal
de seguridad, son responsables de sus
activos de información y que deben
asociarse de manera activa con el área
de seguridad para administrar esos
riesgos.
DD El caché para las carreras de seguridad crece cada
vez más
• Es un momento maravilloso estar en la seguridad
de la información, ya que aborda nuevos aspectos,
como el análisis de riesgos del negocio, la
inteligencia cibernética y la ciencia de datos. Los
informes de noticias y los retratos de Hollywood
que defienden el ciberespacio también están
generando más interés en el campo, lo que puede
ayudar a atraer talento.
6|
Informe del Security for Business Innovation Council
DD El rango de proveedores de servicios está aumentando
• A medida que el mercado responde a las
crecientes demandas, se hace más factible para las
organizaciones recurrir a proveedores de servicios
de seguridad externos a fin de reducir los costos,
obtener conocimiento especializado, ayudar
a lograr un aumento de las actividades o brindar
asesoramiento independiente.
| RSA, la División de seguridad de EMC
4
Recomendaciones
P
Vuelva a definir y fortalezca las competencias
clave
ara lograr el éxito, la función de la
seguridad de la información es un esfuerzo
interorganizacional, con procesos de
seguridad integrados profundamente con los procesos del
negocio. El equipo de seguridad de la información ampliado
puede incluir lo siguiente:
DD Personal de TI que implemente y opere controles
de seguridad
Delegue las operaciones de rutina
Solicite o contrate los servicios de expertos
Dirija a los responsables de riesgos en la
administración de riesgos
DD Gerentes de riesgos en unidades comerciales que
corrijan los riesgos
Contrate a especialistas en optimización
de procesos
DD Profesionales en adquisiciones que implementen
protocolos de garantía de proveedores y de evaluación
de riesgos para evaluar a los abastecedores
Desarrolle relaciones clave
DD Una oficina de privacidad que rastree las normativas
DD Personal de marketing que monitoree las redes
sociales para obtener información sobre las posibles
amenazas
El equipo de seguridad de la información principal rige
y coordina el trabajo total y realiza las tareas que requieren
centralización o un conocimiento especializado. Una
parte del personal que realiza tareas de seguridad fuera
del equipo principal puede tener una dependencia directa
o de varios jefes; otra parte puede estar operando según
estándares de seguridad o acuerdos de nivel de servicio
(SLA, Service Level Agreement). El cuadro 2 del Apéndice
muestra quién hace cada tarea en un equipo ampliado,
a saber, la seguridad de la información principal, TI, el
negocio y los proveedores de servicios.
Las siguientes recomendaciones brindan una guía para
crear un equipo ampliado de última generación para
administrar eficazmente los riesgos de seguridad de
la información y hacer un uso óptimo de los recursos
humanos disponibles. Según el nivel de maduración de una
organización, esta guía podría ayudar a comenzar, validar
un enfoque o acelerar el progreso en áreas en particular.
Piense de manera creativa en el talento futuro
1. Vuelva a definir y fortalezca
las competencias clave
Dentro de las organizaciones líderes, los equipos de
seguridad de la información principales están concentrados
actualmente en aumentar el conocimiento en cuatro áreas
principales: inteligencia de riesgos cibernéticos y análisis de
datos de seguridad, administración de datos de seguridad,
consultoría sobre riesgos, y garantía y diseño de controles.
En función del tamaño del equipo principal y del nivel
de especialización, los miembros individuales pueden
abarcar tareas muy específicas o varias áreas. Cada
área requiere un conjunto de habilidades clave que, con
frecuencia, son nuevas para los miembros del equipo.
Al avanzar, el personal existente deberá desarrollar las
habilidades exigidas por medio de la capacitación, o el
equipo fundamental deberá agregar nuevos miembros
o contratar a proveedores de servicios.
RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council |
7
recomendaciones
1. Inteligencia de riesgos cibernéticos y análisis de datos
de seguridad
Debido al panorama de amenazas cada vez mayores,
mejorar la detección de amenazas es fundamental para
la mayoría de las organizaciones en todo el mundo, en
especial el desarrollo de un enfoque impulsado por la
inteligencia (consultar el informe del SBIC “Getting
Ahead of Advanced Threats: Achieving IntelligenceDriven Information Security” [Adelantarse a las amenazas
avanzadas: obtener seguridad de la información impulsada
por la inteligencia]). Esto requiere recopilar y amalgamar
datos de inteligencia cibernética de fuentes internas
(p. ej., sensores en los sistemas de TI y las aplicaciones
comerciales) y fuentes externas (p. ej., feeds de amenazas
gubernamentales o comerciales), y usar técnicas avanzadas
de análisis de datos para detectar indicadores o patrones de
comportamiento anormal. El equipo principal debe tener la
capacidad de lograr una concientización de la situación de
la organización.
Determinar las fuentes de datos relevantes y realizar
análisis significativos requieren una comprensión profunda
del verdadero ambiente comercial, los activos que se deben
proteger y el panorama adversario cibernético. Los equipos
de seguridad están comenzando a aprovechar el poder de las
tecnologías de grandes volúmenes de datos con el objetivo
no solo de detectar, sino también de predecir los ataques.
DD Habilidades clave de las personas: redes internas
y externas para desarrollar buenas fuentes de
inteligencia, comunicación para crear informes
y presentar resúmenes de inteligencia
DD Habilidades clave de procesos: diseño de un proceso
de inteligencia integral, incluida la obtención
y el filtrado de datos, la realización de análisis,
la comunicación de resultados, la toma de decisiones
de riesgo y la toma de medidas
DD Habilidades técnicas clave: análisis (hacer relaciones
entre datos aparentemente no relacionados), técnicas
de análisis de datos y ciencia de datos
2. Administración de datos de seguridad
A medida que buscan técnicas de análisis de datos para
la detección de amenazas, las organizaciones están notando
la necesidad de una infraestructura y estrategia global de
administración de datos de seguridad. Esto requiere la
combinación de datos de seguridad del ambiente de TI,
incluidos registros, flujos de datos de paquetes completos
y datos no estructurados de sistemas, bases de datos
y aplicaciones comerciales. Los datos se pueden aplicar
más allá de la detección de amenazas, por ejemplo, en la
administración de riesgos empresariales, y en el monitoreo
de controles continuo y el cumplimiento de normas.
DD Habilidades clave de las personas: interconexión
con TI y el negocio, incluidos los arquitectos de
administración de datos empresariales
DD Habilidades clave de procesos: mapeo de los flujos de
datos de seguridad en todo el ambiente de TI de la
organización
DD Habilidades técnicas clave: habilidades de TI
principales, como la arquitectura de almacenamiento,
la arquitectura de procesamiento, el esquema de
datos, la normalización y el manejo de cuellos de
botella de redes
3. Consultoría sobre riesgos
El equipo principal actúa como asesor, aconseja al
negocio sobre la administración de los riesgos de los
activos de información, incluidos aquellos relacionados
con la seguridad, la privacidad y los problemas legales,
el cumplimiento de normas y el descubrimiento electrónico.
El equipo principal debe tener un profundo conocimiento
de los procesos del negocio. Deben poder colaborar con
las partes interesadas para evaluar los riesgos, evaluar los
activos, determinar las estrategias de mitigación de riesgos
y garantizar que se analicen los riesgos cuando se inicien
los proyectos. Un conjunto de riesgos de rápido crecimiento
para administrar proviene de terceros. Las estrategias
de cómputo en la nube y aprovisionamiento global están
impulsando a las organizaciones a aumentar aún más el uso
de proveedores de servicios subcontratados e incorporar
nuevos partners y proveedores comerciales. Saber cómo
realizar diligencias debidas de terceros, evaluaciones
“La experiencia del equipo principal de seguridad se debe
enfocar principalmente en brindar consultoría, proporcionar
indicaciones, impulsar la estrategia, identificar y explicar los
riesgos al negocio, comprender las amenazas y lograr que la
organización avance; no estar abrumados con las actividades
operativas de rutina”.
8|
Informe del Security for Business Innovation Council
| RSA, la División de seguridad de EMC
bob rodger
Líder de grupo de seguridad de la
infraestructura, HSBC Holdings plc.
recomendaciones
continuas, y evaluaciones de hardware y software de
manera eficiente y eficaz es fundamental.
DD Habilidades clave de las personas: liderazgo,
redes internas para la concientización de las
estrategias comerciales, comunicación (escuchar,
articulación verbal, manejo de conversaciones
complejas, sensibilidad a las diferencias culturales
y organizacionales)
DD Habilidades clave de procesos: documentación
y mapeo de procesos comerciales, estructuras de
trabajo de administración de riesgos, protocolos para
evaluaciones de riesgos de terceros y garantía de
controles (incluidas las evaluaciones compartidas),
administración de proveedores de servicios
subcontratados y comunidades de la cadena
de abastecimiento
DD Habilidades técnicas clave: evaluación de riesgos,
medición de diversos riesgos y niveles de tolerancia
a riesgos en una organización con un método
estandarizado, automatización de las actividades
de administración de riesgos y de evaluación de
proveedores, monitoreo de controles continuo
4. Diseño y garantía de controles
El equipo principal se debe concentrar
fundamentalmente en las áreas de diseño de controles
innovadores alineados con los objetivos comerciales y el
desarrollo de técnicas avanzadas de prueba para garantizar
los controles. Este trabajo incluye la investigación y el
desarrollo, y la evaluación e implementación de nuevas
tecnologías de seguridad. Los analistas de controles deben
dirigir la recopilación de evidencias no solo para comprobar
que los controles estén funcionando tal como se espera, sino
también para garantizar que sean óptimos para defenderse
de las amenazas más recientes y permitir la agilidad
comercial.
DD Habilidades clave de las personas: transformar los
requisitos comerciales y de cumplimiento de normas
en requisitos de seguridad, en cooperación con la
arquitectura empresarial
DD Habilidades clave de procesos: documentar
la estructura de trabajo de los controles de la
organización, desarrollar protocolos para la
acreditación y evaluación de controles
DD Habilidades técnicas clave: arquitectura de seguridad,
seguridad de aplicaciones, seguridad móvil, seguridad
en la nube, monitoreo continuo de controles, pruebas
y análisis avanzados de controles de seguridad
2. Delegue las operaciones
de rutina
Los equipos de seguridad tradicionales están más
cómodos al hacer todo por sí solos. Pero esto debe cambiar.
Delegar las operaciones de seguridad de rutina a otros
grupos internos o a proveedores de servicios externos
permite al equipo principal concentrarse en ser más
proactivo y estratégico, lo que maximiza su conocimiento
técnico y sus capacidades de administración de riesgos
comerciales. Además, por medio de la escalación y la
especialización, los proveedores de servicios adecuados
no solo pueden reducir los costos, sino también aumentar
la calidad.
Los procesos repetibles y bien establecidos son buenos
candidatos para delegar. Algunos ejemplos incluyen
asignar la operación de los firewalls, la autenticación,
los sistemas de prevención de intrusiones o el software
antivirus a grupos de TI o a proveedores de servicios
de seguridad administrados (MSSP, Managed Security
Service Provider). Asigne el aprovisionamiento de acceso
al usuario a nivel de las aplicaciones y la administración
de las cuentas de usuario a las unidades comerciales.
Capacite a los desarrolladores en seguridad de aplicaciones
y proporcióneles herramientas para encontrar
vulnerabilidades. Considere el uso de la seguridad como
servicio para el escaneo y las pruebas.
A medida que el equipo principal asigne actividades,
deberá conservar un nivel adecuado de control mediante
requisitos, estándares y SLA integrales. El equipo
principal también debe tener conocimientos técnicos
en seguridad suficientes, así como también habilidades
de administración de proveedores, para garantizar una
supervisión eficaz. Las organizaciones que están ansiosas
por subcontratar la seguridad a terceros pueden lograr, con
frecuencia, los mismos objetivos al “subcontratar” a grupos
de TI internos; sin embargo, se requiere el mismo nivel de
supervisión, independientemente del tipo de proveedor de
servicios.
Con el paso del tiempo, el equipo principal debe evaluar
continuamente qué sería más eficiente o rentable que
hicieran otras personas. Por ejemplo, es posible que en un
comienzo el equipo principal maneje la implementación
y las operaciones de una nueva tecnología en seguridad,
pero con el tiempo esto se convierte en algo estandarizado
y las operaciones continuas se pueden delegar.
RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council |
9
recomendaciones
3. Solicite o contrate los
servicios de expertos
Un reto común es que el equipo principal no tenga
experiencia en áreas especializadas en particular. Los
expertos externos al departamento de seguridad pueden
llenar este vacío. Por ejemplo, algunos equipos de
seguridad están contratando personal para analizar datos
de proveedores de servicios o involucran a empleados
para dichas tareas provenientes de otras partes de la
organización, como fraude o marketing. Es posible que los
grandes volúmenes de datos sean nuevos para la seguridad,
pero otras áreas del negocio han estado utilizando técnicas
de análisis de datos durante años.
Cuando resulte imposible o simplemente demasiado
costoso contar con determinados expertos en el personal
que trabajen a tiempo completo, como los especialistas
forenses de malware o los analistas de inteligencia de
amenazas cibernéticas, las organizaciones pueden recurrir
a proveedores de servicios externos de manera continua.
Es posible que los equipos principales necesiten talento
adicional para manejar un aumento de actividades o para
ayudar cuando los miembros del equipo abandonan su
trabajo. Otra buena opción es formar una sociedad con
una empresa de consultoría sobre seguridad, que puede
proporcionar profesionales en seguridad de alto nivel
y polifacéticos con honorarios. Pueden aumentar las
capacidades del equipo principal y ofrecer una perspectiva
independiente.
Para resolver problemas particularmente complejos,
con frecuencia lo más lógico es contar con expertos en
la materia, como un asesor en arquitectura de seguridad
especializado en una tecnología específica. Tenga en cuenta
que el equipo principal aún necesita tener el conocimiento
suficiente interno para aplicar conocimiento subcontratado.
Si no tengo una habilidad esencial,
la desarrollo o la compro. Debe saber
cuándo desarrollar o comprar según
el costo total de propiedad. Para
algunas habilidades, a veces lo más
lógico es recurrir a un proveedor de
servicios”.
Marene n. Allison
Vicepresidenta mundial de seguridad de la
información, Johnson & Johnson
4. Dirija a los responsables de
riesgos en la administración
de riesgos
Generalmente, los gerentes ejecutivos del negocio son
responsables de las decisiones de administración de riesgos
asociadas con iniciativas como lanzar un nuevo producto
o servicio, programas de uso del dispositivo propio (BYOD,
Bring Your Own Device), recursos de información como
los sitios web orientados al cliente o procesos comerciales
como la generación de informes financieros. Debido
a que los líderes del negocio reconocen cada vez más su
responsabilidad en relación con la administración de los
riesgos de la seguridad cibernética, una cantidad cada vez
mayor de organizaciones tienen gerentes dedicados a los
riesgos de seguridad de la información en las unidades
comerciales, responsables de la corrección de riesgos.
La función del equipo principal es dirigir las actividades
de administración de riesgos de la información y asociarse
con el negocio para administrar los riesgos de la seguridad
cibernética. Esto implica coordinar un enfoque coherente
para la identificación, evaluación, mitigación, corrección
y generación de informes de riesgos; comparar los riesgos
con las compensaciones; establecer niveles de tolerancia
y niveles aceptables en relación con los riesgos; e incorporar
el riesgo de la información al programa de administración
de riesgos empresariales general. Los aspectos clave
son facilitar la tarea al negocio y hacer que estos sean
responsables de administrar los riesgos al brindar
herramientas de autoservicio, integrar la administración
de riesgos en los procesos comerciales e implementar la
automatización.
“Tradicionalmente el equipo de
seguridad de la información se
concentraba más en la tecnología.
Pero una función cada vez más
importante es colaborar con el negocio,
traer los requisitos a la organización
de seguridad y, a su vez, llevar la
perspectiva de seguridad al negocio”.
10 |
Informe del Security for Business Innovation Council
| RSA, la División de seguridad de EMC
Felix Mohan
Vicepresidente sénior y director
global de seguridad de la información,
Airtel
recomendaciones
5. Contrate a especialistas en
optimización de procesos
La experiencia en los procesos se ha convertido en un
aspecto esencial de un equipo de última generación.
Las personas del equipo deben ser hábiles para la
administración de calidad, proyectos o programas;
optimización de procesos; y prestación de servicios.
Además, deben ser personas a quienes se pueda capacitar
en seguridad. Considere la contratación de personas que
tengan diplomas/credenciales en la mejora de procesos de
Six Sigma, la administración de servicios de TI (ITSM)
de ITIL, el buen manejo y control de TI de COBIT o la
arquitectura empresarial de TOGAF. Algunos equipos
principales han podido aprovechar a los expertos en
procesos o profesionales en administración de programas
de otras áreas de la organización, como el Departamento
de Calidad o la Oficina de programas empresariales.
Al contar con experiencia en los procesos, se ayudará
a satisfacer las demandas cada vez mayores de las mejoras
de procesos. Por ejemplo, debido al panorama de amenazas,
algunas organizaciones querrían tener los parches de
todos los sistemas esenciales en horas, en vez de semanas.
Las unidades comerciales desean reducir el impacto de
la seguridad en los procesos del negocio, lo que minimiza
la fricción para los usuarios finales y el tiempo fuera de
los servidores. Los reguladores desean controles más
estrictos en el acceso a la información, como la revocación
de los derechos vencidos en minutos, en vez de días. Se
esperará que el departamento de seguridad mida cada vez
más la productividad de las inversiones en seguridad y
brinde mejoras cuantificables con el tiempo. Esto incluye
la agilidad y repetición de los procesos, y la habilidad de
escalar.
“Tenemos un concepto fundamental para nuestra
organización de seguridad: ‘La formalidad es
importante’. Nuestros procesos se tienen que documentar
y revisar detalladamente. ¿Qué podemos hacer para que
sean más eficientes? ¿Más eficaces? ¿Nos falta algo? Se
necesitan personas con una gran experiencia en procesos
y calidad si se desea tener credibilidad por parte de los
líderes del negocio”.
Denise d. Wood
Vicepresidenta corporativa, seguridad de la información, directora
de seguridad de la información, directora de riesgos de TI,
FedEx Corporation
Para una empresa cibernética ampliada, fíjese en
quiénes son sus proveedores de servicios importantes y
establezca una relación laboral sólida con estos. No deje
que los villanos se escondan elevando el estándar de
cumplimiento a las buenas prácticas de seguridad en
todo su entorno”.
6. Desarrolle relaciones clave
Las relaciones sólidas en toda la organización son
esenciales para el equipo principal de modo que se
determine el número creciente de responsabilidades de
seguridad del personal, crear un ambiente colaborativo
y garantizar que los miembros del equipo ampliado
comprendan y realicen sus tareas. El equipo principal debe
llegar a todas las áreas de la empresa y comprometerse en
todos los niveles. Debe estar bien posicionados para tener
influencia en los participantes clave, como los que controlan
las inversiones en tecnología y los que toman las decisiones
comerciales estratégicas.
Una de las relaciones más importantes es con aquellos
que poseen las “joyas de la corona” de la organización, por
ejemplo, los conjuntos de datos y los procesos comerciales
con propiedad intelectual o datos de propiedad. Otra es
con la administración media; se pueden lograr avances
significativos cuando la administración media está de su
lado. Los proveedores de subcontratación de procesos de
negocios (BPO, Business Process Outsourcing) también
deben ser un objetivo clave. El equipo principal debe
desarrollar una red fuerte de contactos de seguridad de
BPO y trabajar con ellos para garantizar altos estándares
de seguridad y el uso compartido de información dentro de
toda la comunidad.
William Boni
Director corporativo de seguridad de la información (CISO),
vicepresidente, seguridad de la información empresarial,
T-Mobile USA
RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council |
11
7. Piense de manera creativa
en el talento futuro
El interés por el campo de la seguridad de la
información está en aumento, pero a corto plazo escasearán
los profesionales con habilidades adecuadas de consultoría
de riesgos y seguridad cibernética. Es realmente un reto
encontrar talento con conocimiento práctico sobre las
tecnologías de seguridad que están surgiendo. Mientras
tanto, algunas organizaciones están recurriendo a MSSP,
ya que es difícil reclutar o conservar a los talentos con
determinadas habilidades técnicas. Además, los equipos
de seguridad también necesitan profesionales que
puedan trascender los conocimientos técnicos para lograr
conversaciones productivas sobre los riesgos comerciales
con accionistas clave.
Una estrategia de reclutamiento continua es esencial
para crear un equipo de seguridad eficaz. Trabaje con
las unidades comerciales y los recursos humanos para
evaluar las necesidades y las posibles fuentes de talento.
Cada vez más las organizaciones están reclutando a
personas que no tienen experiencia en seguridad, pero que
cuentan con valiosas habilidades y se pueden capacitar
en esta materia. Un enfoque es crear una “academia de
seguridad cibernética” interna. Otro es brindar respaldo
a los miembros individuales del equipo para que busquen
certificaciones y cursos de capacitación externos, o
establecer programas de tutoría. Además de los nuevos
graduados, los nuevos empleados pueden ser personas
internas de TI u otras áreas que puedan estar interesadas
Debido a la falta de experiencia disponible de manera inmediata, el
desarrollo del talento es la única solución verdadera a largo plazo
para la mayoría de las organizaciones.
en hacer una carrera en seguridad. Suelen ser los mejores
empleados ya que cuentan con el conocimiento de la
organización y las redes establecidas.
Debido a la falta de experiencia disponible de manera
inmediata, el desarrollo del talento es la única
solución verdadera a largo plazo para la mayoría de las
organizaciones. Sea abierto al buscar personas para
capacitar en funciones de seguridad. Existe una amplia
variedad de conocimientos valiosos, como administración
de bases de datos, desarrollo de software, análisis comercial,
inteligencia militar u oficiales legales y de privacidad.
Algunos equipos principales han contratado recientemente
a científicos de datos que tienen conocimientos sobre la
secuencia de ADN. Las personas que tienen conocimientos
teóricos en áreas como econometría o matemática pueden
aumentar sus capacidades técnicas prácticas. Otras
personas con conocimientos en historia o periodismo
pueden ofrecer excelentes habilidades de investigación.
Debido a que la conservación es un reto importante al
capacitar personas para que tengan las habilidades en
seguridad tan buscadas, es importante ofrecer una carrera
atractiva e inmediata para los miembros individuales del
equipo y garantizar una compensación en el mercado.
12 |
Informe del Security for Business Innovation Council
“Al incorporar personal a una
organización, uno seguramente
desea tener una variedad de
perspectivas. En la actualidad,
esto es más importante que
nunca ya que el cambio en el
lado del negocio está superando
las capacidades de seguridad
y requerirá un pensamiento
innovador para solucionar estos
problemas”.
Jerry r. Geisler iii
Oficina del director de
seguridad de la información,
Walmart Stores Inc.
Muchas organizaciones también se están asociando
con universidades para garantizar el crecimiento de la
cantidad de talentos en seguridad. Esto puede incluir crear
programas de desarrollo de liderazgo, ayudar a que el plan
de estudios se adapte a las necesidades del sector u ofrecer
oportunidades de pasantías/cooperación. Los programas
de promoción de las universidades e incluso de nivel
secundario pueden ayudar a capacitar a la posible fuerza
de trabajo sobre las carreras de seguridad cibernética.
| RSA, la División de seguridad de EMC
Conclusión
Los equipos de seguridad de la información están
evolucionando para satisfacer las demandas de un
ambiente comercial, un panorama de amenazas
y un régimen normativo cada vez más desafiantes.
La concientización acerca de los problemas de
seguridad está permitiendo un cambio en la posición
de la seguridad de la información dentro de las
organizaciones, porque está dejando de ser un sistema
técnico aislado para convertirse en un esfuerzo
verdaderamente colaborativo. Las organizaciones
también están descubriendo que cumplir con los
requisitos de seguridad requiere prestar más atención
al proceso. Hoy en día, un equipo de seguridad
eficaz tiene una comprensión sólida de los procesos
comerciales y de la importancia de contar con buenos
procesos de seguridad para lograr su propio mandato.
El siguiente informe de esta serie de tres partes sobre
la transformación de la seguridad de la información
explorará aún más cómo las organizaciones líderes
están reconsiderando y optimizando los procesos. El tercer
informe abordará cómo las nuevas tecnologías encajan en
la imagen de un programa de seguridad de la información
moderno con un equipo creativo y orientado al futuro como
base.
Acerca del Security for Business
Innovation Council
La innovación comercial se ha convertido en lo
más importante en la agenda de la mayoría de las empresas,
ya que los líderes de mayor jerarquía se esfuerzan por
aprovechar el poder de la globalización y la tecnología para
crear valor y eficiencias nuevos. Sin embargo, todavía hay
un eslabón perdido. A pesar de que la innovación comercial
está alimentada por los sistemas de TI y de la información,
la protección de estos sistemas generalmente no se considera
una estrategia; incluso cuando las empresas enfrentan
presiones normativas y amenazas cada vez mayores. De
hecho, la seguridad de la información suele ser una idea
tardía agregada al final de un proyecto o, lo que es peor, que
directamente ni se aborda. Pero sin la estrategia de seguridad
adecuada, la innovación comercial podría verse obstruida
fácilmente o podría poner a la organización en un gran riesgo.
En RSA, consideramos que si los equipos de
seguridad son partners verdaderos del proceso de
innovación comercial, pueden ayudar a las organizaciones
a lograr resultados sin precedentes. Ahora es el momento
indicado para un nuevo enfoque; la seguridad debe dejar
de ser una especialidad técnica para convertirse en una
estrategia comercial. Aunque la mayoría de los equipos de
seguridad han reconocido la necesidad de alinear mejor la
seguridad con el negocio, todavía muchos están luchando
para transformar esta comprensión en planes o acciones
concretos. Saben qué deben hacer, pero no están seguros
de cómo lograrlo. Por este motivo, RSA está trabajando con
algunos de los líderes más importantes en seguridad del
mundo para impulsar la comunicación con todo el sector
a fin de identificar una manera de avanzar.
RSA ha convocado a un grupo de ejecutivos de
seguridad altamente exitosos de las empresas de la lista
Global 1000 en una variedad de sectores que llamamos
“Security for Business Innovation Council”. Estamos
realizando una serie de entrevistas en profundidad con
este consejo, publicando sus ideas en una serie de informes
y patrocinando una investigación independiente que explore
estos temas. Visite www.rsa.com/securityforinnovation para
ver los informes o acceder a la investigación. Juntos podemos
acelerar esta transformación importante para el sector.
RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council |
13
A
Apéndice
Ilustración de un equipo ampliado de
seguridad de la información de última
generación
Cuadro 2
La administración ejecutiva y la junta directiva supervisan el programa.
Miembros del
Seguridad de la
equipo
información principal
• Un amplio rango de
especialistas
• Las personas pueden
tener más de una
función
Proveedores de
TI
Negocio
servicios (usos
comunes)
Personal involucrado en
funciones de seguridad
operativa y estratégica
Giros comerciales (LOB)
y áreas funcionales (p. ej.,
Privacidad, Recursos
Humanos, Marketing,
Depto. Legal, Auditoría,
Adquisición)
• Puede combinarse
con los equipos
de seguridad de
los productos,
descubrimiento
electrónico
o seguridad física
Actividades
Asesores con
experiencia en la
materia (SME),
proveedores de
servicios de seguridad
administrados (MSSP)
y proveedores de nube
(SAAS)
Responsabilidades específicas
Administración
del programa
El CISO lidera el programa y
preside el “comité de riesgos de
la información” interfuncional
El director de TI participa
en el “comité de riesgos de la
información”
Determinados ejecutivos
comerciales participan en
el “comité de riesgos de la
información”
Política y
estándares de
seguridad
Desarrollar políticas
y estándares
Consultar políticas y
estándares
Consultar políticas
y estándares
Implementación
de controles
• Administrar y supervisar
la implementación de
controles
Implementar controles en
los estándares de seguridad o
brindar servicios que cumplan
con los SLA de seguridad
Facilitar la implementación
de controles
Los MSSP brindan servicios
de implementación de
controles que cumplan con
los SLA de seguridad
Asegurar que las operaciones
comerciales cumplan con
los requisitos de control de
seguridad
Los MSSP brindan servicios
de operación de controles
que cumplan con los SLA de
seguridad
• Realizar la implementación
de controles en casos más
complejos
Operaciones de
controles
• Administrar y supervisar las Implementar controles en
operaciones de controles
los estándares de seguridad o
brindar servicios que cumplan
• Operar controles más nuevos con los SLA de seguridad
o más complejos
Garantía de
controles
• Realizar evaluaciones de
controles y desarrollar
herramientas avanzadas
para la prueba y el análisis
de los controles
Los MSSP brindan
servicios, p. ej., revisión de
código fuente, escaneo de
vulnerabilidades
• Implementar un monitoreo
continuo de controles
14 |
Diseño de
controles
(arquitectura de
la seguridad)
• Impulsar el diseño de
nuevos controles de
seguridad
Resistencia/
respuesta a los
incidentes
Administrar y coordinar la
respuesta entre organizaciones
Consultar sobre el diseño de
nuevos controles de seguridad
Consultar sobre el diseño de
nuevos controles de seguridad
Trabajar en los aspectos
técnicos de la respuesta
Trabajar en los aspectos
legales, de relaciones públicas
y de recursos humanos de la
respuesta
• Trabajar con la
arquitectura de TI
empresarial
Informe del Security for Business Innovation Council
| RSA, la División de seguridad de EMC
Los ingenieros de
mantenimiento de sistemas
(SME) brindan análisis
forenses y de malware
Evaluación de
riesgos de la
información
• Administrar el programa
de evaluación de riesgos
• Realizar evaluaciones
de riesgos en casos más
complejos
Realizar evaluaciones de
riesgos con herramientas
que proporciona el equipo
principal
• Consulta con el personal
del Depto. Legal acerca
de los riesgos legales y de
cumplimiento de normas
• Brindar herramientas para
facilitar las evaluaciones
de riesgos
• Impulsar las actividades de
administración de riesgos
• Realizar evaluaciones de
riesgos con herramientas
que proporciona el equipo
principal
La tendencia emergente
son las evaluaciones de
riesgos realizadas por los
proveedores de servicios
que cumplen con los
SLA de seguridad
• Trabajar con el equipo
principal para administrar
los riesgos
• Trabajar con el equipo
principal para administrar
los riesgos
• Facilitar la solución de
riesgos identificados
• Facilitar la solución de
riesgos identificados
• Informar con regularidad
el estado de los riesgos
• Informar con regularidad
el estado de los riesgos
• Impulsar el programa de
integridad de la cadena
de abastecimiento y la
administración de riesgos
de terceros
• Realizar evaluaciones de
terceros y de diligencia
debida con herramientas
que brinde el equipo
principal
• Realizar evaluaciones de
terceros y de diligencia
debida con herramientas
que brinde el equipo
principal
• Desarrollar estándares
y brindar herramientas
para las evaluaciones de
terceros, y de hardware
y software
• Realizar la evaluación de
hardware y software con
herramientas que brinde
el equipo principal
• Adquisición desarrolla
evaluaciones de seguridad
del proceso de adquisición
Inventario y
valoración de
activos
Impulsar el desarrollo del
registro
Interactuar con el equipo
principal para enumerar
y valorar los activos
Interactuar con el equipo
principal para enumerar
y valorar los activos
Inteligencia
de riesgos
cibernéticos
y análisis de
amenazas
• Administrar el programa
de inteligencia
Compartir datos de
inteligencia, como el
monitoreo de redes sociales
Los SME brindan análisis
de amenazas y fuentes
• Coordinar las fuentes
Compartir datos de
inteligencia, como correos
electrónicos de robo de
identidad
Análisis de datos
de seguridad
Impulsar el desarrollo de
consultas y modelos
Consultar o brindar servicios
de análisis de datos
Consultar o brindar servicios
de análisis de datos
Los SME o MSSP brindan
servicios de análisis de datos
Administración
de datos de
seguridad y Data
Warehousing
Impulsar la estrategia de
administración de datos de
seguridad y diseñar el data
warehouse de seguridad
• Impulsar la estrategia de
administración de datos
general de la organización
Consultar las fuentes de datos,
como los registros de base de
datos y aplicaciones
• Los SME brindan feeds
de amenazas
Optimización de
los procesos de
seguridad
Impulsar la optimización de
los proceso de seguridad en
toda la organización
Consultar y facilitar la
implementación de mejoras
Consultar y facilitar la
implementación de mejoras
Planificación de
mayor alcance
Observar las futuras
tendencias de negocios,
tecnología y normativa a fin
de formular estrategias de
seguridad proactivas
Colaborar en las futuras
tendencias y estrategias
proactivas
Colaborar en las futuras
tendencias y estrategias
proactivas
Riesgo del
negocio/
administración
de riesgos de la
información en
comparación
con el análisis de
compensación
• Interactuar con TI y el
negocio
• Consultar sobre la
administración de riesgos
• Brindar herramientas para
facilitar la administración
de riesgos
Integridad de
la cadena de
abastecimiento
de TI/
administración
de riesgos de
terceros
Los SME realizan
evaluaciones de terceros
y de diligencia debida con
estándares que brinda el
equipo principal
• Consulta con el personal
del Depto. Legal acerca
de los riesgos legales y de
cumplimiento de normas,
y escritura de contratos
• Consultar la estrategia de
seguridad y las fuentes de
datos, como los registros
de redes
• Los MSSP brindan
feeds de los registros de
sistemas de seguridad
RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council |
15
Contribuyentes del informe
anish bhimani Cissp
Director de riesgos de la
información,
JPMorgan Chase
WilliAM BONI CISM, CPP, CISA
Director corporativo de seguridad
de la información (CISO),
vicepresidente, seguridad de
información empresarial,
T-Mobile USA
roland Cloutier
Vicepresidente,
director de seguridad,
Automatic Data
Processing, Inc.
jerry R. Geisler iii GCFA, GCFE,
del director
de seguridad de la información,
Walmart Stores, Inc.
renee guttmann
Directora de seguridad
de la información,
The Coca-Cola Company
malcolm harkins
Vicepresidente, director
de seguridad y privacidad,
Intel
kenneth haertling
Vicepresidente
y director de seguridad,
TELUS
petri kuivala
Director de seguridad
de la información,
Nokia
dave martin CISSP
Vicepresidente
y director de seguridad,
EMC Corporation
tim mcknight CISSP
Vicepresidente ejecutivo, riesgo
y seguridad de la información
empresarial, Fidelity Investments
felix mohan
Vicepresidente sénior y director
global de seguridad de la
información, Airtel
robert rodger
Líder de grupo
de seguridad de la infraestructura,
HSBC Holdings, plc.
ralph salomon CRISC
Vicepresidente, oficina de riesgos
y seguridad de TI,
SAP AG
vishal salvi CISM
Director de seguridad de la
información y vicepresidente
sénior,
HDFC Bank Limited
Marene N. Allison
Vicepresidenta mundial de
seguridad de la información,
Johnson & Johnson
dr. martijn dekker
Vicepresidente sénior, director
de seguridad de la información,
ABN Amro
simon Strickland
Jefe global de seguridad,
AstraZeneca
16 |
Security for Business
Innovation Council
GCIH, oficina
Denise D. Wood
Vicepresidenta corporativa,
seguridad de la información,
directora de seguridad de la
información, directora de
riesgos de TI,
FedEx Corporation
Informe del Security for Business Innovation Council
Para ver las biografías completas
de los miembros del SBIC, visite
http://mexico.emc.com (visite el sitio
web de su país correspondiente)
| RSA, la División de seguridad de EMC
EMC, EMC2, el logotipo de EMC, RSA y el logotipo de RSA son marcas registradas o marcas
comerciales de EMC Corporation en los Estados Unidos y en otros países. El resto de los
demás productos y servicios son marcas comerciales de sus respectivas empresas.
©2013 EMC Corporation. Todos los derechos reservados. 231038-H12227 CISO RPT 0813
®
RSA, la División de Seguridad de EMC | Informe del Security for Business Innovation Council |
17
Documentos relacionados
Transformación de la seguridad de la información
Transformación de la seguridad de la información
¿qué es un plan de mercado?
¿qué es un plan de mercado?
XI Mini AISMUN
XI Mini AISMUN
ScaleIO - EMC Corporation
ScaleIO - EMC Corporation
Descargar
Anuncio
Anuncio