BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Tres pasos para definir un plan estratégico de seguridad cibernética

La percepción de la seguridad cibernética en la empresa entre las áreas de gerencia y seguridad TI está dividida, revela estudio de VMware. Ante ello, aconsejan tres pasos para establecer un plan de estrategia de seguridad exitoso.

Teniendo en cuenta el daño de los ataques cibernéticos a la reputación de una empresa, parecería obvio que la estrategia de seguridad cibernética debe ser una iniciativa corporativa en la cual todos estarían de acuerdo. Sin embargo, un estudio global de VMware, llevado a cabo por The Economist Intelligence Unit (EIU), mostró exactamente lo contrario.

El objetivo principal de la investigación –aplicada a 1,100 ejecutivos de alta dirección y de seguridad– fue analizar las diferencias entre el equipo de seguridad y los ejecutivos de alto nivel cuyos puestos son ajenos al tema. Los resultados revelaron una desconexión entre los dos conjuntos de líderes corporativos: las actitudes de ambos están divididas, empezando por las percepciones que tienen del peligro inminente de las amenazas informáticas, hasta las prioridades del presupuesto.

Los principales detalles revelados por el estudio fueron:

  • Los altos ejecutivos corporativos y los de seguridad no comparten el mismo compromiso sobre la ciberseguridad, siendo ésta la prioridad número uno para los líderes de seguridad, pero solo la número nueve de la alta dirección.
  • La alta dirección se centra en las implicaciones estratégicas de la ciberseguridad, principalmente en el impacto de un ataque en la reputación o marca de la empresa. La función de seguridad toma un enfoque táctico en los activos como datos de los clientes, información regulada, aplicaciones, etc.
  • Más del 30% de los profesionales de seguridad esperan un ataque importante y exitoso en la empresa dentro de los siguientes 90 días, mientras que solo el 12% de los altos ejecutivos comparten ese sentido de urgencia.
  • Una de las áreas en las que ambos segmentos están de acuerdo es en el origen de las amenazas futuras, preocupándose por tecnologías como la computación en nube y BYOD, que actúan como puntos de entrada para amenazas desconocidas.

Ante este panorama, Eduardo Gutiérrez, director general de VMware México, ofreció tres pasos para definir un nuevo plan estratégico para la seguridad cibernética:

Paso 1: Dé prioridad a sus defensas

Eduardo Gutiérrez

La mayoría de las empresas reconocen que no pueden defenderlo todo. Por lo tanto, el primer paso al definir un nuevo plan de seguridad es dar prioridad a las defensas de su empresa, asignando recursos y fondos para proteger los activos más valiosos. Esto requiere que los líderes de la alta dirección y de seguridad sincronicen sus prioridades y mantenga una comunicación efectiva para evitar errores.

De acuerdo con un informe del Instituto Ponemon, los profesionales de seguridad son percibidos siempre como los "portadores de malas noticias", que tienden a "simplificar" y filtran la información negativa cuando se comunican con los ejecutivos de alta dirección. Asimismo, los altos ejecutivos a menudo dejan de prestar atención a los especialistas en seguridad cuando la conversación se vuelve demasiado técnica o muy específica en un producto.

Para que ambos lados de la junta directiva puedan alinearse en torno a un nuevo plan de seguridad, es crucial que ambos grupos de ejecutivos reconsideren la forma en que se comunican entre sí.

Paso 2: Ponga en práctica una nueva arquitectura de seguridad estratégica

El paso siguiente es poner en práctica una defensa flexible y basada en una arquitectura que permita, una vez que una filtración tiene lugar, identificarla automáticamente, mitigar y contener el ataque, sin esperar la reacción del área de TI. La virtualización ayuda mucho en este paso, ya que permite una visibilidad completa de la red y facilita su microsegmentación, la cual añade automatización y gran agilidad operativa.

Así, las políticas de seguridad pueden ser aplicadas automáticamente cuando se agrega una aplicación, moverse cuando se migra una máquina virtual (VM) y suprimirse al eliminar una aplicación.

Paso 3: Ponga en acción un plan de manejo de crisis

El paso final en la definición de una estrategia de seguridad exitosa es asegurar que haya un plan de manejo de crisis en vigor. Debe ser un plan que asuma lo peor, que los activos de los clientes importantes se han comprometido.

Es muy importante que el equipo de seguridad comunique estas capacidades al resto de la organización, y al momento de un ataque se debe demostrar que éste se está manejando de una manera ordenada y estructurada y, en última instancia, con éxito.

Próximos pasos

Más sobre seguridad TI:

Redes y datos más seguros son el principal enfoque de seguridad en AL para 2016

Con nueva infraestructura NFV viene nueva seguridad NFV

Menos de un tercio de organizaciones están listas para riesgos de seguridad de IoT

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close