vicepresidente t Transformación de la seguridad de …³n de datos de seguridad, consultoría sobre...

Transformación de la seguridad de la

información

ABN Amro Dr. Martijn Dekker, vicepresidente sénior, director de seguridad de la información

Airtel Félix Mohan, vicepresidente sénior y director global de seguridad de la información

AstraZeneca SiMon StricklanD, jefe global de seguridad

Automatic Data Processing rolanD cloutier, vicepresidente, director de seguridad

The Coca-Cola Company renee GuttMann, directora de seguridad de la información

EMC Corporation Dave Martin, vicepresidente y director de seguridad

FedEx DeniSe D. WooD, vicepresidenta corporativa, seguridad de la información, directora de seguridad de la información, directora de riesgos de TI

Fidelity Investments tiM MckniGht, vicepresidente ejecutivo, riesgo y seguridad de la información empresarial

HDFC Bank viShal Salvi, director de seguridad de la información y vicepresidente sénior

HSBC Holdings plc. BoB roDGer, líder de grupo de seguridad de infraestructura

Intel MalcolM harkinS, vicepresidente, director de privacidad y seguridad

Johnson & Johnson Marene n. alliSon, vicepresidenta mundial de seguridad de la información

JPMorgan Chase aniSh BhiMani, director de riesgos de la información

Nokia Petri kuivala, director de seguridad de la información

SAP AG ralPh SaloMon, vicepresidente, oficina de riesgos y seguridad de TI

TELUS kenneth haertlinG, vicepresidente y director de seguridad

T-Mobile USA WilliaM Boni, director corporativo de seguridad de la información (CISO) y vicepresidente, seguridad de la información empresarial

Walmart Stores, Inc. jerry r. GeiSler iii, oficina del director de seguridad de la información

Security for Business Innovation Council

Una iniciativa del sector patrocinada por RSA

Los nuevos conjuntos de

habilidades que se requieren

La misión de seguridad de la información en

evolución

La oportunidades emergentes para la

colaboración

Información sobre la optimización del

uso de recursos

Recomendaciones prácticas

Mapa de las tareas de cada uno en un equipo

ampliado

Informe basado en los análisis con

en eSte inForMe encontrará lo SiGuiente:

t

recomendaciones de los ejecuTivos de Global 1000

Diseño de un equipo ampliado de última generación

2 | informe del securiTy for business innovaTion council | RSA, la División de seguridad de EMC

Puntos destacados del informe 1

1. introducción: equiPos en transición 2

2. el nuevo Plan de trabajo 3

Cuadro 1: La misión actual de la seguridad de la información >>>>>>>>>>>> 4

3. retos y oPortunidades 6

4. recomendaciones 7

1. Vuelva a definir y fortalezca las competencias clave >>>>>>>>>>>>>>>>>> 7

2. Delegue las operaciones de rutina >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9

3. Solicite o contrate los servicios de expertos >>>>>>>>>>>>>>>>>>>>>>> 10

4. Dirija a los responsables de riesgos en la administración de riesgos >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 10

5. Contrate a especialistas en optimización de procesos >>>>>>>>>>>>>>>> 11

6. Desarrolle relaciones clave >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 11

7. Piense de manera creativa en el talento futuro>>>>>>>>>>>>>>>>>>>>> 12

conclusión 13

acerca del security for business innovation council 13

aPéndice

Cuadro 2: Ilustración de un equipo ampliado de seguridad de la información de última generación >>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14

contribuyentes 16

* Contenido

Exención de responsabilidades: Este informe del Security for Business Innovation Council (el “Informe”) incluye información y materiales (conjuntamente, el “Contenido”) que

están sujetos a cambios sin previo aviso. RSA Security LLC, EMC Corporation y los autores individuales de Security for Business Innovation Council (conjuntamente, los “Autores”)

renuncian expresamente a cualquier obligación para mantener el contenido actualizado. El contenido se brinda “TAL CUAL”. Los autores renuncian a cualquier garantía expresa

o implícita relacionada con el uso del contenido, incluidas, entre otras, la comerciabilidad, adecuación, ausencia de infracción, precisión o idoneidad para un determinado propósito.

La finalidad del contenido es brindar información al público, no es un asesoramiento legal por parte de RSA Security LLC, su empresa matriz, EMC Corporation, sus abogados ni

ninguno de los autores de este informe del SBIC. No debe actuar o abstenerse de actuar según el contenido sin consultar a un abogado con autorización para trabajar en su jurisdicción.

No se puede demandar a los autores por ningún error incluido en el presente documento ni por ningún tipo de daño que surja a partir del uso de este informe o en relación con este

(incluido todo el contenido). Se incluyen, entre otros, daños directos, indirectos, incidentales, especiales, consecuentes o punitivos, independientemente de la existencia de un contrato,

agravio o cualquier otra teoría de responsabilidad, incluso en caso de que los autores tengan conocimiento de la posibilidad de que se produzcan tales errores o daños. Los autores no

asumen responsabilidad alguna por los errores u omisiones de ningún contenido.

RSA, la División de Seguridad de EMC | informe del securiTy for business innovaTion council | 1

¿Qué Se reQuiere Para administrar los riesgos de los activos de información en una empresa global en la actualidad? Mucho más de lo que se necesitaba hace algunos años. En especial, durante los últimos 18 meses se han agregado requisitos debido a la intensificación de los ataques cibernéticos, la adopción ferviente de nuevas tecnologías, el aumento de escrutinio normativo y un ambiente empresarial hiperconectado.

a MiSión De la SeGuriDaD De la información ya no es solo “implementar y operar los controles de seguridad”, sino que ha evolucionado para incluir actividades técnicas avanzadas y centradas en el negocio; por ejemplo: análisis de riesgo empresarial, valoración de activos, integridad de la cadena de abastecimiento de TI, inteligencia cibernética, análisis de datos de seguridad, data warehousing y optimización de procesos.

Se reQuieren MuchoS conjuntos de habilidades nuevas, por lo que un reto significativo para crear un equipo eficaz es la falta de profesionales con las habilidades adecuadas.

una oPortuniDaD Que eStá surgiendo es que, en muchas organizaciones, el personal que no pertenece al área de seguridad está detectando que ellos, y no el personal de seguridad, son responsables de sus activos de información y que deben asociarse de manera activa con el área de seguridad para administrar esos riesgos.

Para loGrar el éxito, la función de la seguridad de la información es un esfuerzo interorganizacional, con procesos de seguridad integrados profundamente con los procesos del negocio.

Puntos destacados del informeel eQuiPo aMPliaDo incluye personal de TI, unidades comerciales y departamentos como el legal, de adquisición y de marketing.

el eQuiPo De SeGuriDaD De la información principal rige y coordina el esfuerzo general y realiza las tareas que requieren centralización o un conocimiento especializado.

exiSten Siete recoMenDacioneS que brindan una guía para crear un equipo ampliado de última generación a fin de administrar eficazmente los riesgos de seguridad cibernética y optimizar el uso de recursos humanos disponibles, y para garantizar que el equipo cuente con los conjuntos de habilidades nuevas necesarias.

1. vuelva a DeFinir y Fortalezca laS coMPetenciaS clave: Concentre al equipo principal para que aumente el conocimiento en cuatro áreas fundamentales: inteligencia de riesgos cibernéticos y análisis de datos de seguridad, administración de datos de seguridad, consultoría sobre riesgos, y garantía y diseño de controles.

2. DeleGue laS oPeracioneS De rutina: Asigne procesos de seguridad repetibles y bien establecidos a TI, las unidades comerciales o los proveedores de servicios externos.

3. Solicite o contrate loS ServicioS De exPertoS: Para determinadas especializaciones, aumente el equipo principal con expertos de dentro y fuera de la organización.

4. Dirija a loS reSPonSaBleS De rieSGoS en la aDMiniStración De rieSGoS: Asóciese con el negocio para administrar los riesgos de seguridad cibernética y coordine un enfoque consistente. Facilite esta tarea al negocio y hágalo responsable.

5. contrate a eSPecialiStaS en oPtiMización De ProceSoS: En el equipo debe haber personas con experiencia o certificaciones en calidad, administración de proyectos o programas, optimización de procesos y prestación de servicios.

6. DeSarrolle relacioneS clave: Esté bien posicionado de manera tal que pueda tener influencia sobre los participantes clave, como los propietarios de las “joyas de la corona”, la administración media y los proveedores de servicios subcontratados.

7. PienSe De Manera creativa en el talento Futuro: Debido a la falta de experiencia disponible de manera inmediata, el desarrollo del talento es la única solución verdadera a largo plazo para la mayoría de las organizaciones. Los conocimientos valiosos incluyen administración de bases de datos, desarrollo de software, análisis del negocio, inteligencia militar, oficiales legales o privados, ciencia de datos, matemáticas o historia.


ngresar a un departamento de seguridad de la información hace algunos años probablemente

implicaba ver a un equipo orientado técnicamente. En ese caso, es posible que escuchara conversaciones sobre protecciones perimetrales, listas de verificación de cumplimiento de normas y actualizaciones de antivirus. Al hacerlo en la actualidad, se podrá ver un panorama totalmente diferente. Los equipos están evolucionando hacia grupos de especialistas multidisciplinarios, incluidos analistas de amenazas, asesores de riesgos, científicos de datos y expertos en procesos. Los debates se están orientando hacia temas como la administración del riesgo del negocio, el análisis de datos, la garantía de controles, y el buen manejo y control de los proveedores de servicios.

Las diferentes organizaciones se encuentran en etapas distintas de transformación, pero la mayoría reconoció la necesidad de nuevos enfoques para la seguridad de la información. De hecho, en una encuesta reciente sobre seguridad, la segunda prioridad

I

Este informe es el primero de una serie sobre la transformación de los programas de seguridad de la información de las empresas. Tiene como objetivo responder a esa pregunta a partir de la experiencia y la visión de algunos de los ejecutivos de seguridad de la información líderes a nivel mundial en el Security for Business Innovation Council (SBIC). En este primer informe, se describen conjuntos de

habilidades nuevas y esenciales, y se explica cómo las responsabilidades en torno a la seguridad de la información se están distribuyendo en toda la empresa. El informe ofrece recomendaciones específicas y prácticas para diseñar un equipo ampliado de última generación.

más importante para el gasto de las empresas globales era un nuevo diseño fundamental de los programas de seguridad de la información.1 Simplemente agregar soluciones puntuales o trabajar en mejoras incrementales ya no es suficiente. Pero, exactamente, ¿qué características tiene un programa de seguridad de la información eficaz y de tendencia vanguardista?

1 Introducción: Equipos en transición

1 Encuesta de seguridad sobre información global de E&Y, noviembre de 2012


a misión de la seguridad de la información ya no es solo implementar y operar controles, sino que ha evolucionado para incluir un conjunto mucho más amplio de

actividades. El desarrollo de un equipo optimizado con las mejores personas para el trabajo requiere una comprensión del alcance del trabajo.

¿Qué se requiere para administrar los riesgos de los activos de información en una empresa global en la actualidad? Mucho más de lo que se necesitaba hace algunos años. En especial, durante los últimos 18 meses se han agregado requisitos debido a la intensificación de los ataques cibernéticos, la adopción ferviente de nuevas tecnologías, el aumento de escrutinio normativo y un ambiente empresarial hiperconectado.

Hoy en día las organizaciones se encuentran bajo una inmensa presión por tener que lograr una posición proactiva con respecto a los riesgos de la seguridad cibernética. Hacer este cambio requiere nuevos enfoques para defenderse de las amenazas avanzadas, integrar la seguridad de la información en las estrategias de tecnología y del negocio, y garantizar que los procesos de seguridad sean eficaces y eficientes.

Ahora se requieren actividades técnicas y centradas en el negocio avanzadas, que incluyen lo siguiente:

D Riesgo del negocio/administración de riesgos de la información en comparación con el análisis de compensación• Para sistematizar la toma de decisiones de

riesgo/compensación

D Inventario y valoración de activos• Para priorizar las estrategias de protección

y enfocarse en resguardar las “joyas de la corona”.

D Integridad de la cadena de abastecimiento de TI/administración de riesgos de terceros• Para evaluar el número creciente de proveedores

de servicios de origen global y los componentes del sistema

D Inteligencia de riesgos cibernéticos y análisis de amenazas• Para comprender el panorama de los autores de las

amenazas y reconocer los indicadores de ataques

D Análisis de datos de seguridad• Para aplicar técnicas avanzadas de análisis y así

poder detectar un comportamiento anormal del sistema o del usuario en ambientes de TI

D Administración de datos de seguridad y data warehousing • Para desarrollar una infraestructura y una

estrategia general y así poder recopilar datos de varios tipos a fin de usarlos para diferentes objetivos, como la detección de amenazas, el monitoreo de controles y la creación de informes sobre el cumplimiento de normas

D Optimización de los procesos de seguridad• Para formalizar el mejoramiento de la eficacia

de los procesos de seguridad

D Agilidad de controles • Para lograr los objetivos de los controles de

seguridad con los nuevos métodos como respuesta a tendencias como el cómputo móvil y en la nube

La base de la estrategia de un equipo es definir la misión a fin de determinar quién hará cada cosa. El cuadro 1 describe la misión de seguridad de la información en organizaciones líderes de la actualidad. Se enumeran desde las actividades más convencionales hasta las que son cada vez más avanzadas. Las organizaciones que cuentan con un programa convergente también pueden incluir tareas relacionadas, como el fraude, el descubrimiento electrónico, la privacidad, la calidad de los productos o la seguridad física en la misión. En este informe se tratan los componentes de la seguridad de la información, teniendo en cuenta la coordinación necesaria con otras actividades relacionadas.

2 El nuevo plan de trabajo

L


Cuadro 1

Administración del programa

• Determinar la estrategia general y planear el programa de administración de seguridad de la información

• Asegurarse de que el programa satisfaga las necesidades comerciales más importantes para la organización

• Coordinar con las tareas relacionadas, como el fraude, el descubrimiento electrónico, la seguridad física, la seguridad de los productos o la privacidad

Política y estándares de seguridad

• Desarrollar y documentar las directivas y reglas generales que prescriben cómo la organización protege la información

• Elaborar el conjunto completo de controles de seguridad de la información administrativa, técnica y física utilizado por la organización (es decir, el marco de trabajo de los controles), incluidos los controles de acceso, el cifrado, la identificación y autenticación, la administración de la configuración, el monitoreo, los registros de auditoría, la seguridad de las aplicaciones y la capacitación de concientización (del personal y los clientes)

• Considerar los requisitos de varias leyes y normativas (p. ej., SOX, HIPAA, PCI)

• Asegurarse de que los controles sean ágiles y hacer un control de los cambios en el panorama de amenazas y del negocio

Implementación de controles

• Implementar controles según la política y los estándares, y en función de los factores ambientales internos y externos

Operación de controles

• Operar los controles según la política y los estándares, y en función de los factores ambientales internos y externos

Diseño de controles (arquitectura de la seguridad)

• Desarrollar controles nuevos o maneras nuevas de implementar los controles según los cambios en el panorama de amenazas, de TI y del negocio

• Incluye técnicas de desarrollo de aplicaciones; especificación, implementación, personalización o desarrollo de nueva tecnología de seguridad; y nuevos acuerdos y procedimientos para usuarios finales

Garantía/supervisión de controles

• Evaluar todos los controles para garantizar que cumplan con la política y los estándares

• Verificar que todos los controles estén presentes y se ejecuten según su finalidad

• Asegurarse de que todos los controles se autentifiquen y monitoreen de manera consistente

Resistencia/respuesta a los incidentes

• Coordinar y administrar la respuesta de la organización a los incidentes de seguridad, incluida la recuperación de desastres/continuidad del negocio

Evaluación de riesgos de la información

• Evaluar los riesgos de un programa, proceso, proyecto, iniciativa o sistema en función del valor de la información, los activos de datos, las amenazas y vulnerabilidades aplicables, la probabilidad de riesgos, el impacto en la organización (p. ej., sobre la reputación, los ingresos, el incumplimiento de las normas) y las pérdidas estimadas

Riesgo del negocio/administración de riesgos de la información en comparación con el análisis de compensación

• Establecer niveles de tolerancia y de aceptación de riesgos autorizados de los responsables de riesgos

• En función de la evaluación de riesgos para un programa, proceso, proyecto, iniciativa o sistema en particular, formular una estrategia de mitigación y corrección de riesgos

• Contar con un proceso consistente para evaluar los riesgos de seguridad de la información en comparación con las compensaciones del negocio

• Determinar los controles necesarios para llevar el riesgo a un nivel aceptable

• Integrar el riesgo de la información con el programa/marco de trabajo de administración de riesgos de la empresa

la misión actual de la seguridad de la informaciónLas actividades se enumeran en términos generales desde las más convencionales a las que son cada vez más avanzadas.

el nuevo Plan de trabajo


Cuadro 1

Inventario y valoración de activos

• Definir el inventario completo de los procesos del negocio, los datos confidenciales y los sistemas de información que usa la organización

• Realizar un mapeo integral del flujo de datos y de la documentación de los procesos del negocio a fin de comprender los procesos y los datos que requieren protección y formular estrategias de protección

• Identificar a los usuarios privilegiados en toda la empresa ampliada que tengan acceso a los sistemas importantes

• Determinar el valor de los activos para priorizar las estrategias de protección

Integridad de la cadena de abastecimiento de TI/administración de riesgos de terceros

• Asegurarse de que se realice una evaluación de riesgos antes de que la organización establezca una relación con terceros

• Desarrollar un proceso de diligencia debida para evaluar a los proveedores, partners y abastecedores

• Evaluar los riesgos que implica hacer negocios con proveedores, partners y abastecedores de manera continua

• Comprender la cadena de abastecimiento de TI y evaluar la seguridad del hardware y el software que se usa en el ambiente de TI de la empresa

• Aumentar la eficiencia por medio de evaluaciones compartidas y el monitoreo continuo de los controles

Inteligencia de riesgos cibernéticos y análisis de amenazas

• Comprender el panorama adversario relacionado con los activos del negocio (identidad, capacidades, motivaciones, objetivos)

• Recopilar datos de inteligencia con respecto a las amenazas para la organización

• Administrar las fuentes de datos de inteligencia, interpretar los datos, realizar análisis y generar alertas e informes de inteligencia de amenazas

• Integrar la inteligencia y el modelado de amenazas en el ciclo de vida y el proceso de administración de seguridad completo

Análisis de datos de seguridad

• Usar la ciencia de datos y técnicas analíticas avanzadas para analizar los datos de seguridad enriquecidos con los datos de inteligencia

• Desarrollar consultas, algoritmos y modelos de datos usados para detectar o predecir la actividad maliciosa

Administración de datos de seguridad y Data Warehousing

• Desarrollar una infraestructura y una estrategia de administración de datos para sumar y analizar datos de seguridad de varios tipos (sistemas de seguridad, bases de datos, aplicaciones, feeds de amenazas) para distintos propósitos (p. ej., detección de amenazas, cumplimiento de normas y administración de riesgos de la empresa, monitoreo continuo de controles)

• Diseñar un data warehouse para los datos de seguridad

Optimización de los procesos de seguridad

• Rastrear y medir de manera consistente la eficacia de los procesos de seguridad y las mejoras de implementación mediante una administración de calidad formalizada, administración de proyectos y metodologías de prestación de servicios

Planificación de mayor alcance

• Observar las futuras tendencias de negocios, tecnología y normativa a fin de formular estrategias de seguridad proactivas. Por ejemplo, los desarrollos de tecnología como “Internet de las cosas” y el cómputo portátil traen nuevos retos de seguridad

el nuevo Plan de trabajo


rear un equipo de seguridad de la información eficaz trae aparejado un cierto número de retos actuales:

D La experiencia escasea y el talento es difícil de mantener• Existe una gran demanda de expertos

especializados en riesgos comerciales y de seguridad.

D El presupuesto es limitado

D Los equipos de seguridad ya trabajan a plena capacidad

D La atención de la sala de juntas requiere una visión del negocio• A medida que la seguridad de la información

se vuelve un componente más importante de la estrategia comercial, los profesionales de seguridad requieren un conocimiento más profundo del negocio.

La buena noticia es que también existen algunas oportunidades emergentes:

D La concientización se está ampliando• En todos los niveles, desde los

usuarios finales hasta el liderazgo, la concientización respecto de los problemas de seguridad es más alta que nunca debido a la atención de los medios, la experiencia real con los ataques cibernéticos o la presión normativa.

D El negocio se está apropiando de los riesgos• En muchas organizaciones, está

surgiendo un cambio fundamental en el pensamiento, donde el personal que no pertenece al área de seguridad está detectando que ellos, y no el personal de seguridad, son responsables de sus activos de información y que deben asociarse de manera activa con el área de seguridad para administrar esos riesgos.

D El caché para las carreras de seguridad crece cada vez más• Es un momento maravilloso estar en la seguridad

de la información, ya que aborda nuevos aspectos, como el análisis de riesgos del negocio, la inteligencia cibernética y la ciencia de datos. Los informes de noticias y los retratos de Hollywood que defienden el ciberespacio también están generando más interés en el campo, lo que puede ayudar a atraer talento.

C3 Retos y oportunidades

D El rango de proveedores de servicios está aumentando• A medida que el mercado responde a las

crecientes demandas, se hace más factible para las organizaciones recurrir a proveedores de servicios de seguridad externos a fin de reducir los costos, obtener conocimiento especializado, ayudar a lograr un aumento de las actividades o brindar asesoramiento independiente.

Es sorprendente de ver. Hemos pasado de ‘ustedes, muchachos de seguridad, se están entrometiendo, ¿por qué tenemos que hacer esto?’ a tener unidades comerciales que usan nuestros servicios de consultaría central para implementar estrategias de mitigación de riesgos. Está cobrando velocidad porque las unidades comerciales se están dando cuenta de que necesitan administrar sus riesgos, en lugar de confiar en que otra persona intente solucionarlos o le entierran la cabeza en la arena”.

dave martin Vicepresidente y director de seguridad, EMC Corporation


ara lograr el éxito, la función de la seguridad de la información es un esfuerzo interorganizacional, con procesos de

seguridad integrados profundamente con los procesos del negocio. El equipo de seguridad de la información ampliado puede incluir lo siguiente:

D Personal de TI que implemente y opere controles de seguridad

D Gerentes de riesgos en unidades comerciales que corrijan los riesgos

D Profesionales en adquisiciones que implementen protocolos de garantía de proveedores y de evaluación de riesgos para evaluar a los abastecedores

D Una oficina de privacidad que rastree las normativas

D Personal de marketing que monitoree las redes sociales para obtener información sobre las posibles amenazas

El equipo de seguridad de la información principal rige y coordina el trabajo total y realiza las tareas que requieren centralización o un conocimiento especializado. Una parte del personal que realiza tareas de seguridad fuera del equipo principal puede tener una dependencia directa o de varios jefes; otra parte puede estar operando según estándares de seguridad o acuerdos de nivel de servicio (SLA, Service Level Agreement). El cuadro 2 del Apéndice muestra quién hace cada tarea en un equipo ampliado, a saber, la seguridad de la información principal, TI, el negocio y los proveedores de servicios.

Las siguientes recomendaciones brindan una guía para crear un equipo ampliado de última generación para administrar eficazmente los riesgos de seguridad de la información y hacer un uso óptimo de los recursos humanos disponibles. Según el nivel de maduración de una organización, esta guía podría ayudar a comenzar, validar un enfoque o acelerar el progreso en áreas en particular.

4 Recomendaciones

P Vuelva a definir y fortalezca las competencias clave

Delegue las operaciones de rutina

Solicite o contrate los servicios de expertos

Dirija a los responsables de riesgos en la administración de riesgos

Contrate a especialistas en optimización de procesos

Desarrolle relaciones clave

Piense de manera creativa en el talento futuro

1. Vuelva a definir y fortalezca las competencias clave

Dentro de las organizaciones líderes, los equipos de seguridad de la información principales están concentrados actualmente en aumentar el conocimiento en cuatro áreas principales: inteligencia de riesgos cibernéticos y análisis de datos de seguridad, administración de datos de seguridad, consultoría sobre riesgos, y garantía y diseño de controles.

En función del tamaño del equipo principal y del nivel de especialización, los miembros individuales pueden abarcar tareas muy específicas o varias áreas. Cada área requiere un conjunto de habilidades clave que, con frecuencia, son nuevas para los miembros del equipo. Al avanzar, el personal existente deberá desarrollar las habilidades exigidas por medio de la capacitación, o el equipo fundamental deberá agregar nuevos miembros o contratar a proveedores de servicios.


recomendaciones

“La experiencia del equipo principal de seguridad se debe enfocar principalmente en brindar consultoría, proporcionar indicaciones, impulsar la estrategia, identificar y explicar los riesgos al negocio, comprender las amenazas y lograr que la organización avance; no estar abrumados con las actividades operativas de rutina”. bob rodger

Líder de grupo de seguridad de la infraestructura, HSBC Holdings plc.

2. administración de datos de seguridadA medida que buscan técnicas de análisis de datos para

la detección de amenazas, las organizaciones están notando la necesidad de una infraestructura y estrategia global de administración de datos de seguridad. Esto requiere la combinación de datos de seguridad del ambiente de TI, incluidos registros, flujos de datos de paquetes completos y datos no estructurados de sistemas, bases de datos y aplicaciones comerciales. Los datos se pueden aplicar más allá de la detección de amenazas, por ejemplo, en la administración de riesgos empresariales, y en el monitoreo de controles continuo y el cumplimiento de normas.

D Habilidades clave de las personas: interconexión con TI y el negocio, incluidos los arquitectos de administración de datos empresariales

D Habilidades clave de procesos: mapeo de los flujos de datos de seguridad en todo el ambiente de TI de la organización

D Habilidades técnicas clave: habilidades de TI principales, como la arquitectura de almacenamiento, la arquitectura de procesamiento, el esquema de datos, la normalización y el manejo de cuellos de botella de redes

3. consultoría sobre riesgosEl equipo principal actúa como asesor, aconseja al

negocio sobre la administración de los riesgos de los activos de información, incluidos aquellos relacionados con la seguridad, la privacidad y los problemas legales, el cumplimiento de normas y el descubrimiento electrónico. El equipo principal debe tener un profundo conocimiento de los procesos del negocio. Deben poder colaborar con las partes interesadas para evaluar los riesgos, evaluar los activos, determinar las estrategias de mitigación de riesgos y garantizar que se analicen los riesgos cuando se inicien los proyectos. Un conjunto de riesgos de rápido crecimiento para administrar proviene de terceros. Las estrategias de cómputo en la nube y aprovisionamiento global están impulsando a las organizaciones a aumentar aún más el uso de proveedores de servicios subcontratados e incorporar nuevos partners y proveedores comerciales. Saber cómo realizar diligencias debidas de terceros, evaluaciones

1. inteligencia de riesgos cibernéticos y análisis de datos de seguridad

Debido al panorama de amenazas cada vez mayores, mejorar la detección de amenazas es fundamental para la mayoría de las organizaciones en todo el mundo, en especial el desarrollo de un enfoque impulsado por la inteligencia (consultar el informe del SBIC “Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security” [Adelantarse a las amenazas avanzadas: obtener seguridad de la información impulsada por la inteligencia]). Esto requiere recopilar y amalgamar datos de inteligencia cibernética de fuentes internas (p. ej., sensores en los sistemas de TI y las aplicaciones comerciales) y fuentes externas (p. ej., feeds de amenazas gubernamentales o comerciales), y usar técnicas avanzadas de análisis de datos para detectar indicadores o patrones de comportamiento anormal. El equipo principal debe tener la capacidad de lograr una concientización de la situación de la organización.

Determinar las fuentes de datos relevantes y realizar análisis significativos requieren una comprensión profunda del verdadero ambiente comercial, los activos que se deben proteger y el panorama adversario cibernético. Los equipos de seguridad están comenzando a aprovechar el poder de las tecnologías de grandes volúmenes de datos con el objetivo no solo de detectar, sino también de predecir los ataques.

D Habilidades clave de las personas: redes internas y externas para desarrollar buenas fuentes de inteligencia, comunicación para crear informes y presentar resúmenes de inteligencia

D Habilidades clave de procesos: diseño de un proceso de inteligencia integral, incluida la obtención y el filtrado de datos, la realización de análisis, la comunicación de resultados, la toma de decisiones de riesgo y la toma de medidas

D Habilidades técnicas clave: análisis (hacer relaciones entre datos aparentemente no relacionados), técnicas de análisis de datos y ciencia de datos


recomendaciones

continuas, y evaluaciones de hardware y software de manera eficiente y eficaz es fundamental.

D Habilidades clave de las personas: liderazgo, redes internas para la concientización de las estrategias comerciales, comunicación (escuchar, articulación verbal, manejo de conversaciones complejas, sensibilidad a las diferencias culturales y organizacionales)

D Habilidades clave de procesos: documentación y mapeo de procesos comerciales, estructuras de trabajo de administración de riesgos, protocolos para evaluaciones de riesgos de terceros y garantía de controles (incluidas las evaluaciones compartidas), administración de proveedores de servicios subcontratados y comunidades de la cadena de abastecimiento

D Habilidades técnicas clave: evaluación de riesgos, medición de diversos riesgos y niveles de tolerancia a riesgos en una organización con un método estandarizado, automatización de las actividades de administración de riesgos y de evaluación de proveedores, monitoreo de controles continuo

4. diseño y garantía de controlesEl equipo principal se debe concentrar

fundamentalmente en las áreas de diseño de controles innovadores alineados con los objetivos comerciales y el desarrollo de técnicas avanzadas de prueba para garantizar los controles. Este trabajo incluye la investigación y el desarrollo, y la evaluación e implementación de nuevas tecnologías de seguridad. Los analistas de controles deben dirigir la recopilación de evidencias no solo para comprobar que los controles estén funcionando tal como se espera, sino también para garantizar que sean óptimos para defenderse de las amenazas más recientes y permitir la agilidad comercial.

D Habilidades clave de las personas: transformar los requisitos comerciales y de cumplimiento de normas en requisitos de seguridad, en cooperación con la arquitectura empresarial

D Habilidades clave de procesos: documentar la estructura de trabajo de los controles de la organización, desarrollar protocolos para la acreditación y evaluación de controles

D Habilidades técnicas clave: arquitectura de seguridad, seguridad de aplicaciones, seguridad móvil, seguridad en la nube, monitoreo continuo de controles, pruebas y análisis avanzados de controles de seguridad

2. Delegue las operaciones de rutina

Los equipos de seguridad tradicionales están más cómodos al hacer todo por sí solos. Pero esto debe cambiar. Delegar las operaciones de seguridad de rutina a otros grupos internos o a proveedores de servicios externos permite al equipo principal concentrarse en ser más proactivo y estratégico, lo que maximiza su conocimiento técnico y sus capacidades de administración de riesgos comerciales. Además, por medio de la escalación y la especialización, los proveedores de servicios adecuados no solo pueden reducir los costos, sino también aumentar la calidad.

Los procesos repetibles y bien establecidos son buenos candidatos para delegar. Algunos ejemplos incluyen asignar la operación de los firewalls, la autenticación, los sistemas de prevención de intrusiones o el software antivirus a grupos de TI o a proveedores de servicios de seguridad administrados (MSSP, Managed Security Service Provider). Asigne el aprovisionamiento de acceso al usuario a nivel de las aplicaciones y la administración de las cuentas de usuario a las unidades comerciales. Capacite a los desarrolladores en seguridad de aplicaciones y proporcióneles herramientas para encontrar vulnerabilidades. Considere el uso de la seguridad como servicio para el escaneo y las pruebas.

A medida que el equipo principal asigne actividades, deberá conservar un nivel adecuado de control mediante requisitos, estándares y SLA integrales. El equipo principal también debe tener conocimientos técnicos en seguridad suficientes, así como también habilidades de administración de proveedores, para garantizar una supervisión eficaz. Las organizaciones que están ansiosas por subcontratar la seguridad a terceros pueden lograr, con frecuencia, los mismos objetivos al “subcontratar” a grupos de TI internos; sin embargo, se requiere el mismo nivel de supervisión, independientemente del tipo de proveedor de servicios.

Con el paso del tiempo, el equipo principal debe evaluar continuamente qué sería más eficiente o rentable que hicieran otras personas. Por ejemplo, es posible que en un comienzo el equipo principal maneje la implementación y las operaciones de una nueva tecnología en seguridad, pero con el tiempo esto se convierte en algo estandarizado y las operaciones continuas se pueden delegar.


3. Solicite o contrate los servicios de expertos

Un reto común es que el equipo principal no tenga experiencia en áreas especializadas en particular. Los expertos externos al departamento de seguridad pueden llenar este vacío. Por ejemplo, algunos equipos de seguridad están contratando personal para analizar datos de proveedores de servicios o involucran a empleados para dichas tareas provenientes de otras partes de la organización, como fraude o marketing. Es posible que los grandes volúmenes de datos sean nuevos para la seguridad, pero otras áreas del negocio han estado utilizando técnicas de análisis de datos durante años.

Cuando resulte imposible o simplemente demasiado costoso contar con determinados expertos en el personal que trabajen a tiempo completo, como los especialistas forenses de malware o los analistas de inteligencia de amenazas cibernéticas, las organizaciones pueden recurrir a proveedores de servicios externos de manera continua. Es posible que los equipos principales necesiten talento adicional para manejar un aumento de actividades o para ayudar cuando los miembros del equipo abandonan su trabajo. Otra buena opción es formar una sociedad con una empresa de consultoría sobre seguridad, que puede proporcionar profesionales en seguridad de alto nivel y polifacéticos con honorarios. Pueden aumentar las capacidades del equipo principal y ofrecer una perspectiva independiente.

Para resolver problemas particularmente complejos, con frecuencia lo más lógico es contar con expertos en la materia, como un asesor en arquitectura de seguridad especializado en una tecnología específica. Tenga en cuenta que el equipo principal aún necesita tener el conocimiento suficiente interno para aplicar conocimiento subcontratado.

recomendaciones

“Tradicionalmente el equipo de seguridad de la información se concentraba más en la tecnología. Pero una función cada vez más importante es colaborar con el negocio, traer los requisitos a la organización de seguridad y, a su vez, llevar la perspectiva de seguridad al negocio”.

Felix mohan Vicepresidente sénior y director global de seguridad de la información, Airtel

Si no tengo una habilidad esencial, la desarrollo o la compro. Debe saber cuándo desarrollar o comprar según el costo total de propiedad. Para algunas habilidades, a veces lo más lógico es recurrir a un proveedor de servicios”.

marene n. allison Vicepresidenta mundial de seguridad de la

información, Johnson & Johnson

4. Dirija a los responsables de riesgos en la administración de riesgos

Generalmente, los gerentes ejecutivos del negocio son responsables de las decisiones de administración de riesgos asociadas con iniciativas como lanzar un nuevo producto o servicio, programas de uso del dispositivo propio (BYOD, Bring Your Own Device), recursos de información como los sitios web orientados al cliente o procesos comerciales como la generación de informes financieros. Debido a que los líderes del negocio reconocen cada vez más su responsabilidad en relación con la administración de los riesgos de la seguridad cibernética, una cantidad cada vez mayor de organizaciones tienen gerentes dedicados a los riesgos de seguridad de la información en las unidades comerciales, responsables de la corrección de riesgos.

La función del equipo principal es dirigir las actividades de administración de riesgos de la información y asociarse con el negocio para administrar los riesgos de la seguridad cibernética. Esto implica coordinar un enfoque coherente para la identificación, evaluación, mitigación, corrección y generación de informes de riesgos; comparar los riesgos con las compensaciones; establecer niveles de tolerancia y niveles aceptables en relación con los riesgos; e incorporar el riesgo de la información al programa de administración de riesgos empresariales general. Los aspectos clave son facilitar la tarea al negocio y hacer que estos sean responsables de administrar los riesgos al brindar herramientas de autoservicio, integrar la administración de riesgos en los procesos comerciales e implementar la automatización.


5. Contrate a especialistas en optimización de procesos

La experiencia en los procesos se ha convertido en un aspecto esencial de un equipo de última generación. Las personas del equipo deben ser hábiles para la administración de calidad, proyectos o programas; optimización de procesos; y prestación de servicios. Además, deben ser personas a quienes se pueda capacitar en seguridad. Considere la contratación de personas que tengan diplomas/credenciales en la mejora de procesos de Six Sigma, la administración de servicios de TI (ITSM) de ITIL, el buen manejo y control de TI de COBIT o la arquitectura empresarial de TOGAF. Algunos equipos principales han podido aprovechar a los expertos en procesos o profesionales en administración de programas de otras áreas de la organización, como el Departamento de Calidad o la Oficina de programas empresariales.

Al contar con experiencia en los procesos, se ayudará a satisfacer las demandas cada vez mayores de las mejoras de procesos. Por ejemplo, debido al panorama de amenazas, algunas organizaciones querrían tener los parches de todos los sistemas esenciales en horas, en vez de semanas. Las unidades comerciales desean reducir el impacto de la seguridad en los procesos del negocio, lo que minimiza la fricción para los usuarios finales y el tiempo fuera de los servidores. Los reguladores desean controles más estrictos en el acceso a la información, como la revocación de los derechos vencidos en minutos, en vez de días. Se esperará que el departamento de seguridad mida cada vez más la productividad de las inversiones en seguridad y brinde mejoras cuantificables con el tiempo. Esto incluye la agilidad y repetición de los procesos, y la habilidad de escalar.

6. Desarrolle relaciones claveLas relaciones sólidas en toda la organización son

esenciales para el equipo principal de modo que se determine el número creciente de responsabilidades de seguridad del personal, crear un ambiente colaborativo y garantizar que los miembros del equipo ampliado comprendan y realicen sus tareas. El equipo principal debe llegar a todas las áreas de la empresa y comprometerse en todos los niveles. Debe estar bien posicionados para tener influencia en los participantes clave, como los que controlan las inversiones en tecnología y los que toman las decisiones comerciales estratégicas.

Una de las relaciones más importantes es con aquellos que poseen las “joyas de la corona” de la organización, por ejemplo, los conjuntos de datos y los procesos comerciales con propiedad intelectual o datos de propiedad. Otra es con la administración media; se pueden lograr avances significativos cuando la administración media está de su lado. Los proveedores de subcontratación de procesos de negocios (BPO, Business Process Outsourcing) también deben ser un objetivo clave. El equipo principal debe desarrollar una red fuerte de contactos de seguridad de BPO y trabajar con ellos para garantizar altos estándares de seguridad y el uso compartido de información dentro de toda la comunidad.

recomendaciones

“Tenemos un concepto fundamental para nuestra organización de seguridad: ‘La formalidad es importante’. Nuestros procesos se tienen que documentar y revisar detalladamente. ¿Qué podemos hacer para que sean más eficientes? ¿Más eficaces? ¿Nos falta algo? Se necesitan personas con una gran experiencia en procesos y calidad si se desea tener credibilidad por parte de los líderes del negocio”.

denise d. Wood Vicepresidenta corporativa, seguridad de la información, directora

de seguridad de la información, directora de riesgos de TI, FedEx Corporation

Para una empresa cibernética ampliada, fíjese en quiénes son sus proveedores de servicios importantes y establezca una relación laboral sólida con estos. No deje que los villanos se escondan elevando el estándar de cumplimiento a las buenas prácticas de seguridad en todo su entorno”.

William boni Director corporativo de seguridad de la información (CISO), vicepresidente, seguridad de la información empresarial, T-Mobile USA


7. Piense de manera creativa en el talento futuro

El interés por el campo de la seguridad de la información está en aumento, pero a corto plazo escasearán los profesionales con habilidades adecuadas de consultoría de riesgos y seguridad cibernética. Es realmente un reto encontrar talento con conocimiento práctico sobre las tecnologías de seguridad que están surgiendo. Mientras tanto, algunas organizaciones están recurriendo a MSSP, ya que es difícil reclutar o conservar a los talentos con determinadas habilidades técnicas. Además, los equipos de seguridad también necesitan profesionales que puedan trascender los conocimientos técnicos para lograr conversaciones productivas sobre los riesgos comerciales con accionistas clave.

Una estrategia de reclutamiento continua es esencial para crear un equipo de seguridad eficaz. Trabaje con las unidades comerciales y los recursos humanos para evaluar las necesidades y las posibles fuentes de talento. Cada vez más las organizaciones están reclutando a personas que no tienen experiencia en seguridad, pero que cuentan con valiosas habilidades y se pueden capacitar en esta materia. Un enfoque es crear una “academia de seguridad cibernética” interna. Otro es brindar respaldo a los miembros individuales del equipo para que busquen certificaciones y cursos de capacitación externos, o establecer programas de tutoría. Además de los nuevos graduados, los nuevos empleados pueden ser personas internas de TI u otras áreas que puedan estar interesadas

en hacer una carrera en seguridad. Suelen ser los mejores empleados ya que cuentan con el conocimiento de la organización y las redes establecidas.

Debido a la falta de experiencia disponible de manera inmediata, el desarrollo del talento es la única solución verdadera a largo plazo para la mayoría de las organizaciones. Sea abierto al buscar personas para capacitar en funciones de seguridad. Existe una amplia variedad de conocimientos valiosos, como administración de bases de datos, desarrollo de software, análisis comercial, inteligencia militar u oficiales legales y de privacidad. Algunos equipos principales han contratado recientemente a científicos de datos que tienen conocimientos sobre la secuencia de ADN. Las personas que tienen conocimientos teóricos en áreas como econometría o matemática pueden aumentar sus capacidades técnicas prácticas. Otras personas con conocimientos en historia o periodismo pueden ofrecer excelentes habilidades de investigación. Debido a que la conservación es un reto importante al capacitar personas para que tengan las habilidades en seguridad tan buscadas, es importante ofrecer una carrera atractiva e inmediata para los miembros individuales del equipo y garantizar una compensación en el mercado.

Muchas organizaciones también se están asociando con universidades para garantizar el crecimiento de la cantidad de talentos en seguridad. Esto puede incluir crear programas de desarrollo de liderazgo, ayudar a que el plan de estudios se adapte a las necesidades del sector u ofrecer oportunidades de pasantías/cooperación. Los programas de promoción de las universidades e incluso de nivel secundario pueden ayudar a capacitar a la posible fuerza de trabajo sobre las carreras de seguridad cibernética.

“Al incorporar personal a una organización, uno seguramente desea tener una variedad de perspectivas. En la actualidad, esto es más importante que nunca ya que el cambio en el lado del negocio está superando las capacidades de seguridad y requerirá un pensamiento innovador para solucionar estos problemas”.

Jerry r. geisler iii Oficina del director de seguridad de la información, Walmart Stores Inc.

Debido a la falta de experiencia disponible de manera inmediata, el desarrollo del talento es la única solución verdadera a largo plazo para la mayoría de las organizaciones.


ConclusiónLos equipos de seguridad de la información están

evolucionando para satisfacer las demandas de un ambiente comercial, un panorama de amenazas y un régimen normativo cada vez más desafiantes. La concientización acerca de los problemas de seguridad está permitiendo un cambio en la posición de la seguridad de la información dentro de las organizaciones, porque está dejando de ser un sistema técnico aislado para convertirse en un esfuerzo verdaderamente colaborativo. Las organizaciones también están descubriendo que cumplir con los requisitos de seguridad requiere prestar más atención al proceso. Hoy en día, un equipo de seguridad eficaz tiene una comprensión sólida de los procesos comerciales y de la importancia de contar con buenos procesos de seguridad para lograr su propio mandato. El siguiente informe de esta serie de tres partes sobre la transformación de la seguridad de la información explorará aún más cómo las organizaciones líderes

están reconsiderando y optimizando los procesos. El tercer informe abordará cómo las nuevas tecnologías encajan en la imagen de un programa de seguridad de la información moderno con un equipo creativo y orientado al futuro como base.

Acerca del Security for Business Innovation Council

la innovación coMercial Se ha convertiDo en lo más importante en la agenda de la mayoría de las empresas, ya que los líderes de mayor jerarquía se esfuerzan por aprovechar el poder de la globalización y la tecnología para crear valor y eficiencias nuevos. Sin embargo, todavía hay un eslabón perdido. A pesar de que la innovación comercial está alimentada por los sistemas de TI y de la información, la protección de estos sistemas generalmente no se considera una estrategia; incluso cuando las empresas enfrentan presiones normativas y amenazas cada vez mayores. De hecho, la seguridad de la información suele ser una idea tardía agregada al final de un proyecto o, lo que es peor, que directamente ni se aborda. Pero sin la estrategia de seguridad adecuada, la innovación comercial podría verse obstruida fácilmente o podría poner a la organización en un gran riesgo.

en rSa, conSiDeraMoS Que Si loS eQuiPoS De seguridad son partners verdaderos del proceso de innovación comercial, pueden ayudar a las organizaciones a lograr resultados sin precedentes. Ahora es el momento indicado para un nuevo enfoque; la seguridad debe dejar

de ser una especialidad técnica para convertirse en una estrategia comercial. Aunque la mayoría de los equipos de seguridad han reconocido la necesidad de alinear mejor la seguridad con el negocio, todavía muchos están luchando para transformar esta comprensión en planes o acciones concretos. Saben qué deben hacer, pero no están seguros de cómo lograrlo. Por este motivo, RSA está trabajando con algunos de los líderes más importantes en seguridad del mundo para impulsar la comunicación con todo el sector a fin de identificar una manera de avanzar.

rSa ha convocaDo a un GruPo De ejecutivoS De seguridad altamente exitosos de las empresas de la lista Global 1000 en una variedad de sectores que llamamos “Security for Business Innovation Council”. Estamos realizando una serie de entrevistas en profundidad con este consejo, publicando sus ideas en una serie de informes y patrocinando una investigación independiente que explore estos temas. Visite www.rsa.com/securityforinnovation para ver los informes o acceder a la investigación. Juntos podemos acelerar esta transformación importante para el sector.


M i e M b r o s d e l

e q u i p o

s e g u r i d a d d e l a

i n f o r M a c i ó n p r i n c i p a lT i n e g o c i o

p r o v e e d o r e s d e

s e r v i c i o s ( u s o s

c o m u n e s )

• Un amplio rango de especialistas

• Las personas pueden tener más de una función

• Puede combinarse con los equipos de seguridad de los productos, descubrimiento electrónico o seguridad física

Personal involucrado en funciones de seguridad operativa y estratégica

Giros comerciales (LOB) y áreas funcionales (p. ej., Privacidad, Recursos Humanos, Marketing, Depto. Legal, Auditoría, Adquisición)

Asesores con experiencia en la materia (SME), proveedores de servicios de seguridad administrados (MSSP) y proveedores de nube (SAAS)

administración del programa

El CISO lidera el programa y preside el “comité de riesgos de la información” interfuncional

El director de TI participa en el “comité de riesgos de la información”

Determinados ejecutivos comerciales participan en el “comité de riesgos de la información”

política y estándares de seguridad

Desarrollar políticas y estándares

Consultar políticas y estándares

Consultar políticas y estándares

implementación de controles

• Administrar y supervisar la implementación de controles

• Realizar la implementación de controles en casos más complejos

Implementar controles en los estándares de seguridad o brindar servicios que cumplan con los SLA de seguridad

Facilitar la implementación de controles

Los MSSP brindan servicios de implementación de controles que cumplan con los SLA de seguridad

operaciones de controles

• Administrar y supervisar las operaciones de controles

• Operar controles más nuevos o más complejos

Implementar controles en los estándares de seguridad o brindar servicios que cumplan con los SLA de seguridad

Asegurar que las operaciones comerciales cumplan con los requisitos de control de seguridad

Los MSSP brindan servicios de operación de controles que cumplan con los SLA de seguridad

garantía de controles

• Realizar evaluaciones de controles y desarrollar herramientas avanzadas para la prueba y el análisis de los controles

• Implementar un monitoreo continuo de controles

Los MSSP brindan servicios, p. ej., revisión de código fuente, escaneo de vulnerabilidades

diseño de controles (arquitectura de la seguridad)

• Impulsar el diseño de nuevos controles de seguridad

• Trabajar con la arquitectura de TI empresarial

Consultar sobre el diseño de nuevos controles de seguridad

Consultar sobre el diseño de nuevos controles de seguridad

resistencia/respuesta a los incidentes

Administrar y coordinar la respuesta entre organizaciones

Trabajar en los aspectos técnicos de la respuesta

Trabajar en los aspectos legales, de relaciones públicas y de recursos humanos de la respuesta

Los ingenieros de mantenimiento de sistemas (SME) brindan análisis forenses y de malware

A Apéndice Ilustración de un equipo ampliado de seguridad de la información de última generación

La administración ejecutiva y la junta directiva supervisan el programa.

Actividades Responsabilidades específicas

Cuadro 2


evaluación de riesgos de la información

• Administrar el programa de evaluación de riesgos

• Realizar evaluaciones de riesgos en casos más complejos

• Brindar herramientas para facilitar las evaluaciones de riesgos

Realizar evaluaciones de riesgos con herramientas que proporciona el equipo principal

• Realizar evaluaciones de riesgos con herramientas que proporciona el equipo principal

• Consulta con el personal del Depto. Legal acerca de los riesgos legales y de cumplimiento de normas

La tendencia emergente son las evaluaciones de riesgos realizadas por los proveedores de servicios que cumplen con los SLA de seguridad

riesgo del negocio/administración de riesgos de la información en comparación con el análisis de compensación

• Impulsar las actividades de administración de riesgos

• Interactuar con TI y el negocio

• Consultar sobre la administración de riesgos

• Brindar herramientas para facilitar la administración de riesgos

• Trabajar con el equipo principal para administrar los riesgos

• Facilitar la solución de riesgos identificados

• Informar con regularidad el estado de los riesgos

• Trabajar con el equipo principal para administrar los riesgos

• Facilitar la solución de riesgos identificados

• Informar con regularidad el estado de los riesgos

integridad de la cadena de abastecimiento de Ti/administración de riesgos de terceros

• Impulsar el programa de integridad de la cadena de abastecimiento y la administración de riesgos de terceros

• Desarrollar estándares y brindar herramientas para las evaluaciones de terceros, y de hardware y software

• Realizar evaluaciones de terceros y de diligencia debida con herramientas que brinde el equipo principal

• Realizar la evaluación de hardware y software con herramientas que brinde el equipo principal

• Realizar evaluaciones de terceros y de diligencia debida con herramientas que brinde el equipo principal

• Adquisición desarrolla evaluaciones de seguridad del proceso de adquisición

• Consulta con el personal del Depto. Legal acerca de los riesgos legales y de cumplimiento de normas, y escritura de contratos

Los SME realizan evaluaciones de terceros y de diligencia debida con estándares que brinda el equipo principal

inventario y valoración de activos

Impulsar el desarrollo del registro

Interactuar con el equipo principal para enumerar y valorar los activos

Interactuar con el equipo principal para enumerar y valorar los activos

inteligencia de riesgos cibernéticos y análisis de amenazas

• Administrar el programa de inteligencia

• Coordinar las fuentes

Compartir datos de inteligencia, como correos electrónicos de robo de identidad

Compartir datos de inteligencia, como el monitoreo de redes sociales

Los SME brindan análisis de amenazas y fuentes

análisis de datos de seguridad

Impulsar el desarrollo de consultas y modelos

Consultar o brindar servicios de análisis de datos

Consultar o brindar servicios de análisis de datos

Los SME o MSSP brindan servicios de análisis de datos

administración de datos de seguridad y data Warehousing

Impulsar la estrategia de administración de datos de seguridad y diseñar el data warehouse de seguridad

• Impulsar la estrategia de administración de datos general de la organización

• Consultar la estrategia de seguridad y las fuentes de datos, como los registros de redes

Consultar las fuentes de datos, como los registros de base de datos y aplicaciones

• Los SME brindan feeds de amenazas

• Los MSSP brindan feeds de los registros de sistemas de seguridad

optimización de los procesos de seguridad

Impulsar la optimización de los proceso de seguridad en toda la organización

Consultar y facilitar la implementación de mejoras

Consultar y facilitar la implementación de mejoras

planificación de mayor alcance

Observar las futuras tendencias de negocios, tecnología y normativa a fin de formular estrategias de seguridad proactivas

Colaborar en las futuras tendencias y estrategias proactivas

Colaborar en las futuras tendencias y estrategias proactivas


Contribuyentes del informe Security for Business Innovation Council

marene n. allison Vicepresidenta mundial de seguridad de la información, johnson & johnson

anish bhimani CISSP Director de riesgos de la información, jPmorgan chase

dr. martiJn dekker Vicepresidente sénior, director de seguridad de la información, abn amro

Jerry r. geisler iii GCFA, GCFE,

GCIH, oficina del director de seguridad de la información, Walmart stores, inc.

renee guttmann Directora de seguridad de la información, the coca-cola company

malColm harkins Vicepresidente, director de seguridad y privacidad, intel

kenneth haertling Vicepresidente y director de seguridad, telus

petri kuivala Director de seguridad de la información, nokia

dave martin CISSP

Vicepresidente y director de seguridad, emc corporation

tim mCknight CISSP Vicepresidente ejecutivo, riesgo y seguridad de la información empresarial, fidelity investments

Felix mohan Vicepresidente sénior y director global de seguridad de la información, airtel

robert rodger Líder de grupo de seguridad de la infraestructura, Hsbc Holdings, plc.

ralph salomon CRISC

Vicepresidente, oficina de riesgos y seguridad de TI, saP aG

vishal salvi CISM Director de seguridad de la información y vicepresidente sénior, Hdfc bank limited

simon striCkland Jefe global de seguridad, astraZeneca

denise d. Wood Vicepresidenta corporativa, seguridad de la información, directora de seguridad de la información, directora de riesgos de TI, fedex corporation

William boni CISM, CPP, CISA Director corporativo de seguridad de la información (CISO), vicepresidente, seguridad de información empresarial, t-mobile usa

roland Cloutier Vicepresidente, director de seguridad, automatic data Processing, inc.

Para ver las biografías completas de los miembros del SBIC, visite http://mexico.emc.com (visite el sitio web de su país correspondiente)


©2013 EMC Corporation. Todos los derechos reservados. 231038-H12227 CISO RPT 0813

EMC, EMC2, el logotipo de EMC, RSA y el logotipo de RSA son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. El resto de los demás productos y servicios son marcas comerciales de sus respectivas empresas.

®

vicepresidente t Transformación de la seguridad de …³n de datos de seguridad, consultoría sobre...

Documents

Transcript of vicepresidente t Transformación de la seguridad de …³n de datos de seguridad, consultoría sobre...