Estos consejos ayudarán a las empresas medianas y grandes a aprender a aprovechar al máximo sus presupuestos de seguridad de TI.
Aprovechando mi artículo anterior sobre cómo obtener el mayor beneficio de su inversión en seguridad para los pequeños talleres de seguridad de TI, pensé que sería una buena oportunidad para escribir sobre cómo los equipos de seguridad de TI más grandes pueden ser más efectivos con sus presupuestos más grandes. Los departamentos de seguridad de TI más grandes a menudo gastan en soluciones que realmente no necesitan o que no abordan un riesgo empresarial (y terminan siendo un desperdicio de dinero. Ciertamente, no es raro que múltiples soluciones de seguridad se introduzcan en la infraestructura de red de la empresa de forma aleatoria y creen brechas de seguridad en lugar de reducir el riesgo.
Para ser más eficiente con el dinero del presupuesto que tanto ha costado ganar, el equipo de seguridad de la información de su empresa debe pasar de centrarse principalmente en los controles de seguridad operativos a un esfuerzo más centrado en el abuso que abarque actividades tales como la evaluación de riesgos, la valoración de activos, la integridad de la cadena de suministro de TI y la optimización de procesos. Hace varios meses, el proveedor de seguridad RSA publicó un informe que describe cómo transformar la seguridad de TI. El informe, al describir cómo deberían funcionar los equipos de seguridad de nueva generación, sirve como un documento de orientación sobre cómo reposicionar los gastos de su presupuesto.
Responsabilidades del equipo de seguridad de TI
Según el informe, el equipo básico de seguridad de la información debería ser responsable de dirigir y coordinar las actividades generales de seguridad de la tecnología de la información y de realizar tareas que requieran conocimientos especializados en materia de seguridad. Las áreas en las que debe centrarse la seguridad de TI deben ser: Redefinir y fortalecer las competencias centrales de la seguridad de TI (diseño y aseguramiento del control); delegar las operaciones rutinarias (asignar procesos de seguridad repetibles y bien establecidos); y establecer la consultoría de riesgos de la información (asociarse con la empresa en la gestión de los riesgos de la información y coordinar un enfoque coherente de gestión de riesgos de la empresa. Al seguir este enfoque, se asegura que las inversiones en seguridad sean efectivas y eficientes en la entrega de una seguridad de la información sostenible que apoye los objetivos del negocio (traducción: no está desperdiciando dinero.)
Según la RSA, la gran mayoría de los controles de seguridad de las empresas se aplican hoy en día con fines preventivos. RSA estima que la mayoría de las organizaciones gastan aproximadamente el 80 por ciento de sus presupuestos de seguridad en medidas preventivas, y que el 20 por ciento restante lo hacen en monitoreo (detective) y remediación (respuesta.
Ponga los recursos donde sean importantes
La mayoría de las organizaciones han pasado las últimas dos décadas centrándose únicamente en cortafuegos, antivirus, cifrado y medidas de autenticación para ofrecer un nivel aceptable de seguridad, sin un éxito sostenido. Los enfoques preventivos por sí solos no inhiben a los atacantes modernos, sofisticados, bien financiados, persistentes y enfocados. Estamos desperdiciando presupuestos al verter continuamente más y más recursos en controles puramente preventivos. Las organizaciones necesitan cambiar su enfoque de defensa general dadas las realidades de seguridad de hoy en día, aumentando la financiación y la implementación de controles de detección y respuesta.
Usted debe gastar en iniciativas que aborden mejor la resiliencia y proporcionen una estabilidad equilibrada de controles preventivos, detectivescos y de respuesta. En la mayoría de las organizaciones, las inversiones en seguridad, que cubren a las personas, los procesos y la tecnología, están desequilibradas. Lo mejor que puede hacer por su presupuesto de seguridad es armonizar esas líneas.