Los CISO deben centrarse en lo básico
Los recortes presupuestarios están forzando a los responsables de seguridad de la información de las empresas a centrarse en la eficiencia, automatización de procesos, estandarización y centralización para reducir costes y evitar riesgos.
Esta es la visión que ofrece Paul Dorey, antiguo CISO (Chief information security officer) en BP y actualmente director de Security Faculty, que ofrece formación y desarrollo a los CISOs, consciente de que realmente vivimos tiempos difíciles para los profesionales de la seguridad de la información, que se tienen que enfrentar a un incremento de los casos de robo de información y malware con presupuestos cada vez más reducidos. Las amenazas internas están creciendo muy rápido sobre todo con empleados disgustados que acaban de ser despedidos, manifiesta Dorey. Cerca de dos tercios de los empleados admitieron haber robado información cuando dejaron sus puestos de trabajo.
En un momento en que las partidas presupuestarias son más bien escasas, el ingenio cobra protagonismo. Los CISOs necesitan centrarse en la eficiencia, automatización de procesos, estandarización y en la centralización allí donde sea posible. "Tenemos que recortar gastos y eliminar solapamientos en los sistemas. Pensar en la seguridad como software como servicio, evitaría todos los costes de servidor e infraestructura asociada”, manifiesta. Las empresas incluso podrían considerar el software de seguridad gratuito disponible en la web pero necesitan ser conscientes de los asuntos legales, la falta de soporte y los problemas relativos a la gestión del mismo.
“Los CISOs también podrían reducir sus presupuestos si trasladaran funciones no relacionadas con la seguridad a otros departamentos- advierte-, como por ejemplo: controlar a aquellos trabajadores que hacen un uso inapropiado de Internet ¿no podría ser una competencia más propia del departamento de Recursos Humanos que el de TI?”, señala.
"Hay muchas áreas de TI, aparte de la seguridad, que están reduciendo costes- mantiene- pero la mayoría incrementa su carga de trabajo en seguridad”. Estos incluyen virtualización de servidores, offshoring, migración a código abierto, consolidación de proveedores e infraestructura y paso hacia un entorno de informática en la nube.
Entre todos estos recortes, las empresas necesitan ser muy cautelosos a la hora de prensar en el outsourcing de seguridad en sí mismo. “Hay algunos aspectos que podrían externalizarse pero de ninguna manera debe dejar todo en manos de un tercero. La responsabilidad de la seguridad debe descansar en el CISO”, sostiene.
