IBM ha dado a conocer los resultados de su primer estudio sobre la situación de los responsables de seguridad de las empresas, CISO – Chief Information Security Officer. El informe, que se basa en la información recopilada por IBM a través de más de 130 entrevistas a altos directivos relacionados con la seguridad en todo el mundo, muestra una clara evolución en el papel que juegan en las empresas, dejando a un lado en enfoque meramente tecnológico y asumiendo mucha mayor responsabilidad en la estrategia del negocio (el 25% de los encuestados).
El estudio clasifica además a los responsables de seguridad en tres categorías en función de su nivel de preparación. Los “influenciadores” representan aproximadamente un 25% de los entrevistados y son aquellos que influyen en la estrategia de negocio de sus empresas, están mejor preparados y tienen una mayor experiencia que los integrantes de las otras dos categorías, los “protectores” y los “que dan respuestas”.
En general, los responsables de seguridad están actualmente bajo una intensa presión, ya que son los encargados de proteger algunos de los activos más valiosos de sus empresas, desde el dinero a los datos de los clientes o la propiedad intelectual y la marca. Casi dos tercios de los CISOs encuestados afirman que los altos directivos están prestando más atención a la seguridad que hace dos años. El creciente número de ataques a la seguridad y vulnerabilidades les ha convencido del papel clave que debe jugar la seguridad en la empresa moderna. Al mismo tiempo, más del 50% de los encuestados citaron la seguridad móvil como una de sus principales preocupaciones para los próximos dos años y casi dos tercios de ellos esperan un incremento en los presupuestos destinados a la seguridad (el 87% de ellos prevé incluso incrementos de dos dígitos).
En lugar de ejercer un papel meramente reactivo ante los ataques o incidentes, los responsables de seguridad están evolucionando hacia una gestión del riesgo más inteligente (pasando de tratar de apagar fuegos a luchar para prevenirlos antes de que aparezcan). Entre las principales características que definen a los responsables de seguridad más preparados, los “influenciadores”, destacan las siguientes: Percepción de la seguridad como imperativo de negocio (más que tecnológico), toma de decisiones basada en datos y medición y responsabilidad presupuestaria compartida con el equipo directivo,
En el informe, IBM recomienda a los responsables de seguridad la creación de un plan de acción sobre la base de sus capacidades actuales y las necesidades más apremiantes. El informe ofrece una serie de consejos sobre cómo las organizaciones pueden avanzar en función de su nivel de madurez actual.
Por ejemplo, aquellos responsables de seguridad que se encuentran en la categoría de los que “dan respuestas” en la primera etapa de madurez en materia de seguridad pueden superar su enfoque táctico estableciendo un cargo específico dedicado a la seguridad (como, por ejemplo, un CISO), creando de un comité de seguridad y riesgo que mida el progreso o apostando por la automatización de los procesos rutinarios de seguridad para dedicar más tiempo y recursos a la innovación de seguridad.
