Columnista invitado. CrowdSecurity y CiberResiliencia

Escrito por  Viernes, 21 Junio 2013 17:37

En la actualidad, más de 70 compañías y agencias de gobierno de 15 sectores y 25 países han unido esfuerzos para la creación de una iniciativa que pretende establecer una estrategia de colaboración de CiberResiliencia[1]. Esta iniciativa del Foro Económico Mundial demuestra que las estrategias de seguridad de la información continuarán soportándose en esquemas de colaboración.


 

 

El crecimiento económico y la innovación, dos objetivos fundamentales de los Estados y de las organizaciones, se apalancan mediante el uso del ciberespacio. Ese mundo digital siempre conectado provee múltiples beneficios a todos los involucrados: personas, empresas y gobiernos; pero, el aumento de las amenazas y los riesgos de este afectan directamente la confianza, la privacidad y la infraestructura crítica.

 

Los retos a los que se enfrentan hoy las organizaciones y los Estados son, entre otros: la alta competitividad (apalancada por procesos altamente automatizados, interacción directa con sus clientes y entendimiento de sus retos y entorno, mediante el análisis de grandes cantidades de datos); la maximización y repartición de valor entre todos los interesados (clientes, colaboradores, sociedad y los accionistas); y, la innovación (no mejorando sus productos o procesos, sino revolucionando).

 

Rol del líder de riesgo y seguridad

En la actualidad, ante el entorno convulsionado, la crisis económica global, el aumento de las amenazas y los riesgos, además del giro de la forma como debemos hacer negocios, es importante verificar si nuestro rol y estrategia como líderes de riesgo y seguridad está alineado con la organización y le genera valor. El primer elemento es entender el negocio, sus retos y su entorno y para ello se  requiere el desarrollo de ciertas habilidades y técnicas.

 

El control se establece para garantizar que se cumplan los objetivos propuestos;  las personas definen y ejecutan una estrategia y ellas mismas pueden desalinearse y afectar el cumplimiento de objetivos, porque no quieren, no pueden o no saben. 

 

Como no todo se puede controlar, las organizaciones implementan la herramienta de gestión de riesgo para entender y priorizar los temas críticos y utilizar los recursos de una forma eficiente. Es importante entonces tener en cuenta que nuestras decisiones se basan en la herramienta de gestión de riesgo, donde encontramos un segundo elemento.

 

El ritmo de evolución de las empresas intenta asimilar los cambios y el desarrollo tecnológico. Cada día vemos que las organizaciones son más eficientes en la implementación e inclusión de nuevas tecnologías, para mejorar su competitividad e innovación. El entendimiento y análisis de los beneficios y de los riesgos es una actividad fundamental en el rol de los líderes de riesgo y seguridad, y entre sus competencias debe estar también la capacidad de comunicar de forma clara y tangible ese análisis a todos los interesados. Tenemos entonces el tercer y cuarto elementos claves.


Para resumir es necesario que nuestro rol como líderes de riesgo y seguridad de la información cuente con los siguientes cuatro elementos principales:

 

1.    Entendimiento de negocio y del entorno: El perfil del líder de riesgo y seguridad de la información actual debe contar con competencias del saber y del hacer, que le ayuden a comprender el negocio, además de ver aquello que no está explícito, pero que puede afectar en el cumplimiento de metas y objetivos.

 

2.    La gestión de riesgo como herramienta para la toma de decisiones: Los riesgos actuales impactan al negocio en criterios que son difíciles de cuantificar y, adicionalmente, se materializan fuera de nuestro alcance. Tener una visión global para saber cómo priorizar y mitigar los riesgos es fundamental para hacer frente a lo que estamos viviendo.

 

3.    Protección, generación de valor y trabajo colaborativo: Debemos apoyar el negocio apalancando las iniciativas y maximizando los beneficios que pueden generar, pero garantizando que tales beneficios no se vean erosionados por los riesgos a los que se expone la organización. Nuestra misión es lograr un trabajo colaborativo con las demás áreas aplicando los controles mínimos requeridos.

 

4.    Comunicación asertiva: Sólo con una buena comunicación es que los líderes logran sus objetivos. Para los líderes de riesgo y seguridad es un reto lograr transmitir a la alta dirección y personas de negocio elementos técnicos y particulares de la operación y del entorno.

 

Estrategia de seguridad

Teniendo claro el rol y entendiendo que nuestro objetivo como líderes de riesgo y seguridad de la información es apoyar a la organización en controlar que los objetivos se cumplan, ya sea con una óptica orientada a tecnologías de información, procesos o personas, es importante resaltar los retos propios a enfrentar en nuestra función.


A continuación se enumeran algunos:

 

-       Aumento de la criminalidad en el ciberespacio.

-       Activismo en línea.

-       Incremento de la regulación en temas de privacidad.

-       Relación inversamente proporcional entre el número de controles y su efectividad y los beneficios de la empresa.

-       Riesgos financieros vs riesgos de competitividad.

-       Inclusión de nuevas tecnologías.

-       La seguridad de la organización depende de la seguridad de sus proveedores.

 

La estrategia a implementar para cumplir con nuestros objetivos y hacer frente a los retos que se nos presentan debe involucrar tres conceptos fundamentales: el crowdsecurity[1]; colaboración y análisis de grandes cantidades de datos; y,  correlación.

 

CrowdSecurity

En los temas de seguridad de la información hemos logrado entender que la mejor solución no es la que nos digan los dos referentes en la industria o algún experto particular, sino es lo que crea la mayoría de las personas que hayan tenido experiencia y enfrentado al mismo reto. Lograr tener una posición consolidada de varias personas para resolver los retos a los que nos enfrentamos es fundamental en nuestra estrategia.

 

En Colombia, un grupo de expertos en seguridad está intentando con esta iniciativa CrowdSecurity Colombia[2], generar una posición unificada para ayudar a las empresas, gobierno o a los mismos expertos del Crowd, a asumir los retos a los que nos estamos enfrentando. Esta iniciativa apenas está comenzando, pero es importante que comencemos a involucrarla en nuestra estrategia.

 

Colaboración

Para minimizar el interés de los cibercriminales es necesario reducir al máximo la utilidad de sus acciones. Una alternativa que se está volviendo la más efectiva es que la primera entidad, sea organización, agencia del gobierno o persona, comparta los incidentes para que el resto logre actuar de forma inmediata ante esa nueva técnica de ataque.

 

Esa integración sólo se puede dar garantizando un marco de gobierno para el control y la integración al modelo de colaboración, alineación de las estrategias de ciberrespuesta y ciberresiliencia entre todos los participantes, además de un método de comunicación eficiente de los incidentes.

 

Los gobiernos han venido trabajando en el tema, al igual que varias entidades privadas, pero es necesario el compromiso, la definición y aplicación de ciertos valores y principios entre todos los involucrados, como lo definido por la iniciativa de CiberResiliencia del Foro Económico Mundial.


Análisis de grandes cantidades de datos

La red, los sistemas y las acciones de los usuarios nos ayudan a entender el pasado, presente y posible futuro de nuestra organización. La correlación de eventos e incidentes de seguridad se han convertido en el modelo de gestión de riesgo en línea más efectivo para conectar los modelos de seguridad.

 

Es importante que ese entendimiento de lo que pasa o lo que pasó en las herramientas tecnológicas de nuestra organización, nos ayude a actuar de forma efectiva para minimizar los impactos de nuevas amenazas.

 

Conclusión

Actuar con base en el conocimiento es la ventaja de personas, organizaciones y agencias del gobierno. La protección de ese conocimiento es fundamental debido a que es la forma de alcanzar las grandes metas que nos trazamos.

 

Los retos a los que nos enfrentamos son inmensos, por ello es necesario que nuestro perfil como líderes sea desarrollado con competencias que hagan énfasis en temas de negocio, no sólo de tecnología.

 

La maximización del valor de nuestra función se logrará mediante la colaboración e integración con otras organizaciones, proveedores y expertos, generando liderazgo de pensamiento e investigación y automatizando actividades de análisis y correlación para lograr ampliar la visibilidad y el alcance de nuestras decisiones de gestión de riesgo y seguridad de la información.

 

Javier Díaz Evans. Máster en Dirección de empresas en Inalde Business School, Colombia. Especialista en Telemática e Ingeniero Electrónico de la Universidad de los Andes;  CISSP, CISM, BS7799 Lead Auditor. Ha sido profesor de Seguridad Informática de la Especialización de Gestión de Seguridad de la Universidad Militar Nueva Granada, en Bogotá. Director de Riesgo y Seguridad de la Información de ATH S.A. Gerente de PwC y Consultor de ETEK International.

 

 

 

 


[1]El término crowd, multitud en inglés, se viene utilizando como una nueva forma de enfrentar retos en la sociedad, los cuales son solucionados por una gran cantidad de expertos. Ejemplos: www.topcoder.com- crowdsourcing para desarrollo de software y www.ninesigma.com- crowdsourcing para innovación.

 


[1]http://www.weforum.org/issues/partnering-cyber-resilience-pcr

Califique este elemento
(3 votes)
Leido 4948 veces Modificado por ultima vez Lunes, 24 Junio 2013 12:53

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información