La seguridad de la información debe ser un objetivo de toda la organización
Así lo asegura el Consejo de Seguridad para la Innovación Empresarial (SBIC), que ofrece siete recomendaciones para ayudar a las organizaciones a desarrollar equipos de profesionales de seguridad de vanguardia.
En un contexto de un entorno empresarial hiper-conectado, y ante los crecientes riesgos a los que se enfrentan las empresas globales, el Consejo de Seguridad para la Innovación Empresarial (SBIC), aboga por un nuevo enfoque de la seguridad corporativa, comenzando con la formación de un equipo profesional de nueva generación en seguridad de la información. Y es que, según el SBIC, la seguridad de la información debe ser un objetivo de toda la organización, integrando la seguridad en los procesos de negocio, y los equipos de seguridad deben trabajar en colaboración con las unidades de negocio en la gestión de riesgos y la mitigación de las amenazas cibernéticas.
Para ayudar a las organizaciones a construir un equipo profesional de seguridad en el panorama actual, el SBIC propone siete recomendaciones, empezando por redefinir sus competencias básicas. En este sentido, hay que enfocar el equipo principal en una serie de áreas clave, como son la inteligencia de riesgo cibernético y análisis en datos de seguridad, gestión de datos de seguridad, consultoría de riesgos, y controles de diseño y seguridad. Para temas muy específicos, se recomienda ampliar el equipo central de expertos con especialistas de dentro y fuera de la organización, así como tener en el equipo profesionales con experiencia y certificaciones en gestión de calidad, proyectos, optimización de procesos y prestación de servicios. En cuanto a las operaciones de seguridad de rutina, hay que delegarlas a unidades de negocio o proveedores de servicios externos.
El SBIC recomienda asimismo gestionar de forma conjunta con la empresa los riesgos en ciberseguridad y coordinar un enfoque consistente, implicando a todos, desarrollando confianza e influencia con los participantes clave, como los gestores de áreas clave, mandos intermedios y proveedores de servicios externalizados.