RSA, la división de seguridad de EMC, presentó la semana pasada los resultados de dos nuevos estudios que exploran la volátil relación entre la seguridad de la información y la innovación en los negocios. El primer estudio, realizado por IDC, revela el creciente abismo entre la seguridad y la información y analiza el impacto que ocasiona en el negocio esta situación en empresas líderes de todo el mundo. (13/11/2008)

El segundo estudio, reúne a un grupo de directivos de élite para definir las primeras estrategias avanzadas de gestión de riesgo de la información con el objetivo de salvar este desfase.

“El complejo nexo existente entre seguridad e innovación es evidente, pero las organizaciones están todavía buscando el correcto balance entre llevar innovaciones al mercado y establecer prácticas de TI seguras”, comentó Jorge Cortés, Gerente de Seguridad de EMC Norte de Latinoamérica. “La seguridad ha sido desde hace mucho tiempo una cuestión para los negocios globalmente, y esta investigación nos dice que es una prioridad hoy día para los equipos de gestión. No ha habido nunca un momento mejor para que las compañías realicen el cambio cultural, filosófico y tecnológico requerido para alinear mejor las estrategias de seguridad e innovación.”

El estudio de IDC revela que el riesgo de la seguridad TI es un inhibidor significativo en la innovación.

Un estudio de IDC, encargado por RSA, encuestando a más de 200 directivos y profesionales de la seguridad, bajo el título, “Innovation and Security: Collaborative or Combative*,” muestra que la mayor parte de las organizaciones creen que crear un entorno ideal para la innovación es crítico para estar por delante de la competencia. Sin embargo, los encuestados revelan que a pesar de sus mejores intenciones, el riesgo de la seguridad de la información está impidiendo la innovación de los negocios. De hecho, 80% de los encuestados admite que sus organizaciones han desistido de ciertas posibilidades de innovación por preocupaciones acerca de la seguridad de la información.

IDC también ha encontrado que aunque el 80% de los CEOs cree que sus equipos de seguridad están contribuyendo formalmente al crecimiento y la innovación en sus negocios, solo 44% de los responsables de seguridad creen que se les valora en su contribución a la innovación. Estas conclusiones apuntan hacia una sorprendente falta de alineación entre las expectativas de los gestores y las prioridades de los profesionales de seguridad. Y mientras la necesidad de unir las estrategias de seguridad TI directamente con los objetivos de negocio es un imperativo ampliamente reconocido, solo 21% de los encuestados cree que sus organizaciones han realizado con éxito la transición a un enfoque que sea proactivo y alineado con el negocio y que permita la innovación en vez de obstaculizarla.

“Hoy día los negocios no pueden crecer en ausencia de un entorno saludable para la realización de innovaciones”, comenta Cortes. “Es evidente que a pesar de algunos progresos positivos, la relación entre seguridad e innovación es todavía muy tensa. La realidad es que la innovación y la seguridad no necesitan competir como prioridades, son complementarias. Al final, creemos que las organizaciones que demandan una implicación de las TI en los esfuerzos de innovación de negocio desde fases tempranas y diseñan métricas específicas para medir la innovación del negocio para sus equipos de seguridad, tienen una oportunidad mucho mayor de avanzar en los propios objetivos de la organización.”



Los líderes en seguridad piden un nuevo enfoque a la gestión del riesgo

RSA también ha publicado el último informe del Security for Business Innovation Council, que está formado por 10 de los líderes en seguridad de la información de algunas de las mayores compañías del mundo.

Como punto de arranque crítico, el informe del Security for Business Innovation Council recomienda algunos cambios clave en la forma de pensar y en el comportamiento de la organización:

1. Mover el enfoque del equipo de seguridad de “Seguridad de la Información” a “Gestión del Riesgo de la Información” para señalar que el objetivo es alcanzar un nivel de riesgo aceptable.

2. Usar un enfoque que involucre a toda la organización para entender y formalizar la tolerancia al riesgo de la empresa.

3. Construir un modelo de asunción de riesgo para delinear donde y en quien reside la responsabilidad de la toma de decisiones en cuanto al riesgo.

4. Crear un proceso repetible paso a paso para hacer cálculos de riesgo/beneficio para nuevas iniciativas de negocio y asegurar que se difunde y utiliza en la organización.



Metodología

El estudio de IDC fue diseñado para medir el efecto de la seguridad en la innovación de los negocios. Los resultados del estudio se resumen en el white paper de IDC “Innovation and Security: Collaborative or Combative,”. El estudio fue realizado online por IDC y la consecuente recogida de datos y análisis se realizó durante el segundo trimestre de 2008. Los encuestados fueron seleccionados teniendo en cuenta su involucración directa en seguridad TI, e incluyen directivos senior y de nivel medio. Se seleccionaron aproximadamente 200 individuos para el estudio.

1. 80% de los encuestados trabajan en compañías con un nivel de facturación de 1.000 millones de dólares o más.

2. 73% de los encuestados son vicepresidentes o rangos superiores en las empresas.

3. 60% de los encuestados trabajan en compañías con 500 empleados o más.

4. 73% de los participantes eran de Estados Unidos, 14% del Reino Unido, 2% de la India, 6% de Australia y 5% de otros países.



Fuente: Enbytes