Escrito por CSO Magazine USA Jueves, 01 de Julio de 2010 00:00
La credibilidad de Seguridad ha crecido a pasos agigantados en esta década, pero aún existen un montón de desafíos pendientes. Exclusiva encuesta realizada por CSO Magazine.
La seguridad es muy antigua en muchos aspectos, pero todavía muy joven en otros. Como disciplina corporativa, la seguridad, lamentablemente languideció durante años en el sótano. Hoy en día, las organizaciones llegan a familiarizarse en una amplia franja de riesgos, el Estado del Arte 2010 muestra que los CSO están adoptando rápidamente visión más sofisticada de la seguridad. Por supuesto, hay más trabajo por hacer - lo más prominente referido a las áreas de métricas de seguridad y programas de concientización.
Echemos un vistazo a los números..
¿En qué medida cada declaración describe a su organización?
| 2004 | 2010 | |
| La alta dirección ha establecido una política de seguridad y el proceso de auditoría | 23% | 81% |
| La alta dirección mira el rol del líder en seguridad como estratégica y permanente | 17% | 72% |
| La seguridad es vista como esencial para las empresas en comparación con los gastos generales | 25% | 66% |
| Los temas de seguridad son una parte rutinaria en los procesos de negocios de su empresa | 28% | 63% |
| Todos los empleados reciben capacitación en todas las políticas de seguridad | 38% | 78% |
| Todos los empleados conocen las sanciones y las consecuencias de una violación de seguridad | 42% | 63% |
| Todos los gerentes de la organización comprendan sus funciones y responsabilidades en cuanto a la seguridad | 45% | 44% |
| Todos los empleados consideran la seguridad como parte de sus responsabilidades diarias | 38% | 40% |
(Porcentaje que están de acuerdo o muy de acuerdo con cada afirmación)
Tómese un momento para reflexionar sobre el enorme progreso que es reflejado en el cuadro anterior.
Hace seis años, se manifestó de tener una relación bajo para la gestión de riesgos de seguridad dentro de sus empresas. Las políticas no se han definido. Los líderes de Seguridad fueron dejados de lado. La formación era mínima.
El escenario de hoy es diferente en casi todos los resultados; los encuestados indican que los programas de seguridad están bien establecidos en la mayoría de las empresas, incluidas las políticas, el personal y la capacitación.
Aparte del Marketing en Internet, ¿Existe alguna disciplina corporativa que haya aumentado tan rápido y con la generalidad de credibilidad en la misma década? A riesgo de caer en un rol motivador, se trata de un hecho para destacar y celebrar. Los acontecimientos actuales han sido claramente un factor de conducción enorme, pero los líderes de seguridad de hoy aún se merecen una palmadita en la espalda cuando intentan ayudar a coordinar la respuesta correcta en la organización frente a las amenazas actuales.
La mejora en cada área ha ido en constante alza a lo largo de los años.
Dicho esto, debemos ahondar en dos cuestiones donde el progreso no se refleja. (Vea la tabla siguiente para obtener más detalles).
¿En qué medida cada declaración describe su organización?
| En grandes compañías | En pequeñas compañías | |
| Todos los gerentes de la organización comprendan sus funciones y responsabilidades en cuanto a la seguridad | 39% | 53% |
| Todos los empleados consideran la seguridad como parte de sus responsabilidades diarias | 33% | 44% |
(Porcentaje que están de acuerdo o muy de acuerdo con cada declaración. Una ruptura de los datos de la primer tabla, por tamaño de la compañía)
Este cuadro entra en detalle un poco más sobre las dos cuestiones observadas en el primer gráfico. En la mayoría de los temas de concientización, las grandes empresas tienden a obtener mejores resultados que las pequeñas empresas. En ambos puntos, sin embargo, las empresas más pequeñas tienen puntuaciones más altas que sus hermanas más grandes.
Esta diferencia se había notado el año pasado, la cual persiste este año. En la encuesta del año pasado, nos preguntamos si esto indica que las grandes empresas son demasiado dependientes de los procesos. Una organización más grande, naturalmente, tiende más hacia la especialización. Los empleados y directivos de las empresas más pequeñas pueden ser más propensos a pensar en sus descripciones de trabajo como "y otras tareas según sea necesario."
Eso puede ser cierto. Pero presentado en estos datos, un CSO ofrece una explicación simple y clara: "Yo diría que toda la gestión de seguridad falla por no comunicar a su público adecuadamente", dice Brian Connor, CSO de Genpact, con sede en Gurgaon, India.
Entonces, ¿qué hacer al respecto? Jason Richards, CISO en Virginia Community College, establece mejores programas de concientización a medida. Esto significa que los ejercicios y ejemplos utilizados por los entrenados, utilizan datos específicos o activos que manejan todos los días. Esto es más laborioso que la creación de un boletín o poster genérico para toda la empresa.
Por otra parte, los datos sugieren que el enfoque general, simplemente no es muy eficaz.
¿Cuál de los siguientes métodos o cálculos Usted presenta en el proceso de presupuestación de seguridad?
| 2008 | 2010 | |
| Retorno de la Inversión (ROI) | 46% | 34% |
| Costo Total de Propiedad (TCO) | 39% | 32% |
| Expectativa de Pérdida Anual (ALE) | 14% | 13% |
| Valor Presente Neto (NPV) | N/A | 10% |
| Valor Económico Agregado (EVA) | 16% | 9% |
| No hay una metodología formal | 42% | 51% |
(Los encuestados podían elegir varias respuestas)
Es fácil entender este gráfico. Indica una reducción lenta en el uso de determinadas metodologías financieras comunes, mostrando que es otra área donde el progreso no se está haciendo.
Estas metodologías son el lenguaje común de los negocios. Sin embargo, son notoriamente difíciles de aplicar a la seguridad en un contexto de confianza. Por ejemplo, ALE (un punto de datos clave en muchos cálculos) derivados de una industria en particular puede no aplicar a las empresas en otro sector.
"Creo que es difícil aunque no imposible, de usar en el área de seguridad. La gente puede empezar a usarlas, pero encuentran grises y al final renunciar a ellos”, dice Richards.
Así que frenaremos una caída una caída en el uso del EVA con un paso atrás de la seguridad. Sin embargo, la persistencia obstinada de utilizar "ninguna metodología financiera formal" sigue siendo preocupante. Si las metodologías incluidas en la encuesta no funcionan, la seguridad es un campo con necesidades para desarrollar alternativas creíbles si se quiere a largo plazo alcanzar el éxito. John Petrie, CISO en Harland Clarke Holdings, señala que si bien ninguno de los métodos enumerados aquí son perfectos para capturar el valor de la seguridad, esto puede ser la propuesta inicial de unir las piezas del rompecabezas.
Calcular el valor de la seguridad "abarca mucho más que este tipo de datos", escribió Petrie en una respuesta por correo electrónico. "También incluye los números de los ingresos (o pérdida del mismo), el costo de respuesta a incidentes (costo por registro), y los riesgos de reputación, o de otro tipo que no se puede calcular fácilmente. Creo que la gente está desarrollando nuevas formas como comunicar el valor de la seguridad", Petrie, dice,"y el uso de las nuevas mediciones, además de los tradicionales, como el costo total de propiedad (TCO), retorno de la inversión, y EVA, da apoyo a esta afirmación.
A modo de ejemplo, la implementación de una solución de protección de fuga de datos (DLP) es difícil de vender usando sólo TCO o ROI", dice. Pero cuando se combina con la capacidad de bloquear a los empleados que de forma inadvertida envían datos confidenciales o de propiedad intelectual”, dice, "se convierte en una declaración de valores más poderosa. Deja de ser una discusión de costos y más de una discusión de riesgo aceptable.
En comparación con los últimos 12 meses, ¿cómo se encuentra el presupuesto de la seguridad?
| Aumentará | 34% |
| Permanecerá Igual | 52% |
| Decrecerá | 14% |
| No sabe | 9% |
Dejando a un lado la imagen a largo plazo por un momento, ¿qué depara el futuro cercano? Para la mayoría de las áreas de seguridad, los recursos permanecen estables o en alza modesta. Eso no es sorprendente, ya que refleja la dirección general de la economía mundial.
En los últimos 12 meses, ¿el liderazgo de la gestión de su organización tiene lugar con más valor o menos valor en la gestión de riesgos?
| Más valor | 54% |
| Sin cambios | 40% |
| Menos valor | 6% |
Los encuestados también dicen que el liderazgo de sus organizaciones ha puesto más énfasis en la gestión del riesgo en los últimos 12 meses. Esto sigue la tendencia general de los últimos años, aunque el porcentaje de responder "más valor" estaba en un pico hace unos años (69 por ciento en la encuesta del 2006).
¿Su organización utiliza un proceso o metodología formal para la gestión de riesgos de la empresa incorporando múltiples tipos de riesgo?
| 2009 | 2010 | |
| SI | 46% | 57% |
| NO | 57% | 43% |
El aumento de la gestión formal del riesgo empresarial (ERM), ha superado todas las previsiones más optimistas. ERM puede ser en realidad la sustitución de las metodologías financiera que languidecen anteriormente señaladas.
Jeff Spivey, Presidente del Security Risk Management, informó que las empresas con un demostrable ERM puede recibir una mejor calificación crediticia. Mejores puntuaciones de crédito permiten a las empresas pedir dinero prestado a tasas de interés más baja.
Los CSO no deben dejar de aprovechar esta circunstancia, ya que golpea el balance corporativo muy directamente. En este momento, el desarrollo de un programa de ERM de trabajo interdisciplinario entre colegas, es más prioritario que la elaboración de los detalles de EVA o la contabilidad basada en costos.
En los últimos 12 meses, ¿Cómo ha cambiado la cantidad de tiempo empleado en cumplimiento de normativa y regulaciones?
| Subió | 56% |
| Sin cambios | 42% |
| Bajó | 2% |
La cantidad de tiempo empleado en cumplimiento de normativas y regulaciones sigue en aumento. A medida que estas demandas crecen, también lo hace la necesidad de establecer un programa claro y eficiente para lograr y documentar el cumplimiento.
Acerca de la encuesta y los encuestados:
El Estado del Arte del CSO fue gestionada online a una muestra calificada CSO. Las conclusiones se basan en las respuestas de 227 profesionales de seguridad.
Los encuestados representaban una amplia gama de industrias incluyendo el gobierno y organizaciones no lucrativas (26%), servicios financieros (22%), alta tecnología / telecomunicaciones / servicios (15%), manufactura (12%), salud (9%) y otros.
Los encuestados que participaron del informe tienen numerosas responsabilidades relacionadas con la seguridad, incluida la seguridad de la información, privacidad, protección contra el fraude, investigaciones, auditorías, personal de seguridad y mucho más.
Fuente: Derek Slater, CSO Magazine
| < Prev | Próximo > |
|---|
 |
 |
 |
 |
 |
Revista Impresa #15
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 4 registrados
Este mes: 2 registrados
Visitas
 | Hoy | 1434 |
 | Ayer | 4912 |
 | Esta semana | 26819 |
 | Ultima semana | 34337 |
 | Este mes | 16510 |
 | Ultimo mes | 148794 |
 | Todos los días | 7661178 |
Hoy: Feb 04, 2012