El enfoque tradicional de la seguridad TI ya no es aplicable, según Ernst & Young
Proteger la información corporativa –base elemental de cualquier negocio- debería ser una prioridad en la gestión de riesgos y seguridad empresarial. Y para conseguirlo, según Gerry Chng, ejecutivo de la consultora Ernst & Young, “ya no sirve la forma tradicional de gestionar las cuestiones de seguridad”.
Chng cree limitarse a cuestiones como securizar la infraestructura, evitar la entrada de hackers o centrarse en el mantenimiento de la conformidad con las normas son algunas de las medidas de seguridad que han ido quedando obsoletas, teniendo en cuenta la emergencia de nuevas tecnologías.
La necesidad de centrarse en la información misma se hace, según este experto, evidente a la luz de los diversos incidentes que se produjeron el año pasado cuando se robaron datos de forma masiva de diversas grandes organizaciones, como consecuencia de su negligencia en cuanto a la seguridad.
“Las empresas tienen que proteger la información misma, no sólo los laptops o la red”, subraya Chng al respecto. “Deben centrarse en la información, sin limitarse al hardware o software, porque éstos recursos son meros instrumentos para proteger los datos corporativos”.
Chng señala el cloud computing como ejemplo de tecnología llamada a cambiar el enfoque que las empresas hacen de la seguridad de su información, principalmente porque en este modelo los datos no residen en las instalaciones corporativas. “Cloud computing presenta una fuerte dependencia de Internet y, por tanto, hace más crítico que no se produzcan caídas en la conectividad para mantener la continuidad del negocio”, explica.
La conformidad no es suficiente
En cuanto a la conformidad, debe enfocarse con cuidado, según Chng, y no convertirla en el principal criterio para considerar que la información está adecuadamente protegida. “La conformidad con las reglas internas y legales no se traduce necesariamente en una buena seguridad. Puede resultar de gran ayuda pero resulta cara, y no es sostenible”, asegura, defendiendo que la mejor estrategia al respecto consiste en comprender lo que se pretende con las normas exigidas y enfocar la conformidad como una práctica de seguridad producto a producto.
El hecho de que la conformidad con la legislación de protección de datos no es suficiente queda demostrado por hechos la brecha padecida por Heartland Payment Systems, que sufrió la fuga de la información contenida en 130 millones de archivos de contactos de sus clientes pese a cumplir las normas de seguridad establecidas.
Teniendo en cuenta todas estas consideraciones, en opinión de Chng, una buena estrategia de seguridad de la información debería incorporar cuatro elementos: gestión proactiva y continua de la seguridad en lugar de reactiva y puntual; iniciativas de seguridad efectivas en costes para satisfacer los requerimientos regulatorios; definir las fronteras de los retos operacionales; y atender a los riesgos derivados de las tecnologías emergentes.
