adopte una estrategia integral de seguridad alineada … · y creación de un blueprint de...
TRANSCRIPT
Junio de 2008
Seguridad orientada al negocio
Adopte una estrategia integral de seguridad alineada con el negocio.
Adopte una estrategia integral de seguridad alineada con el negocio.2
Visión general
Hoy en día, los directivos deben afrontar muchos retos como, por ejemplo, la
necesidad de innovar en entornos extremadamente competitivos, responder
a desafíos normativos y de conformidad altamente dinámicos, acelerar el
rendimiento de las inversiones para contrarrestar unos presupuestos de TI
cada vez mas reducidos y proteger la empresa de una amplia variedad de
sofisticadas amenazas nuevas y cambiantes. No obstante, a diferencia de otros
retos, las organizaciones suelen adoptar un enfoque tecnológico para proteger
su infraestructura cuando, en realidad, un enfoque orientado a los negocios está
más justificado.
Un enfoque orientado al negocio se diferencia de un enfoque tecnológico
en que los objetivos empresariales impulsan los requisitos para proteger
la empresa. Las organizaciones suelen tomar una aproximación total de la
seguridad ya que los proveedores de soluciones de seguridad suelen fomentar
este enfoque con sus clientes. Para solucionar carencias de seguridad ya
identificadas, las empresas amplían y refuerzan sus defensas aumentando
las inversiones realizadas anteriormente en seguridad. Esta metodología
tecnológica crea a menudo una infraestructura de seguridad excesivamente
compleja y disgregada. Todo ello dificulta, por tanto, la gestión y reacción
ante vulnerabilidades desconocidas, aumentando innecesariamente los costes
de TI y, finalmente, multiplicando las ineficiencias operativas que inhiben el
crecimiento empresarial en lugar de fomentarlo.
En lugar de intentar protegerse de todas las posibles amenazas, las
organizaciones deben comprender y priorizar aquellas actividades de
gestión de riesgos de seguridad de mayor calado para su empresa. El
equipo de TI puede, asimilando el nivel de tolerancia a riesgos de una
organización, centrarse más fácilmente en la reducción de aquellos riesgos
que la organización no puede permitirse el lujo de ignorar. Sobrevalorar
determinados riesgos desperdicia recursos y esfuerzos mientras que
infravalorar otros puede acarrear consecuencias desastrosas.
Conseguir un enfoque de seguridad estratégico y completo que dé soporte a
objetivos empresariales como el impulso de la innovación y la reducción de
los costes organizativos, así como los requisitos operativos para responder
a medidas de conformidad y la protección contra amenazas internas y
Contenido
2 Visión general
3 Optimización y protección de los
procesos empresariales
4 Proteja los procesos empresariales en
todos los dominios de riesgo
6 Cómo elevar la seguridad de TI a un
enfoque orientado a los negocios
7 Maximice el éxito empresarial con
IBM
8 Para obtener más información
Adopte una estrategia integral de seguridad alineada con el negocio.3
externas puede resultar difícil. Este documento presenta acciones para que
las empresas impulsen sus esfuerzos en seguridad desde una perspectiva
empresarial y operativa y describe cómo el liderazgo en seguridad de IBM
puede ayudarle a conseguir el éxito.
Optimización y protección de los procesos empresariales
Hoy en día, el modelo de seguridad enraizado en el mundo corporativo
conlleva la implementación de un amplio conjunto de funciones para
protegerse de las amenazas de cada día. Este enfoque de seguridad implica
el despliegue de un conjunto de herramientas de seguridad aisladas. Estas
herramientas de seguridad no sólo carecen de los medios para trabajar
en conjunto protegiendo de manera eficaz contra los sofisticados ataques
organizados que se llevan a cabo, sino que pueden entorpecer también las
operaciones empresariales, generar redundancias de costes, aumentar la
complejidad de las TI, funcionar de forma independiente de los objetivos
empresariales y, además, no proporcionan métricas adecuadas a los directivos
de seguridad para que puedan determinar la eficacia de las mismas.
La seguridad no debe considerarse de manera aislada del resto de actividades
empresariales. Al contrario, debe contemplarse desde una perspectiva
empresarial, entendiendo la seguridad como un medio para proteger y mejorar
los procesos empresariales. En este sentido, muchas organizaciones aplican
la regla del 80/20. En la mayoría de organizaciones, un pequeño número
de procesos empresariales compone el 80 por ciento o más de sus riesgos,
mientras un gran número de procesos totalizan menos del 20 por ciento de
sus riesgos. Para alinear los esfuerzos en seguridad con las preocupaciones
empresariales, es necesario que las organizaciones se centren en aquellos
procesos responsables de la mayor parte del riesgo. Dichos riesgos y
vulnerabilidades deben también priorizarse dependiendo de la capacidad de
los mismos de poner en peligro los procesos empresariales más críticos.
Esta estrategia implica un nivel de planificación y evaluación que identifica
riesgos en áreas empresariales claves, incluyendo personas, procesos, datos y
tecnología en toda la empresa. Dicha planificación puede facilitar el diseño
y creación de un blueprint de seguridad orientado a los negocios y de una
estrategia que pueda funcionar como un eficaz escudo de defensa para toda
“Todas las empresas tratan de encontrar
constantemente el equilibrio entre riesgos
y recompensas para conseguir el mejor
rendimiento con un nivel aceptable de riesgo.
Para los profesionales en seguridad de TI esta
es la parte más difícil del trabajo: analizar
objetivamente los riesgos dentro del contexto de
las metas empresariales y el posible rendimiento
de la inversión. Puede que parezca poco intuitivo,
pero la meta final para la empresa en su conjunto
no es conseguir un riesgo cero, apagar el
servidor sería la mejor manera de conseguirlo ya
que no hay servidor más seguro que un servidor
que no está encendido. El objetivo empresarial
es, en cambio, permitir el nivel de riesgo máximo
aceptable, encontrarse al límite de la “tolerancia a
riesgos” de la organización. Todas las decisiones
empresariales tratan sobre riesgos: obtener
el mayor rendimiento posible para un nivel
determinado de riesgo, y las decisiones de TI no
son distintas.”1
Adopte una estrategia integral de seguridad alineada con el negocio.4
la organización aportando soluciones a las necesidades empresariales y
optimizando los resultados.
Proteja los procesos empresariales en todos los dominios de riesgo
Las decisiones de TI, al igual que las decisiones empresariales, buscan
obtener el mayor rendimiento posible de un determinado nivel de riesgo. Es
necesario examinar cinco áreas o dominios claves de seguridad en busca de
elementos de riesgo e impacto potenciales. En estos dominios, es vital que
la organización defina y gestione el nivel máximo aceptable de un riesgo.
Ninguna organización puede (o incluso debe, desde una perspectiva de costes)
eliminar todos los riesgos, pero sí se tienen que analizar objetivamente los
riesgos dentro del contexto de las metas empresariales.
• Personas e identidades — las empresas deben garantizar el acceso de las
personas en la organización y la red de proveedores a los datos y herramientas
que necesiten, cuando los necesiten, bloqueando a aquellas personas que no
necesitan o no deben tener acceso a los mismos. Los desafíos empresariales
claves a afrontar en este dominio están relacionados con la capacidad de
gestionar de manera eficaz las altas y bajas de plantillas de trabajo dinámicas,
así como la necesidad de mejorar la colaboración segura entre clientes,
proveedores y business partners. Además, la conformidad en TI sigue siendo
un motivo de preocupación en las organizaciones y supone un impulso
significativo en la implementación de procesos completos de suministro a
usuarios. Es necesario utilizar un conjunto adecuado de herramientas para
gestionar de manera satisfactoria los privilegios de usuarios en los distintos
sistemas tecnológicos y para garantizar el acceso de los usuarios finales a los
recursos de TI adecuados en base a políticas predeterminadas.
• Datos e información — Las organizaciones deben dar soporte a una
colaboración electrónica extendida al mismo tiempo que protegen sus datos
críticos, durante su utilización o almacenado. Deben comprender dónde
reside su información crítica y contar con metodologías que gestionen todos
los procesos asociados con la clasificación, priorización y protección de los
datos. Una seguridad de la información eficaz comienza con un enfoque de
gestión de riesgos que equilibre riesgos y beneficios con la disponibilidad y
confidencialidad de los datos. Este enfoque debe realizarse de manera que se
salvaguarde el valor de todos los volúmenes de datos que fluyen en la empresa
de usos incorrectos o abusos. Una de las preocupaciones claves de muchas
Una reciente encuesta de consumidores realizada
por Cyber Security Industry Alliance reveló que:
• El44%delosencuestadoscreequesu
información está segura al realizar comercio
electrónico.
• El50%evitarealizarcomprasenlíneaporque
teme el robo de sus datos financieros.
• El94%afirmaquelosrobosdeidentidades
electrónicas suponen un problema muy grave.
• Sóloel24%creequelasempresasestán
protegiendo adecuadamente los sistemas y
Adopte una estrategia integral de seguridad alineada con el negocio.5
empresas es cómo implementar una solución de seguridad de datos completa
con una plantilla y experiencia limitadas. Poner en práctica los procesos para
medir e informar sobre el estado de la conformidad en TI de una empresa
es un ejemplo de un proceso relacionado con la protección de los datos.
Identificar, priorizar y proteger datos sensibles así como demostrar controles de
seguridad eficaces, son elementos vitales para habilitar y proteger el valor de la
información en la empresa.
• Aplicaciones — Las empresas deben proteger de manera anticipada y
proactiva sus aplicaciones y procesos críticos de las amenazas externas
e internas durante todo el ciclo de vida: desde el diseño hasta la
implementación y producción. Esto suele requerir una combinación
de funciones como, por ejemplo, la gestión centralizada de políticas de
autenticación, acceso y auditorías, análisis de la vulnerabilidad de las
aplicaciones web y prevención contra intrusos. Unas políticas de seguridad
y procesos nítidamente definidos son vitales para garantizar que la nueva
aplicación crea negocio en lugar de introducir riesgos adicionales, ya sea
para aplicaciones internas como un sistema CRM (gestión de relaciones
con clientes) proporcionado mediante una SOA (arquitectura orientada a
servicios) o una aplicación externa como un nuevo portal para clientes.
• Red, servidor y punto final — La supervisión y gestión proactiva de
amenazas y vulnerabilidades de la red, servidores y puntos finales de una
organización son vitales para anticiparse a las amenazas emergentes que
pueden afectar negativamente a los componentes del sistema y a las personas
y procesos empresariales a los que dan soporte. La necesidad de identificar
y protegerse contra amenazas desconocidas ha aumentado de manera
drástica con el incremento de ataques organizados con motivos económicos.
Por ejemplo, las empresas utilizan tecnología virtual en su objetivo de
proporcionar servicios con mayor rapidez y agilidad. Las organizaciones
pueden, creando una estructura de controles de seguridad dentro de este
entorno, obtener los objetivos de la virtualización como, por ejemplo, una
mejor utilización de los recursos físicos, una mayor eficiencia del hardware
y una reducción de los costes energéticos, así como la certeza de que los
sistemas virtuales están protegidos con el mismo rigor que los físicos.
• Infraestructura física — Proteger la infraestructura de una organización
La necesidad de identificar y protegerse
contra amenazas desconocidas ha aumentado
drásticamente debido al incremento de
ataques organizados con motivos económicos
Puntos destacados
Adopte una estrategia integral de seguridad alineada con el negocio.6
implica proteger también sus activos físicos de las amenazas de seguridad.
Una seguridad física eficaz requiere un sistema de gestión centralizado que
permita la supervisión de propiedades, empleados, clientes y del público en
general. Por ejemplo, proteger el perímetro del centro de datos con cámaras
y dispositivos de supervisión centralizada es vital para garantizar la gestión
del acceso a los activos de TI de una organización. Por lo tanto, aquellas
organizaciones preocupadas por robos y fraudes, por ejemplo bancos,
tiendas o agencias públicas, deben definir e implementar una estrategia de
vigilancia de seguridad física que incluya la supervisión, análisis y control
centralizado. Este enfoque permite que las organizaciones extraigan datos
de forma inteligente de distintas fuentes y responder con mayor rapidez a las
amenazas respecto a entornos supervisados manualmente, a la vez que se
consigue reducir los costes y los riesgos de pérdidas.
Todas las organizaciones deben comprender y gestionar los riesgos de estos
cinco dominios. Desafortunadamente, la mayoría de proveedores de seguridad
suelen centrarse únicamente en uno o dos dominios o, lo que es peor, sólo
se centran en una única tecnología dentro de un dominio. Esto da como
resultado soluciones puntuales que no pueden proporcionar protección para
todos los procesos empresariales dentro de la organización. También conduce
a la creación de silos de seguridad que aumentan la complejidad, introducen
redundancias, ignoran carencias de seguridad y, en última instancia, no
satisfacen las necesidades generales de la empresa.
Cómo promover un enfoque orientado al negocio en la seguridad de TI
Los ejecutivos de hoy en día deben gestionar riesgos en sus áreas de
responsabilidad de la misma manera que los CFO deben gestionar riesgos en
las áreas financieras. Los riesgos de seguridad y su potencial impacto sobre
TI deben comunicarse a otros ejecutivos en términos empresariales. Además,
deben alinear los controles de seguridad en TI con sus procesos empresariales,
supervisar y cuantificar el riesgo en TI en términos empresariales, así como
impulsar dinámicamente la perspectiva empresarial en el nivel ejecutivo.
Deben gestionar los riesgos y orquestar las operaciones de seguridad de
forma que se cumplan las distintas regulaciones y optimizar los resultados
empresariales.
Adopte una estrategia integral de seguridad alineada con el negocio.7
Cuando una organización protege sus procesos empresariales, el enfoque
orientado al negocio debe convertirse en la guía para garantizar que todas
las áreas de seguridad funcionan en conjunto de manera integral y sinérgica,
alineadas con los objetivos empresariales. En caso contrario, la exposición
al riesgo de la organización se incrementa de forma crítica debido a una
alineación incorrecta de las prioridades entre las TI y la estrategia empresarial.
Alinear la seguridad en TI con un enfoque orientado a los objetivos
empresariales facilita que las organizaciones impulsen sus metas de
cumplimiento normativo utilizando sus objetivos empresariales, en lugar
de hacer que la conformidad impulse el negocio. Muchas organizaciones
invierten importantes cantidades de tiempo y dinero para garantizar el
cumplimiento de las normativas del sector y gubernamentales, y se dan
cuenta demasiado tarde de que sus procesos empresariales claves son todavía
vulnerables. Utilizar la gestión de seguridad a partir de una perspectiva
orientada a los negocios les permite proteger adecuadamente dichos procesos
empresariales proporcionando las pruebas necesarias que demuestran la
conformidad.
Maximice el éxito empresarial con IBM
IBM, valorado como uno de los principales proveedores de seguridad por
los analistas del sector, proporciona una amplia variedad y profundidad de
soluciones y servicios que necesitan las empresas para poder adoptar un
enfoque de seguridad integral orientado al negocio. La capacidad de IBM
puede ayudar a las organizaciones a supervisar y cuantificar la exposición
al riesgo en TI dinámicamente, a comprender mejor las amenazas y
vulnerabilidades en relación con su impacto empresarial, a responder mejor
a los problemas de seguridad con controles que optimicen los resultados
empresariales y a cuantificar y priorizar mejor sus inversiones en seguridad.
IBM ayuda a las organizaciones a simplificar y automatizar sus controles
empresariales para obtener significativos ahorros en costes permitiendo
también tomar decisiones con mejor información acerca de la asignación de
fondos y recursos para la gestión de riesgos de seguridad, proporcionando en
definitiva un mayor valor empresarial.
IBM proporciona una completa variedad y
riqueza de soluciones y servicios para que las
organizaciones adopten un enfoque integral de
la seguridad orientado al negocio
Puntos destacados
GMW14008-USEN-00
© Copyright IBM Corporation 2008
IBM Corporation Route 100 Somers, NY 10589 EE.UU.
Producido en los Estados Unidos de América Marzo de 2008 Reservados todos los derechos
IBM, el logotipo de IBM y Visibility, Control, Automation son marcas registradas de International Business Machines Corporation en los Estados Unidos y/o en otros países.
Otros nombres de empresas, productos y servicios pueden ser marcas registradas o de servicio de terceros.
Declaración de limitación de responsabilidad: El cliente es responsable de la conformidad con los requisitos legales. Es responsabilidad única del cliente obtener el asesoramiento legal adecuado acerca de la identificación e interpretación cualquier legislación relevante y requisitos regulatorios que afecten a la empresa del cliente y acerca de cualquier acción que el cliente deba tomar para cumplir dicha legislación. IBM no proporciona asesoramiento, representación o garantía legal de que sus servicios o productos cumplen cualquier legislación o regulación.
1“Information Risk Management in the Enterprise,” John Burke, Principal Research Analyst, Nemertes Research, 2008.
2Encuesta de consumidores de Cyber Security Industry Alliance (2007).
IBM ofrece una capacidad incomparable para centrarse en impulsar la
innovación empresarial y en proteger los procesos de negocio en todos los
dominios de riesgo. Sus completas soluciones y servicios incluyen gestión
de identidades y accesos, seguridad de información y datos, de aplicaciones,
amenazas y vulnerabilidades, así como seguridad física. Con la ayuda de
IBM, las organizaciones pueden reducir la complejidad de la seguridad
dentro de su empresa e implementar una estrategia integral de gestión de
la seguridad que optimice los resultados empresariales.
Para obtener más información
Para conocer más acerca de cómo los servicios y soluciones de seguridad
de IBM ayudan a las organizaciones a orquestar e implementar la seguridad
de manera integral en la empresa obteniendo un éxito empresarial superior,
póngase en contacto con su representante de IBM o IBM Business Partner,
o visite ibm.com/es/seguridad