Archive for Business

Gerencia de Riesgos como Estrategia de Seguridad

No es un secreto que la seguridad informática es una cuestión de alta gerencia en muchas compañías, y que los presupuestos de seguridad tecnológica están creciendo exponencialmente. En una precipitación para asegurar la compañía, tanto vendedores como clientes frecuentemente no comprenden como describir la seguridad como parte integral de cualquier negocio. Solo necesitamos conectar la seguridad tecnológica con las iniciativas de negocios al cual protege.

Cuando analizamos una típica propuesta detrás de nuevas tecnologías de seguridad, vendedores e integradores tratan de ligar la seguridad tanto con ganancias como con el concepto de confiabilidad (“trust”). Implementando una robusta seguridad aumentaran sus ganancias, estableciendo confiabilidad (“trust”) entre sus clientes, proveedores y socios; así reza el slogan. Sin embargo, esto deja una confusión en los objetivos primarios de la seguridad de redes y como las organizaciones deben medir el éxito.

Solamente la seguridad no puede aumentar las ganancias. Una falta de seguridad puede disminuir las ganancias, porque usted perderá la confianza en el mercado. Lo contrario también es cierto: Demasiada seguridad puede reducir las ganancias. Si lo propio en su sistema de seguridad es negar el acceso, creando obstáculos para los clientes, entonces el negocio sufrirá. El truco esta en proveer el balance correcto entre una buenas medidas de seguridad que permitan a las personas correctas accesar la información correcta en el momento correcto.

Lograr este balance es un gran reto dada la dinámica de los negocios digitales. Si su meta es servir cientos de miles, sino millones de clientes, entonces simplemente n no puede darse el lujo de administrar cuentas para todos esos usuarios. Eventualmente, tendrá que aceptar entes que un tercero define y asegura. Usted tampoco puede saber que software de cliente esos clientes utilizan, por lo que tendrá que aceptar cualquier cliente, incluyendo celulares y PDAs, además de los navegadores Netscape y Microsoft IE.

La seguridad de los negocios digitales no es acerca de manejar confiabilidad (“trust”), sino de gerenciar el riesgo. Cuando establecemos y mantenemos una relación con un cliente, proveedor o un socio, debemos pensar en esta relación, no en términos de confiabilidad sino en los riesgos que estamos dispuestos a aceptar. Y debemos de ver nuestros sistemas de seguridad como una forma de gerenciar riesgos.

De aquí podemos ver lo útil que es observar como los negocios gerencian el riesgo. Primero, cuantifican el riesgo, evaluando las probabilidades y consecuencia de un nocivo acontecimiento. Luego determinan responsabilidad o quien se perjudica si el incidente ocurre. El segundo paso es tomar medidas correctivas. Los negocios normalmente aminoran el riesgo, disminuyendo las probabilidades, las consecuencias o ambas. Ellos también transfieren la responsabilidad. Los negocios frecuentemente adquieren pólizas se seguro para la indemnización de su organización y de terceros.

La seguridad de redes frecuentemente solo considera la prevención en esta ecuación. Para tener éxito a largo plazo, la seguridad debe ayudar a las organizaciones a gerenciar el riesgo, permitiéndoles ceder o y gerenciar la responsabilidad mas claramente. Sistemas de autenticación permiten a una organización transferir la responsabilidad a una cuenta, y la persona (o ente) a la cual pertenece dicha cuenta.

A través de políticas que se vinculan al proceso de negocios, usted puede definir explícitamente lo que las personas pueden hacer, y cuando lo pueden hacer. Funciones de registros (logging) y auditoria, le dan la habilidad inspeccionar y probar que algo paso.

Básicamente, usted puede sustentar o negar reclamos de responsabilidad basados en un récord de las actividades.

Finalmente, una amplia gamma de instrumentos de seguros esta emergiendo para indemnizar a los negocios digitales. Estas herramientas deben trabajar como anillo al dedo, para proporcionar la gerencia de riesgos que los negocios necesitan.

Muchos de los productos de seguridad de hoy en día, no cubren estas necesidades completamente. Pero la planificación de estrategias de seguridad por parte de las organizaciones deben seguir por estas líneas. Ir mas allá del concepto de confiabilidad (“trust”) como la base de sistemas de seguridad de un negocio es la clave para el éxito a largo plazo, y la verdadera justificación para ese presupuesto de seguridad.

[ad]