En los últimos 18 meses se han visto grandes cambios en los requisitos generales para el éxito de los equipos de seguridad de la información en un contexto de un entorno empresarial hiper-conectado, evolucionando el panorama de las amenazas, la adopción de nuevas tecnologías, y el escrutinio normativo. En respuesta a este entorno cambiante, las actividades y las responsabilidades esenciales de los equipos de seguridad de la información empresarial están experimentando una gran transición.
El último informe, titulado "Transforming information security: Designing a State-of-the-Art Extended Team" [PDF] argumenta que los equipos de seguridad de la información deben evolucionar para incluir conjuntos de habilidades que no se ven normalmente en seguridad, tales como la gestión de riesgo empresarial, legislación, marketing, matemáticas, y compras.
Para ayudar a las organizaciones a construir un equipo profesional de seguridad en el panorama actual, el SBIC, con responsables de seguridad de empresas de todo el mundo, han elaborado un conjunto de siete recomendaciones que se detallan en su nuevo informe:
- Redefinir y fortalecer las competencias básicas – Enfocar el equipo principal en el aumento de competencias en cuatro áreas clave: la inteligencia de riesgo cibernético y análisis en datos de seguridad, gestión de datos de seguridad, consultoría de riesgos, y controles de diseño y seguridad.
- Delegar operaciones de rutina – Asignar, de forma repetitiva, procesos de seguridad bien definidos a TI, unidades de negocio y/o proveedores de servicios externos.
- Pedir prestado o alquilar expertos – Para temas muy específicos, ampliar el equipo central de expertos con especialistas de dentro y fuera de la organización.
- Guiar a los propietarios de los riesgos en la gestión de los mismos – gestionar de forma conjunta con la empresa los riesgos en ciberseguridad y coordinar un enfoque consistente. Facilitar el trabajo a la empresa e implicarla.
- Contratar especialistas en optimización de procesos – Tener en el equipo profesionales con experiencia y certificaciones en gestión de calidad, proyectos o programas, optimización de procesos y prestación de servicios.
- Construir relaciones claves – Desarrollar confianza e influencia con los participantes clave, como los gestores de áreas clave, mandos intermedios y proveedores de servicios externalizados.
- Piense de forma diferente para el futuro talento – Ante la falta de expertos disponibles en el mercado, el desarrollo del talento es la única verdadera solución a largo plazo para la mayoría de las organizaciones. Perfiles que incluyan desarrollo de software, análisis de negocios, gestión financiera, inteligencia militar, legislación, privacidad de datos, ciencia de datos y análisis estadísticos complejos son muy valiosos.
Fuente: Muy Seguridad
