SEGURIDAD | Noticias | 07 OCT 2008

El miedo a comprometer la seguridad reduce la innovación en el 80 por ciento de las organizaciones

RSA, la división de seguridad de EMC, ha presentado los resultados de sendos estudios que analizan la relación entre la seguridad de la información y la innovación en los negocios. El primer estudio, realizado por IDC, revela el creciente abismo entre la seguridad y la innovación, y analiza el impacto que ello ocasiona en el negocio. El segundo estudio reúne a un grupo de directivos para definir estrategias avanzadas de gestión de riesgo de la información con el objetivo de salvar este desfase.
Hilda Gómez
El estudio de IDC, encargado por RSA, titulado “Innovación y seguridad: colaboración o enfrentamiento”, para el que se han encuestado a más de 200 directivos y profesionales de la seguridad, muestra que la mayor parte de las organizaciones creen que crear un entorno ideal para la innovación es crítico para estar por delante de la competencia. Sin embargo, los encuestados revelan que el riesgo de la seguridad de la información está impidiendo la innovación de los negocios. De hecho, el 80 por ciento de los encuestados admite que sus organizaciones han desistido de ciertas posibilidades de innovación por preocupaciones acerca de la seguridad de la información.

IDC también ha encontrado que, aunque el 80 por ciento de los CEOs cree que sus equipos de seguridad están contribuyendo al crecimiento y la innovación en sus negocios, solo el 44 por ciento de los responsables de seguridad creen que se les valora por su aportación a la innovación. Estas conclusiones apuntan hacia una falta de alineación entre las expectativas de los gestores y las prioridades de los profesionales de seguridad. Asimismo, mientras la necesidad de unir las estrategias de seguridad TI con los objetivos de negocio es un imperativo reconocido, sólo el 21 por ciento de los encuestados cree que sus organizaciones han realizado con éxito la transición a un enfoque que sea proactivo y alineado con el negocio, y que permita la innovación en vez de obstaculizarla.

Para Chris Christiansen, vicepresidente de IDC, “es evidente que a pesar de algunos progresos positivos, la relación entre seguridad e innovación es todavía muy tensa. La realidad es que la innovación y la seguridad no necesitan competir como prioridades, son complementarias”. “Al final, creemos que las organizaciones que demandan una implicación de las TI en los esfuerzos de innovación de negocio desde fases tempranas y diseñan métricas específicas para medir la innovación del negocio para sus equipos de seguridad, tienen una oportunidad mucho mayor de avanzar en los propios objetivos de la organización”, afirma Christiansen.

RSA también ha publicado el ultimo informe del Consejo de Seguridad para la Innovación en el Negocio, que está formado por 10 responsables de seguridad de la información de algunas de las mayores compañías del mundo. Basado en las mejores prácticas colectivas de estos ejecutivos, el informe ofrece una propuesta para hacer cálculos de relación entre riesgo y beneficio que pueden ayudar a aportar valor al negocio y asegurar que se ejecutan para el éxito de las empresas.    

“En el fondo, el mayor riesgo al que se enfrenta cualquier empresa es que fracase en cumplir las expectativas de los clientes”, ha señalado Bill Boni, vicepresidente corporativo de protección y seguridad de la información de Motorola, según el cual, “para alcanzar ventajas de negocio, las compañías deben asumir riesgos calculados y confiar en las medidas de seguridad que les permiten ser adaptables y dar las respuestas necesarias”.

Como punto de arranque crítico, el informe del Consejo recomienda algunos cambios clave en la forma de pensar y en el comportamiento de la organización, entre ellos, mover el enfoque de “Seguridad de la Información” a “Gestión del Riesgo de la Información” para señalar que el objetivo es alcanzar un nivel de riesgo aceptable. Dicho enfoque debe involucrar a toda la organización para entender y formalizar la tolerancia al riesgo de la empresa. En base al mismo se debe construir un modelo de asunción de riesgo para delinear dónde y en quién reside la responsabilidad de la toma de decisiones en cuanto al riesgo. Por último, hay que crear un proceso repetible paso a paso para hacer cálculos de riesgo/beneficio para nuevas iniciativas de negocio y asegurar que se difunde y utiliza en la organización.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios