Seguridad de la información: Cambian las prioridades de los CIO

Las amenazas y retos de seguridad de la información a que deben enfrentarse los CIO no han cambiado demasiado el último año, pero, ahora, estos ejecutivos están encontrando mejores recetas para proteger sus datos y redes corporativas, según la encuesta anual Global Information Security Survey llevada a cabo por PricewaterhouseCoopers por encargo de las publicaciones CIO y CSO en Estados Unidos.

Por otra parte, “los resultados de la encuesta de este año reflejan una auténtica sensación de tensión. Un sentimiento de que, con los cambios acontecidos en la economía, se está produciendo una revisión de las expectativas”, asegura Mark Lobel, uno de los máximos directivos de la división de servicios de consultoría de PricewaterhouseCoopers.

De las 12.847 empresas de todo el mundo sondeadas para llevar a cabo este estudio, el 67% considera una prioridad los procedimientos de seguridad de la información que ayudan a las organizaciones para las que trabajan a minimizar el riesgo. En general, todas ellas son conscientes, por otra parte, de que deben invertir con un enfoque más preciso y dejar en manos de terceros especializados en seguridad lo que la plantilla TI interna no puede gestionar.

Una de las nuevas tendencias que más están forzando a las empresas a replantearse sus estrategias de seguridad de la información es el hecho de que los clientes se muestran cada vez más dispuestos a gastar su dinero online y desean utilizar aplicaciones más y más imaginativas para ello, así como poder hacerlo a través de cualquier dispositivos, incluidos los móviles. Y ello supone proporcionar datos personales a las empresas con las que interactúan.

Por tanto, los CIO saben que deben mantenerse especialmente alerta respecto de las vulnerabilidades que los atacantes pueden explotar para robar los datos privados de sus clientes y otros activos fundamentales. Es más, las regulaciones gubernamentales y de la industria a menudo exigen este tipo de protección.

Al mismo tiempo, la creciente complejidad de las relaciones de negocio está obligando a los CIO a facilitar a los outsiders (usuarios externos) mayor acceso a sus sistemas internos. Se hace pues imprescindible la protección de la empresa no sólo frente a posibles ataques contra ella, sino también, por ejemplo, frente a aquellos que pudiera sufrir alguno de sus socios de negocio, porque podrían repercutir en su propia red.

La crisis financiera que sufrimos desde hace unos años puede haber tirado por tierra algunas de las iniciativas previstas por los CIO en el ámbito de seguridad. Sin embargo, el 56% de ellos reconoce que el continuo aumento de los riesgos está elevando el rol y la importancia de la seguridad en sus organizaciones.

En la cloud, prudencia

El 62% de los entrevistados para el informe Global Information Security Survey manifiesta tener poca o ninguna confianza en su capacidad para proteger cualquier activo colocado en la cloud. Incluso entre el 49% de aquellos CIO que se han aventurado a introducirse en el cloud computing, más de un tercio (un 39%) siente preocupaciones por la seguridad de su información.

Cuando se les preguntó cuál creían que era el mayor riesgo en su estrategia de cloud computing, los entrevistados respondieron en su mayoría que dudaban poder imponer con eficiencia sus políticas de seguridad en el entorno del proveedor y que estaban preocupados por la posibilidad de no disponer de una formación y auditoria TI adecuados.

James Pu, CIO de Los Angeles County Employees Retirement Association (Lacera), se encuentra entre los escépticos. Asegura sentirse atraído por la flexibilidad y agilidad que el cloud computing puede ofrecer, pero no confía en su seguridad. “Tal y como están hoy las cosas, en la cloud no se dispone de la misma fiabilidad que en una red de área local propia”, explica Pu, que también ejerce de máximo responsable de seguridad de la información en Lacera.

“Además, me preocupa la implicación de terceras partes”, continúa Pu. Los suministradores cloud, argumenta, utilizan terceras partes para hospedar centros de datos y hardware. Y estas pueden contratar personas sin el necesario conocimiento sobre el cliente final, según Pu. “Basta con la existencia de una brecha de software para que accidentalmente mis datos queden al descubierto”.

Larry Bonfante, CIO de United States Tennis Association (USTA), se encuentra, por el contrario, entre los responsables TI que han decidido introducirse en la cloud, pero con cautela. Desde el punto de vista de la seguridad, su mayor preocupación es proteger los datos de sus clientes. Algo importante, teniendo en cuenta que, por ejemplo, aproximadamente el 80% de los tickets para la última edición del Open de tenis de Estados Unidos fueron comprados a la empresa vía Internet.

Aunque Bonfante reconoce no estar preparado aún para permitir que tales transacciones se lleven a cabo en la cloud, porque no está seguro de que todas las piezas tecnológicas que deben intervenir para completarlas cumplan en la cloud los requisitos básicos de seguridad de la compañía. Sin embargo, no opina lo mismo sobre los sistemas de financieros y de reporting de su back-end.

De hecho, este CIO ha trasladado todos los sistemas de back-end internos de USTA a la plataforma cloud Amazon Web Services, en la creencia de que los recursos de seguridad de Amazon cumplen totalmente las necesidades de su propia organización. Entre los beneficios obtenidos de ello, Bonfante cita la reducción de costes y servidores a mantener internamente, lo que le ha permitido a la plantilla TI desplegar nuevas soluciones con mayor rapidez. Además, según Bonfante, la cloud ha reducido también la huella de carbono de USTA: menos hardware dentro de la empresa se traduce en menos consumo de energía para mantener su centro de datos.

Antes de que el cloud computing pueda convertirse en algo universalmente aceptado como una alternativa segura, deberán cambiar algunas cosas, en opinión de Ken Pfeil, CSO de una gran compañía estadounidense de fondos de inversión mobiliaria y anterior CSO de Capital IQ y Miradiant.

En primer lugar, según Pfeil, los expertos en seguridad deberán disponer de directrices más específicas sobre qué tipos de datos son candidato