CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/09/2013

Siete recomendaciones para crear un equipo profesional de seguridad

Firewall RSA, la División de Seguridad de EMC, ha publicado un nuevo informe del Consejo de Seguridad para la Innovación Empresarial (SBIC), que aboga por un nuevo enfoque a la vanguardia de la seguridad, comenzando con la formación de un equipo profesional de seguridad de nueva generación en seguridad de la información, capaz de gestionar el ciclo de vida de los riesgos informáticos de hoy en día en las empresas globales.

En los últimos 18 meses se han visto grandes cambios en los requisitos generales para el éxito de los equipos de seguridad de la información en un contexto de un entorno empresarial hiper-conectado, evolucionando el panorama de las amenazas, la adopción de nuevas tecnologías, y el escrutinio normativo. En respuesta a este entorno cambiante, las actividades y las responsabilidades esenciales de los equipos de seguridad de la información empresarial están experimentando una gran transición.

El último informe, titulado “Transforming information security: Designing a State-of-the-Art Extended Team” argumenta que los equipos de seguridad de la información deben evolucionar para incluir conjuntos de habilidades que no se ven normalmente en seguridad, tales como la gestión de riesgo empresarial, legislación, marketing, matemáticas, y compras

Para ayudar a las organizaciones a construir un equipo profesional de seguridad  en el panorama actual, el SBIC, con responsables de seguridad de empresas de todo el mundo, han elaborado ??un conjunto de siete recomendaciones que se detallan en su nuevo informe:

  1. Redefinir y fortalecer las competencias básicas – Enfocar el equipo principal en el aumento de competencias en cuatro áreas clave: la inteligencia de riesgo cibernético y análisis en datos de seguridad, gestión de datos de seguridad, consultoría de riesgos, y controles de diseño y seguridad.
  2. Delegar operaciones de rutina – Asignar, de forma repetitiva, procesos de seguridad bien definidos a TI, unidades de negocio y/o proveedores de servicios externos.
  3. Pedir prestado o alquilar expertos – Para temas muy específicos, ampliar el equipo central de expertos con especialistas de dentro y fuera de la organización.
  4. Guiar a los propietarios de los riesgos en la gestión de los mismos – gestionar de forma conjunta con la empresa los riesgos en ciberseguridad y coordinar un enfoque consistente. Facilitar el trabajo a la empresa e implicarla.
  5. Contratar especialistas en optimización de procesos – Tener en el equipo profesionales con experiencia y certificaciones en gestión de calidad,  proyectos o programas, optimización de procesos y prestación de servicios.
  6. Construir relaciones claves – Desarrollar confianza e influencia con los participantes clave, como los gestores de áreas clave, mandos intermedios y proveedores de servicios externalizados.
  7. Piense de forma diferente para el futuro talento – Ante la falta de expertos disponibles en el mercado, el desarrollo del talento es la única verdadera solución a largo plazo para la mayoría de las organizaciones. Perfiles que incluyan desarrollo de software, análisis de negocios, gestión financiera, inteligencia militar, legislación, privacidad de datos, ciencia de datos y análisis estadísticos complejos son muy valiosos.

Fuente: MuySeguridad.net

CSIRT-CV