ESET explica tres factores por los que toda compañía necesita un gobierno de tecnología:

2. Para ser eficientes: Las empresas cuentan con estructuras limitadas, es decir, no alcanzan a tener las personas que necesitan para gestionar correctamente la seguridad de la información. Esto puede llevar a diferentes situaciones como:
   • Adquirir tecnologías, pero no contar con el equipo necesario para que las implementen correctamente.
   • Al contar con un equipo de personas limitado, estas tecnologías no se podrán gestionar correctamente por tiempo o experiencia.
   • No se compra la tecnología correcta que se requiere de acuerdo con la estructura y necesidades reales de la organización.
3. Para ser competitivos: Hoy empresas de diferentes industrias como la de la salud, han sido blanco de ataques cibernéticos y esto genera un riesgo reputacional, sin hablar de las sanciones legales por la pérdida o exposición de la información, de este modo dejan expuesta información confidencial de sus usuarios, proveedores y clientes, esto conlleva entre otras a que los posibles nuevos usuarios teman vincularse a estas entidades. Los clientes buscan empresas que les brinden seguridad y confianza.

3. Para maximizar los recursos: Muchas veces las tecnologías que se adquieren no son las apropiadas de acuerdo con la estructura de las empresas. Esto lleva a gastos de dinero innecesarios o, al no tener una correcta implementación, no se aprovechan sus beneficios.

“Hoy en día las empresas no deben preocuparse solo por el core del negocio (clientes y mercado), sino que desde la estrategia tienen que contemplar el rubro de la ciberseguridad. Esto le atañe al Gobierno corporativo (Juntas directivas, CEO´s, CISOS)”, indica Alexander Ramírez Duque, CEO de ESET Colombia.

Te puede interesar: Seguros del Estado migra a IBM Cloud: beneficiará a 2 mil usuarios

¿Cuál es el gobierno de tecnología apropiado? 

1. Chief Security Officer (CSO): Director de Seguridad de la Empresa
2. Chief Information Security Officer (CISO): Es quien define las normas, las políticas y los procedimientos de ciberseguridad de cara a los objetivos de la compañía y el cumplimiento de las regulaciones asociadas a la seguridad de la información.
3. Chief Information Officer (CIO): Encargado de definir cuáles deberían ser las tecnologías y sistemas de información que se necesitan, para cubrir las necesidades de la organización de cara al cumplimiento de los objetivos comerciales de la empresa.
4. Chief Technology Officer (CTO): Establece la estrategia operacional, para integrar las tecnologías de cara al cumplimiento de los objetivos del negocio.

En este sentido, las principales ventajas de contar con un gobierno de tecnología apropiado son la reducción de costos, mejora en el desempeño de la compañía, capacidad de reaccionar rápidamente a los cambios en el mercado, mejora en la satisfacción del cliente y la visibilidad en cuatro aspectos del riesgo: operacional, de cumplimiento, tecnológico y estratégico.

“En la edición Black del ESET Security Day mostramos cómo desde el modelo COBIT (modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT), se adquieren los lineamientos y la ruta en la cual confluyen diferentes normativas que deberían ser las adaptadas por el gobierno corporativo y la estrategia en ciberseguridad de las empresas”, explica el CEO de ESET Colombia. “Es parte de nuestra responsabilidad social empresarial, nos da la posibilidad de ayudar a las empresas y acompañarlas en este proceso”, concluye.

Imagen: Campaign Creators vía  Unsplash

Para las organizaciones, el ingreso de dispositivos móviles ha sido un reto. No todo el mundo ha sabido cómo asegurar estos dispositivos y afrontar los retos que presentan. Sin embargo, no es una opción simplemente prohibir los teléfonos inteligentes y las tabletas porque crean valor comercial. “Con el predominio de los dispositivos y las aplicaciones móviles, las organizaciones tienen grandes oportunidades de crear valor comercial, pero los riesgos asociados son también grandes”, explicó Art Coviello, presidente ejecutivo de RSA, una compañía de seguridad.

Por otro lado, no se puede dejar a un lado el riesgo de seguridad. Precisamente ese fue el tema del más reciente en el Consejo de Seguridad para la Innovación de los Negocios: encontrar la forma de administrar estos dispositivos y mantener las ventajas que representan para el negocio. El Consejo contó con la participación de los encargados del departamento de seguridad en TI de empresas como Coca-Cola, eBay, Intel, Nokia, SAP y Walmart, entre otros.

La máxima conclusión arrojada por el Consejo es que “es el momento para que las organizaciones integren la administración de riesgo empresarial a su visión sobre los dispositivos móviles”. Además del incremento en amenazas informáticas para los sistemas operativos móviles, existen varios estudios que muestran que la pérdida de dispositivos con información sensible y confidencial es una de las mayores preocupaciones de los departamentos de seguridad. “Uno de los riesgos más grandes es un dispositivo perdido, especialmente si la compañía no se entera inmediatamente. Si el dispositivo contiene información corporativa y el empleado no reporta la pérdida, los datos quedan en una posición vulnerable”, aseguró Felix Mohan, vicepresidente y Global Chief Information Security Officer de Airtel.

El Consejo publicó cinco pautas que pueden seguir las organizaciones para mitigar el riesgo y mantener los beneficios de estos dispositivos. El primer paso es instaurar un gobierno de tecnología móvil. De esta forma, se puede saber el beneficio que traen los dispositivos móviles y el nivel de riesgo que tendría que asumir la empresa. Con un gobierno coherente, se puede balancear el riesgo con el beneficio.

En segundo plano, hay que identificar la velocidad de la industria móvil e implementar planes de seguridad a corto plazo. No es aconsejable tratar de estructurar planes a largo plazo por la incertidumbre a la hora de anticiparse a las tendencias. Durante el desarrollo, las aplicaciones corporativas móviles tienen que estar pensadas y diseñadas con los suficientes seguros para garantizar la integridad de la aplicación. El informe del consejo asegura que muchas empresas no cuentan con el conocimiento suficiente para darle este aspecto a sus aplicaciones. Eso debe cambiar.

Los encargados de delinear la visión tecnológica de la empresa tienen que integrar a los móviles dentro de sus planes. “Las organizaciones deben actualizar su enfoque de seguridad e incluir autenticación adaptativa y basada en riesgos, segmentación de red, controles de seguridad centrados en datos y ‘gateways’ basados en la nube.”, dice el comunicado de prensa. Finalmente, para complementar todo, hay que expandir los conocimientos de seguridad en el ámbito móvil. La seguridad es una constante lucha en la cual la información y la actualización de los conocimientos son armas clave.