• Tweet

De acuerdo a un nuevo reporte, el hecho de no incluir a profesionales de la seguridad en discusiones de negocios críticas obstaculiza no únicamente la innovación, sino que además contribuye a una falta de entendimiento fundamental sobre el valor de la seguridad y el manejo de riesgos en las compañías.

El estudio, realizado por la firma de investigación IDC a petición de RSA Security, muestra que la mayoría de los administradores expertos considera que el riesgo en TI es el mayor obstáculo para la innovación en sus negocios en este momento. Mucho de esto se debe a que el personal de seguridad se inclina con frecuencia a decir simplemente no a cualquier petición que reciben por parte de un ejecutivo de negocios y que incluso cuando deciden ayudar con alguna iniciativa, el tiempo en que se deciden puede ser muy largo para ser de alguna utilidad, según el estudio.

Art Coviello, presidente de RSA, la división de seguridad de EMC Corp, dijo en una entrevista que estos problemas, aunque son difíciles y complejos, pueden ser solucionados y que deben ser puestos pronto en orden para iniciar una nueva ola de innovación en los negocios. Además, mencionó que incluir a la organización de seguridad en las discusiones desde las etapas tempranas de un nuevo proyecto debe ser la regla, en lugar de la excepción, dijo.

"Cualquier innovación que se haga debe ser hecha en el contexto del riesgo, y eso es lo que estamos diciendo aquí. Con mucha frecuencia, la gente se espanta de un nuevo proyecto por que tienen miedo de las consecuencias en cuanto a la seguridad." dijo Coviello. "Ambas partes deben tomar un papel más activo. Debe ser una discusión a nivel de comité. Los más altos mandos son conscientes de la importancia de sus iniciativas de ser seguras, pero no tengo certeza de que esto siempre se traslade de manera apropiada a la organización. El personal de seguridad debe hacer un mejor trabajo en esto, deben tener la mente abierta. A menudo al personal de seguridad se le conoce como "Dr. No". Son conocidos con el estereotipo de personas que dicen no en lugar de "Así se hace". Deben conocer las reglas de negocio y sus integrantes relacionarse con la gente de negocios y no permanecer sentados en el aislamiento en espera de que alguien vaya a buscarlos."

Sumándose al problema, Coviello dijo, tenemos las velocidades con las que el mundo de los negocios cambia en estos días. Se refirió como ejemplo al caos en la industria de las finanzas: ¿cómo es que el personal de seguridad y de manejo de riesgos debe lidiar con los riesgos de movimientos que implican adquisiciones gigantescas o las decisiones de comprar toda una cartera de hipotecas cuando no han sido parte de las conversaciones desde el principio-

"Una parte importante de estos problemas, es la dinámica y velocidad en que los negocios se hacen en estos días. El mercadeo de derivados es un ejemplo. Tienes a tu disposición instrumentos financieros complejos para los que desde mi punto de vista se requiere un doctorado en matemáticas aplicadas para entender, y tienes a personas de 25 a 30 años comerciando con ellos en tiempo real. Esto nunca había ocurrido antes." dijo Coviello. "No se tiene tiempo para detenerte a pensar y deliberar. No existe un modelo organizacional hasta donde tengo conocimiento, que refleje los cambios significativos que ha tenido el mundo de los negocios en los últimos 20 años. Todo esto es causa de la velocidad de los negocios hoy en día y la pura sobrecarga de información. Estamos exprimiendo más y más productividad de cualquier cosa que hacemos. Es necesario contar con la habilidad en tiempo real de lidiar con ese riesgo."

El estudio del IDC encontró que mientras algunas compañías continúan tomando riesgos significativos, muchos se han replegado de riesgos potenciales por preocupaciones de seguridad. Más del 80% de los administradores experto que IDC entrevistó dicen que sus compañías han dejado pasar ideas innovadoras de negocios por preocupaciones de seguridad. Para enfrentar esta tendencia, un consejo de CISO's que RSA invitó a discutir y analizar no únicamente las recomendaciones de incluir los aspectos de seguridad en las discusiones de negocios desde el principio, sino que además las compañías deben desarrollar un proceso formal de evaluación del riesgo en muchos contextos.

Algunas grandes organizaciones, particularmente las de servicios financieros e industrias aseguradoras, tienen en la actualidad comités formales para manejo de riesgos u oficinas de manejo de riesgos. Pero estas funciones son menos comunes en compañías menores. Sin embargo, según Coviello, la prevención de riesgos debe ser parte de las decisiones de negocios de importancia.

"Con mayor necesidad, el área de riegos debe ser parte de los comités de decisiones. Todo mundo concuerda en que los negocios han cambiado de manera radical en los últimos 20 o 30 años y esta cambiando con mayor rapidez" dijo. "Las innovaciones no deben ser implementadas fuera del contexto del riesgo, o vamos a tener las consecuencias que hemos tenido en los últimos 12 meses. Si tienes un jefe de riesgos, las cosas se vuelven más sencillas. El CISO es una buena solución, pero no lo suficiente para enfrentar todas los posibles problemas de riesgo. Un ejemplo estelar es lo que hemos visto en la caída de los mercados financieros. Todo eso es una falla colosal para realizar análisis de riesgos. La estructura depende del CEO. Yo tendría un jefe de riesgos reportando los posibles problemas. En cualquier estructrua oganizacional, las relaciones de reportes deben basarse en quien es quien va a proveer el mayor valor en lugar de contar con ello en la organización, de tal manera que sea percibido como importante."