Con frecuencia, los directores del departamento de seguridad de la información (CISO) se han enfrentado a una relación intermitente con los máximos ejecutivos de su empresa, quienes han llegado, incluso, a entorpecer sus funciones. Se trata éste de un problema bastante habitual en un momento en el que las amenazas de seguridad han empeorado y se ha ido pidiendo a los CISO que ofrezcan una seguridad más resistente con unos presupuestos reducidos por la recesión. Ante esta situación, son muchos los que no son capaces de explicar su caso y justificar el gasto, advirtió Khalid Kark, analista principal de Forrester Research durante el foro de seguridad para EMEA que la consultora celebró recientemente en Londres.

“Necesitas asegurarte de que hay una interacción adecuada entre la seguridad de la información y el resto del negocio”, apuntó Kark. “Incluso deberían crear un vínculo de negocio” para que haya una comunicación clara y la seguridad TI y otros departamentos trabajen en la misma dirección. Aunque esto podría incurrir en costes, “hay mucho que perder” si no se implanta la seguridad adecuada.

Es inevitable que los departamentos de seguridad tengan que aceptar un recorte en su presupuesto general. Pero los CISO necesitan hacer entender a los CEO que desempañan una función vital para el negocio que no puede recortarse de forma imprudente. “Afectas a la base del negocio, no hay duda de ello”, sentenció el analista de Forrester; “tienes que calcular cómo tratar con la economía, cómo manejar los cambios en tecnología y cómo ofrecer lo que quiere el negocio. Sólo entonces podrás demostrar el servicio que estás dando”.

Khalid Kark opina que los directivos de las empresas conocen que la seguridad es importante y normalmente están muy concienciados de la necesidad de proteger los datos corporativos y de los clientes, así como de centrarse en la continuidad del negocio y en cumplir las normativas. Pero a medida que los presupuestos se hacen más planos –la seguridad constituye actualmente el 11% de la media del gasto en TI-, los CISO precisan un “plan de acción” para cumplir con sus expectativas.

Junto a una mejor comunicación con los CEO, los departamentos de seguridad necesitan mantener la flexibilidad sin vincularse a prolongados contratos con suministradores, recomienda este experto en seguridad. Asimismo, los CISO deberían evitar verse envueltos en los grandes mitos de la seguridad, como la paranoia por la seguridad de los entornos virtualizados, los dispositivos móviles y las redes sociales; todos ellos muy útiles a la empresa cuando la privacidad y la seguridad se guardan de la forma adecuada. “Con la recesión, la situación es difícil y muchos de los que estamos en el mundo de la seguridad decimos que tenemos que renunciar. Pero lo que necesitamos hacer es ver los cambios y actuar. Estamos aquí para facilitar que el negocio haga su transformación de forma segura”, concluyó el analista principal de Forrester.