¿Por qué algunas organizaciones de seguridad son más exitosas que otras, y qué características tiene una organización de seguridad exitosa? El director de seguridad de la información de AWS, Steve Schmidt, comparte su perspectiva y destaca tres características que ha identificado en organizaciones de seguridad exitosas, así como otros tres directores de seguridad de la información que aplican esas características en su beneficio. Aprenda por qué estos directores de seguridad de la información son capaces de mejorar la postura de riesgo de sus empresas y crear nuevo valor empresarial de forma más rápida y eficiente que otros.
La democratización de la seguridad
No es coincidencia que las responsabilidades de los ejecutivos de seguridad y administración de riesgos, como los directores de seguridad de la información, los directores de seguridad y los directores de tecnología, se expandan dramáticamente.
No solo tenemos la responsabilidad de prevenir y vigilar las amenazas a la seguridad, así como de salvaguardar las redes empresariales, sino que ahora estamos en un proceso de rápida evolución para convertirnos en administradores de la marca de nuestra organización, mediante el fortalecimiento de su reputación y el establecimiento de credibilidad ante la junta y confianza con los clientes.
En mis más de 12 años como director de seguridad de la información de Amazon Web Services, a través del trabajo en conjunto con varios clientes de AWS en sus traspasos a la nube y procesos de seguridad, he identificado algunas organizaciones destacadas que gestionan esta transformación notablemente bien. También he podido presenciar de primera mano cómo lo logran.
¿Cuáles son las características de las organizaciones de seguridad exitosas? Se trata de compañías que mejoran su postura de riesgo a un ritmo más eficiente que otras, a la vez que optimizan su utilización de la nube para crear nuevas formas de valor empresarial a un ritmo más rápido.
Característica número 1: están listas para actuar de forma proactiva en el ámbito legal y en las auditorías
Trabajar en estrecha colaboración con profesionales del derecho y la conformidad, socios de auditoría y reguladores es quizá la característica más importante de las tres. Al igual que los profesionales de la seguridad, estas personas tienen la tarea de proteger sus organizaciones, por lo que es necesario interactuar con ellas pronto y con frecuencia. Las organizaciones de seguridad que son capaces de adoptar rápidamente la nube reconocen que las partes interesadas en materia jurídica, de auditoría y de conformidad se pueden convertir en aliados firmes.
Comunicar de forma temprana y con frecuencia
Las organizaciones de seguridad exitosas se comunican de manera proactiva y priorizan la alineación con los profesionales legales, de auditoría y de conformidad. Esto parece obvio, pero con frecuencia vemos a las organizaciones establecer sistemas de control interno y tomar impulso en este ámbito solo para tropezar porque no se han alineado adecuadamente con los equipos adecuados a lo largo del camino. No siempre es fácil superar la forma tradicional de operar, que para algunas organizaciones consistía en involucrar a los interesados en medio o cerca del final de un proceso determinado. Como líderes de seguridad, no queremos ver la seguridad como un “complemento” a un producto después de que se ha creado. De la misma manera, debemos integrar los pasos necesarios en nuestros procesos de seguridad para asegurar proactivamente el cumplimiento de los requisitos legales, de auditoría y de conformidad. Una de las cosas que hacemos regularmente en AWS es interactuar con nuestros clientes y sus auditores internos desde el principio, para que puedan enseñar a las partes interesadas cómo realizar auditorías con éxito en la nube. Para ello, proporcionamos orientación y herramientas, y ejecutamos ejercicios de auditoría de simulacro del “día del juego”.
¿Cómo lleva los equipos a la nube?