Opiniones | Opinions | Editoriales | Editorials

Decisiones de compra de TI entre ejecutivos de negocio y el área de TI ponen la seguridad en riesgo

 
Picture of System Administrator
Decisiones de compra de TI entre ejecutivos de negocio y el área de TI ponen la seguridad en riesgo
by System Administrator - Wednesday, 20 August 2014, 6:54 PM
Colaboradores y Partners

Decisiones de compra de TI entre ejecutivos de negocio y el área de TI ponen la seguridad en riesgo

por Gina Narcisi

Las organizaciones de TI y los líderes empresariales con poder adquisitivo en la tecnología de información históricamente han chocado cabezas cuando se toman decisiones de tecnología para sus empresas. Esa lucha está entrando en una nueva fase en tanto los vendedores y proveedores de servicios comienzan a dirigirse a los empleados no técnicos, haciendo su tecnología fácil de usar y adoptar. El resultado: un bajo desempeño, acusaciones y, quizás lo más preocupante, una infraestructura vulnerable que está lista para ser víctima de la piratería.

Los líderes de negocios que toman decisiones unilaterales de compra de TI sin consultar con la organización de TI pueden producir resultados con ramificaciones desagradables. Productos inadecuados causan problemas de seguridad, rendimiento o confiabilidad. Herramientas o servicios incorrectamente investigados no funcionan con los productos existentes. Es hora de que los dos bandos mejoren la forma en que se entienden y se comunican entre sí, de acuerdo con los observadores de la industria.

"He visto de primera mano que en donde la decisión de compra de se hace de manera unilateral por los líderes empresariales –especialmente cuando se trata de seguridad–, termina siendo algo por lo que se tiene que pagar ya que la decisión de compra era pobre", dijo el ingeniero de redes y bloguero, Nick Buraglio. "El buen liderazgo acudirá a expertos en la materia y no sólo leerá [un artículo de tecnología] en línea para determinar lo que necesitan."

Decisiones de compra de TI: ¿Quién tiene realmente la última palabra?

El conflicto se extiende al tiempo que los  servicios y herramientas basados ​​en la nube mueven algunas de sus tareas fuera de las cuatro paredes de la empresa. Como resultado, algunos líderes de negocios corren a través del proceso de compra de tecnología, porque muchas herramientas no requieren de infraestructura, y por extensión, la ayuda de TI. "En el mundo de hoy, una gran cantidad de herramientas y servicios son sólo un elemento más en la línea de pagos y usted no necesita ningún software o hardware", dijo Ty Lim, vicepresidente de mercadotecnia de Druva, una compañía de gobernanza y protección de datos de punto final.

Pero sólo porque un producto puede ser más fácil de comprar, no significa que vaya a ser una opción apropiada o cumplir con los requisitos de seguridad de cada empresa. Jonathan Davis, un ingeniero de la red que trabaja para un fabricante global, relata el momento en que fue invitado a la discusión acerca de la colaboración cuando su compañía tuvo que elegir entre Microsoft y Cisco para los espacios de reunión en línea. Davis y su equipo hicieron una comparación lado a lado de los productos de ambos proveedores y decidió, con base en las necesidades del negocio, que Cisco fue el claro ganador. Cuando un alto líder de negocios informó a Microsoft que no iba a ganar el negocio, el vendedor respondió ofreciendo licencias de Lync de forma gratuita, y por lo tanto se le adjudicó el contrato, dijo Davis. "La decisión se tomó no con base en ninguna de las pruebas que hicimos, sino simplemente porque no tendrían que pagar por las licencias de Lync", dijo.

"Los que toman las decisiones de compra están completamente desorientados acerca de cualquiera de los aspectos técnicos –como el hecho de que Microsoft Lync no admitía de forma nativa QoS [Calidad de Servicio] en ese momento– y que creó enormes problemas a través de nuestros enlaces WAN, lo que probablemente se ha traducido en un extra de $100,000 dólares al año en costos de WAN porque hemos tenido que implementar más [enlaces]", dijo Davis.

Aunque el nivel de retroceso entre TI y los líderes empresariales variará por tipo de ambiente y la cultura empresarial, es más probable que haya una buena razón por la cual los ejecutivos de negocios están en sus posiciones, dijo Buraglio. "Un buen líder se rodeará de personas que son más inteligentes que ellos en los temas que son importantes para esa descripción de trabajo en particular", dijo. "Cuando usted comienza a ver los problemas es cuando estos líderes no lo hacen, o si eran técnicos hace 10 años y su información ahora no está actualizada. Algunos [líderes] tienen demasiado ego para dejarlo pasar."

Decisiones tecnológicas: La batalla entre la innovación y la seguridad

 

TI tiene la responsabilidad corporativa para asegurar y proteger los datos, así como cumplir con las regulaciones –tareas que generalmente no son prioritarias en la mente de cada usuario o líder de negocios dentro de la empresa. Mientras que los empleados y ejecutivos quieren moverse a la velocidad de los negocios, se debe buscar un equilibrio. "El área de TI tiene que evaluar realmente soluciones para asegurarse de que sean adecuadas para su negocio, y en la parte comercial, se puede sentir como que el proceso está desacelerando la creatividad y la innovación", dijo Lim, de Druva.

Ambas partes –los líderes de negocios que en última instancia, toman las decisiones de compra de TI y la organización de TI que implementa la tecnología– tienen que trabajar para comunicar y compartir su respectiva información entre sí para tomar decisiones que sean mejores para el negocio. "Definitivamente hay un beneficio para tener visibilidad tanto en la parte técnica como en la financiera de una organización", dijo Buraglio.

Los equipos de TI tienen una gran cantidad de experiencia al evaluar productos y plataformas –ya sea software, hardware o un servicio de un proveedor. "Las [organizaciones] de TI empresarial tienen un proceso riguroso para averiguar si hay una solución cumplirá con los requisitos de seguridad, redes y de cumplimiento, por lo que es importante que los jefes de negocio aprovechen esa madurez y el conocimiento tanto como sea posible", dijo Lim.

Al mismo tiempo, los equipos de TI deben ser capaces de comunicar sus preocupaciones de manera efectiva con los líderes empresariales, proporcionando ejemplos concretos de cómo un enfoque particular podría fallar, dijo Forrest Schroth, gerente de redes en Randstad, una agencia de reclutamiento y selección de personal con sede en Atlanta, EE.UU.

“TI tiene que ser capaz de decir: ‘Si hacemos X, podríamos hacer dinero, pero Y creará una vulnerabilidad o impacto potencial’, y los líderes de negocios deben apreciar cuando un equipo de TI explique lo que llevó a esa decisión", dijo.

"Por regla general, las empresas no quieren invertir en productos que no pueden utilizar, o incumplen con la seguridad incumplimiento y eso cuesta dinero a su compañía. Ha habido suficiente atención en los eventos de seguridad de alto perfil en los últimos dos años y ello ha conseguido que sea más fácil tener las conversaciones con los líderes de negocios –la gente nos escucha más", dijo Schroth.

Por otro lado, TI también tiene que entender que parte de la innovación incluye la toma de riesgos, dijo Lim de Druva. "La seguridad es acerca de tomar riesgos y mitigarlos, en lugar de no tomar el riesgo en absoluto."

Link: http://searchdatacenter.techtarget.com/es/cronica/Decisiones-de-compra-de-TI-entre-ejecutivos-de-negocio-y-el-area-de-TI-ponen-la-seguridad-en-riesgo

La seguridad basada en el riesgo facilitará las pruebas de software

por Adrian Davis

Es bastante obvio que la mayoría de las organizaciones no tendrán la posibilidad de probar todo el software que compran. En muchos casos, tendrán que confiar en las garantías del proveedor de que el software ha sido probado y cumplió con esas pruebas.

El Foro de Seguridad de la Información (ISF, por sus siglas en inglés) reconoce que puede ser imposible de probar todo el software, sea de negocios o de otro tipo.

En lugar de eso, se recomienda un enfoque basado en el riesgo. Esto permitirá a las organizaciones centrar sus esfuerzos en el software –y en las funciones de negocios que soporta– tanto para hacer el mejor uso de los limitados recursos que puedan tener, y para garantizar que las pruebas elegidas resaltan las deficiencias cuando el software está en uso.

Esto se logra mejor si se comprende la información que se va a crear, procesar y almacenar en el software, y también realizando una evaluación de riesgos para examinar el impacto en el negocio, las amenazas y las vulnerabilidades del software y los entornos en los que será utilizado.

Conociendo la información utilizada en el software y los resultados de la evaluación del riesgo, se puede tomar la decisión de realizar las pruebas, y seleccionar las que sean más adecuadas.

Para preparar las pruebas de seguridad en el proceso de adquisición, el ISF aconseja que cualquier organización debería adoptar un enfoque basado en el riesgo que esté centrado en la información, tal como el descrito en el “Proceso para asegurar la información de riesgo en la Cadena de Suministro” del ISF.

El requisito de las pruebas de seguridad puede ser integrado en el proceso RFI/RFP/RFT, de modo que un comprador puede comunicar sus requisitos para las pruebas del proveedor –y los resultados para que sean compartidos– a lo largo de todo el proceso de adquisición.

Adicionalmente, el comprador puede establecer las pruebas que se ejecutarán en todo el proceso RFI/RFP/RFT y cómo serán utilizados esos resultados en la decisión de compra. Si es necesario, y guiado por la evaluación de riesgos, el comprador puede llevar a cabo un programa de pruebas en la etapa de diligencia debida del ciclo de adquisiciones, antes de comprometerse a comprar.

Sobre el autor: Adrian Davis es analista principal de investigación en el Foro de Seguridad de la Información (ISF).

Link: http://searchdatacenter.techtarget.com/es/opinion/La-seguridad-basada-en-el-riesgo-facilitara-las-pruebas-de-software

1591 words