Hasta las últimas semanas, Gerentes de Seguridad de la Información en todo el mundo han luchado a lo largo de, como siempre, haciendo todo lo que pueda hacer con los recursos limitados y muchas veces incierto el apoyo del resto de la gestión. De repente, insuficientemente controlados los riesgos en el sector financiero han provocado un la fusión económica que nos afecta a todos. Es un clásico "otra cosa ocurrió" escenario de la querida planificación de contingencia en todas partes.

Habida cuenta de la crisis financiera mundial, es probable que los presupuestos de seguridad de la información (junto con todos los demás) van a ser estirado enseñó por un tiempo. Entonces, ¿cuál es la mejor manera para nosotros como la seguridad de la información a los profesionales a la altura del desafío?

Ya he visto algunos expertos tomar la línea que la seguridad de la información es "esencial" y no puede ser cortada. Los intentos de justificar los gastos de seguridad de la información sobre costo-beneficios son difíciles en el mejor de los tiempos. Aunque yo personalmente disfrutar de los debates en curso en torno a El Retorno [de Seguridad] de Inversiones, el hecho de que como profesión no han depositado esto implica que todavía nuestros argumentos no son tan claras como nos gustaría creer. En una recesión económica mundial, dudo que este tipo de enfoque tenga éxito. Importantes presupuestos voluntad cortar. Buena gente voluntad ser despedidos. Proyectos de animales de compañía voluntad ser cancelado. En este modo de pensar, de seguridad (como la gestión del riesgo) es un concepto intrínsecamente negativo y una difícil vender: las personas odian tener que gastar en algo que nunca podría suceder en tiempos tan difíciles, la seguridad de la información es inevitablemente un candidato para el chop. Ser el profeta de la fatalidad, la emisión de advertencias sobre los posibles resultados de seguridad de los recortes presupuestarios y la necesidad priorizar la seguridad gastar, Quizás no sea la respuesta más eficaz a la crisis. Incluso los administradores que aceptar que la seguridad es "esencial" se enfrentan a demandas igualmente válidos en los recursos de la organización de otras "esenciales" las actividades. Argumentando tirar más de la que es la más "esenciales" simplemente no es útil y no hace amigos.

Una alternativa es para nosotros trabajar con la administración para hacer los cambios que "crear el menor daño posible". Estoy hablando de nosotros aceptar que los cortes son inevitables, pero deben ser la gestión de la función de seguridad de la información para obtener el mejor valor posible de la disminución de los recursos que tenemos - no de nuestro propio egoísmo, sino para las necesidades de la organización en su conjunto. Perspectiva es importante! La seguridad de la información es un medio para fines de la organización, no un fin en sí mismo.

Manifiesta y deliberada la alineación con las prioridades, las iniciativas y las misiones ha sido durante mucho tiempo una estrategia exitosa para la seguridad de la información y no veo razón para dudar de él ahora. El truco, sin embargo, es darse cuenta de que las prioridades han cambiado casi seguro puesto que los mercados financieros tuvo un derrumbarán, y el cambio crea a la vez riesgos y oportunidades.

Por ejemplo, sabemos que la pérdida de puestos de trabajo y los recortes presupuestarios en toda la organización que los empleados (funcionarios y el personal directivo), bajo estrés extremo personales. En tales circunstancias, el comportamiento egoísta es una típica respuesta humana. Personas que están siendo despedidos a veces se sienten justificados en la adopción de "lo que es legítimamente suyo", que puede incluir la propiedad intelectual y tecnologías de hardware. Lugar de trabajo la seguridad es una consideración importante, y es la seguridad de la información parte de la solución a la amenaza de abuso de información privilegiada.

Del mismo modo, los competidores comerciales que enfrentan dificultades financieras tienden a ser más agresiva competitiva que nunca. Ellos pueden tener la tentación de explotar las vulnerabilidades en los proveedores, clientes, socios o competidores la información de los controles de seguridad para acceder a la parte superior de las ventas o la fusión y adquisición de las negociaciones, por ejemplo. [Nota: no estoy proponiendo o tolerar el uso de técnicas agresivas de seguridad de la información. Eethics todavía tienen sentido y valor, incluso en una crisis.]

Aparte de esos escenarios genéricos, tenemos que estar plenamente comprometida con la alta dirección, participando activamente en los debates estratégicos en torno a lo que debe hacerse ahora, con el fin de detectar y responder a riesgos específicos y las oportunidades que puedan surgir. Volviendo a la planificación de contingencia punto que hice antes, que idealmente deben ser parte del equipo de crisis o, al menos, para poder influir en la seguridad de la información a través de los amigos en lugares altos.

Usted tiene amigos en lugares altos, ¿no? De cualquier manera, ahora es un buen momento para estar fuera y alrededor, hablando con los administradores de toda la sociedad sobre sus objetivos, sus preocupaciones, sus necesidades. Alineamiento estratégico no suele ocurrir por casualidad. Creative gerentes tomar sus propias oportunidades.





Más información ...