4 desafíos para una transformación digital segura

0
69

La transformación digital es vital para la supervivencia a largo plazo de muchas empresas, ya que puede ayudarlas a defenderse contra startups ágiles, satisfacer mejor las expectativas de los clientes, encontrar nuevas oportunidades y reducir costos.

Adicionalmente, puede mejorar la seguridad. De acuerdo con una encuesta de 451 Research, realizada a fines del año pasado, el 49% de los profesionales de TI y gerentes de línea de negocio afirma que asegurar los datos de los clientes es uno de sus principales objetivos de transformación.

La firma de investigación Lucid encuestó a los líderes de TI este verano [septentrional] y, una vez más, el 49% de los líderes de TI afirman que la mejora de la protección de la ciberseguridad es una de las razones por las que su empresa está buscando la transformación digital. (Lucid no había publicado los resultados de la encuesta al momento de escribirse este artículo). El 40% afirma que la ciberseguridad es el área de transformación digital en la que su empresa está invirtiendo más.

“De hecho, estamos viendo que más líderes de TI están asumiendo proyectos de transformación digital para respaldar sus estrategias de ciberseguridad”, afirma Mónica Bush, directora de seguridad y cumplimiento en Nintex, la empresa proveedora de seguridad que patrocinó la encuesta. Eso incluye todo, desde mejores permisos de acceso durante el ingreso y salida de los empleados, afirma, hasta los grandes proyectos como el seguimiento de la ubicación de datos confidenciales para la GDPR y otros requisitos de cumplimiento.

Además, pasar a las infraestructuras modernas, incluyendo a las soluciones basadas en la nube como Office 365, a menudo puede mejorar la seguridad de por sí. Chad Weinman, vicepresidente de servicios profesionales en RiskLens, afirma que recientemente llevó a cabo un análisis de riesgo para grandes empresas que están considerando cambiarse a proveedoras de servicios en la nube. “Vamos a estar más preocupados por las fallas de energía y la protección de datos porque nuestro entorno de correo electrónico ya no se encuentra on premises”, señala. “Pero lo que hemos encontrado es que la administración de Office 365, por parte de Microsoft, a menudo está muy por delante de lo que la organización estaba haciendo. Debido a esto, en lugar de aumentar, la exposición real generalmente se reduce al migrar a la nube”.

Según los expertos, los proyectos de transformación digital también podrían conducir a una menor visibilidad del ambiente corporativo, menos puntos de control a cargo de seres humanos y exposición a nuevos tipos de amenazas. De hecho, de acuerdo con una encuesta reciente realizada por Fortinet, la seguridad es, de lejos, el mayor desafío para las iniciativas de transformación digital, donde el 85% de los CSO y CISO afirma que es un gran obstáculo.

Sean Joyce, líder estadounidense en seguridad cibernética y privacidad de PricewaterhouseCoopers, afirma en un informe reciente que muy pocas compañías están implementando correctamente la gestión del riesgo cibernético y de privacidad en su transformación digital. “Los ganadores del futuro serán los que desde la fase de diseño hasta la producción se basen en esa gestión de riesgos”, agrega. “Es una oportunidad que define a la marca”.

Aquí hay cuatro retos importantes que enfrentan las organizaciones para desarrollar la seguridad en la transformación digital.

Menor visibilidad de datos y procesos
Según Weinman de RiskLens, cuando la infraestructura está alojada por terceros, las empresas suelen tener menos control sobre qué datos pueden recopilar. “Si la hospeda on premises, usted obtiene muy buena visibilidad, puede controlar las condiciones en cualquier momento, tiene mucha inteligencia”, afirma. Los proveedores pueden proporcionar algunos controles e informes, agrega, pero no en la misma medida en que una empresa controla su propia infraestructura.

Si la compañía no planifica con anticipación la administración de la nueva infraestructura, la visibilidad también puede ser un problema cuando se instala un nuevo sistema localmente. “Cada vez que tiene una incertidumbre relacionada con el estado de un activo, o despliega un nuevo software para ese activo, se expone al riesgo”, afirma Will Gragido, director de protección avanzada contra amenazas en Digital Guardian. “Su superficie de ataque aumenta”.

Tome como ejemplo a los contenedores que pueden ejecutarse en ambientes on premises, híbridos o en la nube. “El fracaso para asegurar los contenedores correctamente ha sido un problema durante años”, afirma Gragido.

Un problema, agrega, es que la seguridad no genera ingresos. “La mayoría de las empresas no gana dinero por la seguridad”, afirma. “Así que, históricamente, las preocupaciones primordiales de la mayoría de las personas no se han debido a la seguridad, aunque han mejorado a lo largo de los años. En muchos casos, esto resulta en que las infraestructuras maduran, se construyen y crecen más rápido de lo que las empresas pueden enfrentar desde el punto de vista de la seguridad”.

El problema se agrava cuando la nueva tecnología es comprada por unidades de negocios sin la participación de TI. Sin la necesidad de mucha habilidad técnica, los servicios en la nube son particularmente rápidos, fáciles de configurar y de utilizar. “He visto cómo unidades de negocios se disparan y construyen su propia infraestructura”, afirma Gragido. “No pueden esperar a TI. Es ese viejo principio de no pedir permiso y rogar ser perdonado después. Eso lleva a problemas”. Las empresas no tienen visibilidad de los sistemas cuando ni siquiera saben que esos sistemas existen.

Eliminar a los humanos del proceso de seguridad
Los empleados humanos son responsables de muchos, si no la mayoría, de los problemas de seguridad en una empresa. Realizan bugs tipográficos al ingresar transacciones, olvidan habilitar controles de seguridad, abren correos electrónicos de phishing, hacen clic en enlaces maliciosos, caen en estafas e insisten en usar las mismas contraseñas inseguras en todas partes.

“A menudo, nuestras soluciones cibernéticas son más robustas que nosotros, pues somos fáciles de manipular”, afirma Trevor Brown, CTO de SecurityFirst. Los seres humanos también proporcionan una dosis crítica de sentido común, agrega, y eso desaparece cuando los procesos están completamente automatizados.

Tome como ejemplo algo tan simple como una inyección SQL. Un ser humano puede reconocer instantáneamente un envío de formulario válido desde el código sin haber visto el problema anteriormente, pero una computadora solo puede hacerlo si está programada para eso. “Vemos algo y tenemos la intuición de que algo no está bien”, afirma. “Las máquinas no son buenas para eso”.

Él es muy consciente de este problema, puesto que su propia compañía está en el proceso de aumentar la automatización. “Estamos hablando de esto ahora con nuestro propio producto”, afirma. “No puedo tener a personas en una consola todo el tiempo en un ambiente de alta eficiencia y bajo costo”.

Las incógnitas desconocidas
Las transformaciones digitales a veces pueden abrir nuevos vectores de ataque imprevistos. Se puede tomar como ejemplo el uso de cubos de almacenamiento de Amazon S3. Son baratos, convenientes, fáciles de instalar, fáciles de asegurar y fáciles de dejar accidentalmente desbloqueados.

Durante el año pasado, un gran número de empresas, incluidas varias con mucha experiencia en tecnología, expusieron datos confidenciales cuando los almacenaron en Amazon, incluidos Accenture, Dow Jones, Verizon y la agencia de inteligencia militar INSCOM. De forma similar, los investigadores de Kenna Security recientemente descubrieron organizaciones que estaban filtrando correos electrónicos confidenciales a través de la configuración pública de Google Groups. Las organizaciones incluían empresas, hospitales, facultades y universidades de la lista Fortune 500, así como agencias del gobierno de estadounidense.

“Google G Suite es un producto al que muchas empresas transformadoras se están trasladando como parte de su transformación”, afirma Zia Hayat, CEO de Callsign, empresa proveedora de tecnología de autenticación con sede en Londres. “De hecho, la semana pasada estuve on site con un cliente que usa G Suite. Pero una vez más, la mala configuración -en forma de falta de vigilancia permanente- ha dejado a un sorprendente número de organizaciones expuestas a la pérdida de datos en diversas industrias”.

Necesita un plan de ciberseguridad
Los CSO tienen un papel importante que desempeñar para asegurarse de que la estrategia de transformación digital de una empresa incluya un plan de ciberseguridad. La clave para ser efectivos, según Hayat, es centrarse en los asuntos que más le importan a la empresa.

“Soy una persona de seguridad”, afirma Hayat. “Y nos gusta hablar en acertijos. Debe poner ejemplos claros y tangibles que no solo sean técnicos, sino que también puedan mostrar el impacto que algo puede tener en su marca”.

Por ejemplo, agrega, existe el impacto de las infiltraciones en la capitalización de mercado de una empresa. “Puede trazar un gráfico simple de cuál fue el costo de Equifax para su capitalización de mercado, cuál fue el costo para Target, cuál fue el costo para Facebook en términos de capitalización de mercado desde su negligencia hasta la privacidad y seguridad del consumidor. Ese costo ha estado aumentando a una escala masiva”.

Los CSO también deben caminar por sobre la delgada y cuidadosa línea que hay entre ser persuasivo y ser alarmista, afirma Weinman de RiskLens. Por ejemplo, demasiados profesionales de seguridad se enfocan exclusivamente en los riesgos adicionales asociados con el movimiento de datos y procesos a la nube, sin considerar los beneficios.

“Este no es el trabajo de análisis real, está extendiendo el miedo, la incertidumbre, la duda, y puede hacer que los CSO pierdan credibilidad frente al negocio”, afirma Weinman. “Entonces es probable que las empresas realicen el proyecto porque ven valor, oportunidades o ahorro de costos -y el CSO queda relegado”.

Si el CSO puede hablar objetivamente sobre el riesgo y la seguridad en términos comerciales, es más probable que tengan un impacto, añade Weinman. Sugiere que los profesionales de la seguridad tengan en cuenta los estándares internacionales en la evaluación de riesgos, como el marco de evaluación de riesgos FAIR. “No se trata de FUD, o de que la nube es peligrosa”, afirma. “Sino sobre ayudar a tomar una decisión bien informada”.

Maria Korolov, CSO