¿Cuál es el papel de la seguridad en la transformación digital?

0
20

Hace dos años, las transformaciones digitales se habían acelerado, los nuevos procesos y el desarrollo de productos avanzaban a una velocidad vertiginosa. A medida que se aceleró la implementación de las iniciativas de TI y de negocios -como la metodología ágil y DevOps- para mejorar la velocidad de llegada al mercado, las consideraciones sobre la seguridad a menudo quedaban atrás. En ese momento, debido a la incapacidad de los equipos de seguridad para gestionar el riesgo digital, Gartner pronosticó que el 60% de las empresas digitales sufrirían fallas importantes en el servicio para el 2020.

Se produjeron fallas de seguridad de alto perfil como se esperaba, aunque es difícil precisar que los proyectos digitales fueron la causa principal. «Independientemente de si las tan publicitadas brechas de seguridad estaban directamente relacionadas con la transformación digital, éstas hicieron que los líderes empresariales volvieran a pensar en el riesgo y las soluciones que lo minimizan”, afirma Pete Lindstrom, vicepresidente de investigación de seguridad de IDC.

En el 2020, alrededor del 62% de los ejecutivos globales clasifican los ciberataques y las amenazas como una de las prioridades de gestión de riesgos más importantes de su organización, según una encuesta de Marsh & McLennan a 1.500 ejecutivos. En general, en las primeras etapas del proceso de diseño, el papel de la seguridad en la transformación digital ha mejorado tanto en la conciencia como en la participación, pero los CISO todavía están lidiando con la visibilidad de la amplitud de los proyectos en sus ecosistemas.

El desafío de la seguridad: Mantener el ritmo
Cuando se trata de la transformación digital, los tomadores de decisiones de TI no solo incluyen la ciberseguridad entre sus principales consideraciones, sino que también es su segunda mayor prioridad de inversión (35%), justo debajo de la nube (37%), según una reciente encuesta de Altimeter.. Las inversiones en tecnologías transformadoras pueden no tener sentido si no pueden proteger al negocio, sus clientes u otros activos vitales; y la complejidad y la velocidad del desarrollo continúan desafiando incluso a las operaciones de seguridad más grandes.

«La batalla que se libra avanza más rápido que nuestro ciclo de decisión. Si uno se mueve más despacio, se vuelve irrelevante desde una perspectiva de liderazgo”, afirma el Dr. Abel Sánchez, director ejecutivo y científico investigador del Laboratory for Manufacturing and Productivity del Massachusetts Institute of Technology. En lo que respecta a seguridad y desarrollo, es necesario tener agilidad, flexibilidad y tomar decisiones rápidamente, agrega.

En la compañía global de soluciones energéticas, Schneider Electric, la ciberseguridad está en el centro de su estrategia de transformación. El CISO global, Christophe Blassiau, luchó para ganar visibilidad en toda la organización debido a las complejas combinaciones de adquisiciones y las diferentes actividades de la empresa -desde I+D hasta la cadena de abastecimiento y los servicios. La integración de TI y tecnología operativa (OT) también trae nueva conectividad, fuentes de datos y vulnerabilidades potenciales que necesitan protección, y su equipo debe involucrar a la seguridad de la compañía y su ecosistema de socios y proveedores.

«No teníamos el nivel adecuado de propiedad o aptitud en todas partes, así que comenzamos diseñando y organizando la nueva gobernanza para toda la empresa”, afirma Blassiau. «No quería hacer crecer equipos más grandes porque da la impresión de que alguien más lo arreglaría. Aquí, la seguridad es responsabilidad de todos”.

En cambio, Schneider adoptó un enfoque dual para la ciberseguridad, creando una práctica de ciberseguridad digital e integrando profesionales cibernéticos (gestores de riesgos digitales y CISOs regionales) en cada práctica y en toda la empresa para crear una comunidad de ciberlíderes que estén capacitados y enfocados en ciberriesgos específicos. La medida le dio a Blassiau «una sensación de control en el espacio digital. Disponemos de un ciberlíder que informa a cada líder ejecutivo de práctica digital y también a mí”, afirma.

Los equipos de seguridad también deben transformarse
El desafío para los equipos de seguridad sigue siendo cómo agregar seguridad a la velocidad de la transformación digital y garantizar que la seguridad abarque cada nuevo proceso digital interno y producto externo desarrollado u oportunidad de Internet creada. Gran parte de la solución se reduce a la cultura de las áreas de TI y seguridad, afirma Sánchez. «Los equipos de seguridad también tienen que pasar por una transformación”. No es fácil, advierte, y muchos trabajadores deben estar dispuestos a aprender nuevas habilidades para poder interactuar con la organización empresarial.

Algo de esto se puede lograr mediante la reorganización, afirma Sánchez. Por ejemplo, los testers están desapareciendo en muchas prácticas, y ahora los ingenieros de software realizan las pruebas. «¿Quién sabe mejor cómo asegurar este producto que el que lo creó?”. Lo mismo se puede hacer con otras áreas de desarrollo, agrega.

«También puede necesitar diferente personal, o cambiar al personal que ya tiene. Puede que pierda muchas personas, pero necesitan encajar. Necesita ese tipo de persona que pueda hacer innovación e introducirla”, afirma Sánchez. «El mundo se está moviendo demasiado rápido”.

La buena noticia es que los equipos de seguridad en su conjunto se están volviendo más accesibles y parte del negocio, lo que lleva a mejores relaciones, afirma Matt Handler, CEO de Security for the Americas en NTT, una consultora global y proveedor de servicios de seguridad gestionados que ofrece servicios digitales.

«Los equipos de seguridad están aprendiendo que no pueden ser la ‘Oficina del No’ todo el tiempo. Deben ser ágiles, flexibles y ser vistos como habilitadores en lugar de bloqueadores”, afirma Handler. «Esto sucedió en el último año, más o menos”.

El CISO también debe evolucionar y asumir el rol de asesor interno y colaborador de las áreas que están implementando las aplicaciones o las nuevas tecnologías, agrega Handler. «En lugar de decir no, diga ‘veamos cómo podemos hacer esto lo más rápido posible y hacerlo de manera segura’. Esa frase sola, creo, cambia el juego para un CISO”.

Integrar la seguridad
Durante años, los CISO han estado promocionando que la seguridad debe insertarse desde el inicio del proceso de diseño. Ahora, gracias a que hay componentes más ágiles y dinámicos, esto es más fácil de lograr. «Con la nube en particular” y las funciones de seguridad integradas que se pueden utilizar, «podemos jugar con eso para abordar los riesgos”, afirma Lindstrom, y «estamos preparando más el stack -lejos de la red y de la seguridad basada en hosts– para las aplicaciones, la seguridad de la capa de datos y los elementos relacionados a la identidad”.

Además, los inversores pronostican que las empresas de ciberseguridad que utilizan el aprendizaje automático probablemente destaquen en el 2020, a medida que se consolide el número de proveedores de ciberseguridad de nicho, aunque enfrentarán un alto nivel de escrutinio en torno a lo que afirman que su tecnología puede hacer. Las empresas con grandes grupos de datos de seguridad podrían combinar algoritmos, analítica y aprendizaje automático para identificar y reaccionar a la velocidad del rayo ante las amenazas, casi tan rápido como están ocurriendo. Las máquinas solo pueden ser tan buenas como los humanos que las reparan, y tan buenas como los datos con los que coinciden los patrones, algo que tomará tiempo.

«Desde la perspectiva de un CISO, si puede proporcionar seguridad a gran velocidad y ayudar a la empresa a alcanzar sus hitos y metas -y la seguridad está integrada en el proceso desde el principio- entonces usted ha tenido éxito. Pero ese es definitivamente un estado futuro”, afirma Handler.

¿Ya estamos ahí?
Cuando se trata de la ciberseguridad en las transformaciones digitales, Sánchez afirma que más organizaciones están «más allá de la mitad”. Han pasado por el proceso de automatización y están comenzando a considerar la IA y el modelado predictivo.

«Estamos en el camino correcto, pero eso no significa que no habrá compromisos” mientras tanto, afirma Sánchez. «Al igual que el desarrollo de software, en todos los ámbitos, no se había integrado (antes de la transformación digital) y ahora sí lo está, lo mismo es cierto para la seguridad. Todos estos tienen que unirse ahora. Simplemente toma tiempo”.

Stacy Collett, CSOonline.com