Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad versus innovación

El acto de equilibrio más complicado de TI

[11/03/2020] A primera vista, el despliegue de medidas de ciberseguridad y la búsqueda de la innovación pueden parecer mutuamente excluyentes. Las estrategias para mejorar la seguridad tienen como objetivo reducir el riesgo, mientras que los esfuerzos de innovación requieren estar abiertos a asumir riesgos.

Pero las empresas están encontrando formas de lanzar nuevas iniciativas de negocio digitales e innovadoras, mientras que el mismo tiempo toman medidas para proteger los datos y otros activos de TI. Al hacerlo, están estableciendo vías hacia nuevos ingresos, una mejor experiencia para el cliente y nuevas oportunidades de mercado, incluso a medida que ajustan los requisitos de seguridad, protegen los sistemas y los datos y cumplen con las regulaciones.

Después de todo, esta es la fórmula para el éxito en el ambiente de negocios actual: impulsar iniciativas transformadoras que adopten tecnologías innovadoras como la nube, tecnología móvil, inteligencia artificial, analítica de datos e Internet de las cosas (IoT, por sus siglas en inglés) de una manera que garantice la seguridad de los valiosos sistemas y datos.

Para hacerlo, las empresas de hoy necesitan encontrar formas de lograr un equilibrio entre afrontar la competencia, experimentar con nuevas tecnologías, aportar pruebas de concepto a la producción, etcétera, y garantizar que estas iniciativas sean seguras, una práctica que es muy reacia al riesgo.

En algunos casos, esto podría implicar aumentar el presupuesto y los recursos para la seguridad de todos los sistemas; en otros, podría significar reservar presupuesto y recursos para asegurar que la innovación pura entre en juego. De cualquier manera, el objetivo es ser innovador, pero de una manera segura y sensata.

Estos son algunos ejemplos de cómo las empresas intentan equilibrar la innovación y la seguridad, ya sea para proyectos específicos o como práctica general.

Implementar nuevos servicios en línea mientras se mantienen seguros los datos

Las instituciones de educación superior deben preocuparse por el cumplimiento de las leyes destinadaa a proteger la privacidad de los datos de los estudiantes.

"Aunque durante mucho tiempo el cumplimiento ha sido una prioridad, los sistemas y datos de información estudiantil en on premises tradicionales [en general] estaban encerrados en esos sistemas y archivos, con poca preocupación por el acceso del mundo exterior, afirma Bill Balint, CIO de la Indiana University of Pennsylvania (IUP).

"Pero con el advenimiento del acceso a sistemas seguros basados en la web, la perspectiva de las violaciones de la seguridad a gran escala y las exposiciones de datos hizo que el cumplimiento sea una prioridad mucho más alta, afirma Balint.

El problema se ha intensificado, ya que la educación superior se ha transformado en una operación mucho más comercial, afirma Balint. "Las instituciones, que se esfuerzan por alcanzar los objetivos de matrícula y éxito estudiantil, recurrieron cada vez más a servicios de implementación rápida basados en la nube en áreas como la gestión de la relación con el cliente y las soluciones de analítica de datos, afirma.

Dicha tecnología, a la que IUP está accediendo a través de servicios de suscripción basados en la nube, permite a la universidad ofrecer servicios innovadores, como ayudar a crear paquetes de ayuda financiera personalizados y optimizados, así como realizar análisis académicos personalizados que pueden ayudar a atraer y retener estudiantes exitosos.

"Pero para hacerlo, los proveedores generalmente también requieren de la importación de muchos de datos académicos y/o financieros confidenciales sobre el estudiante en aplicaciones de nube controladas por el proveedor, afirma Balint. "Tales actividades le quitan algo de control de la seguridad a la institución. En cambio, la institución a menudo debe 'tomar la palabra contractual' del proveedor de que los datos confidenciales estarán protegidos tanto en tránsito como en reposo.

Para garantizar que no se expongan datos confidenciales, el primer paso que tomó la IUP fue considerar las implicaciones sobre la seguridad y la privacidad de los servicios basados en la nube, y compartir solo los datos que son fundamentales para la funcionalidad de una herramienta.

"Por ejemplo, sería importante compartir información de calificaciones con un proveedor cuya herramienta se centre en el éxito académico, afirma Balint. "Pero los números de seguridad social no aportan ningún valor y no deben compartirse.

Más allá de eso, la IUP requiere que todos los proveedores de la nube con los que está trabajando cumplan con los estándares de la industria para la privacidad y seguridad de los datos, a través de un contrato formal y acuerdos de nivel de servicio (SLA, por sus siglas en inglés).

"Muy pocas instituciones de educación superior pueden obtener la experiencia interna para realizar las funciones de estos proveedores, pero los servicios que brindan son cada vez más críticos para la viabilidad de muchas instituciones, afirma Balint. "La industria debe continuar desarrollando las mejores prácticas que protegen los datos confidenciales.

Incorporar seguridad en una nueva aplicación móvil

A fines del 2019, el Estado de Colorado anunció el lanzamiento de Colorado Digital ID en su aplicación móvil, myColorado, para transformar la manera en que los residentes interactúan con el gobierno estatal. La visión de myColorado es proporcionar a los residentes del estado una solución móvil innovadora, segura y conveniente a través de la cual puedan conectarse con identidad digital y servicios gubernamentales.

"Nuestro objetivo es facilitar a los residentes hacer negocios con el estado, como renovar su licencia de conducir, conectándolos a los servicios a través de una plataforma móvil central, afirma Deborah Blyth, CISO del Estado de Colorado. "Esto elimina la necesidad de visitar una oficina estatal, lo que reduce el tiempo y los costos de transporte para los residentes y, en última instancia, ayuda a lograr la satisfacción del cliente.

Desde el lanzamiento público en octubre, más de 30 mil residentes han descargado la aplicación myColorado.

El gobierno estatal se da cuenta de que ganar y mantener la confianza pública es primordial para garantizar la adopción generalizada de cualquier producto o servicio ofrecido a los residentes, afirma Blyth, y esto se logra mejor al garantizar que la seguridad sea un componente crítico en el desarrollo de aplicaciones.

La información personal en myColorado está protegida por autenticación de múltiples factores y encriptación de datos para lograr privacidad y seguridad en toda la aplicación. Además, myColorado emplea autenticación, validación y federación de usuarios en varios niveles para garantizar la identidad del usuario, afirma Blyth.

"Desde el momento en que myColorado era simplemente una idea, un arquitecto de seguridad desempeñó un papel integral en el equipo de diseño de la aplicación, afirma Blyth. "Desde el inicio del proyecto, era necesario validar la identidad del usuario móvil para hacer coincidir a ese usuario con la información adecuada contenida en los sistemas estatales.

Otras consideraciones incluyen garantizar el acceso continuo a la información del usuario con la autenticación adecuada para evitar el acceso no autorizado, y evaluar y elegir un proveedor de pagos para procesar los pagos de forma segura.

El equipo de desarrollo realizó pruebas para garantizar que la aplicación móvil y los servidores del back end no tuvieran vulnerabilidades que pudieran explotarse y, por lo tanto, que los datos confidenciales estuvieran expuestos. También se tomaron precauciones adicionales durante el proceso de desarrollo para evitar que los desarrolladores accedan a datos confidenciales, afirma Blyth.

Un factor clave en la implementación exitosa de las funciones de seguridad de myColorado fue que todos los requisitos de seguridad se acordaron e incorporaron a la aplicación a través de un proceso iterativo mientras se diseñaba y construía, afirma Blyth.

"Tener un arquitecto de seguridad como participante activo e igualitario del equipo de innovación, aseguró que los criterios de seguridad importantes se integraran desde el principio, en lugar de simplemente verse como una casilla de verificación al final del ciclo de desarrollo, afirma.

Adoptar un enfoque experimental para la innovación de TI

O.C. Tanner, que ofrece servicios de reconocimiento a empleados y recompensas a clientes, está lanzando proyectos que aprovechan las tecnologías o metodologías más nuevas, como la inteligencia artificial, impresión 3D y DevOps. Al hacerlo, sigue una serie de prácticas para garantizar que los datos y los sistemas estén seguros, y que se mantenga la privacidad sin afectar la innovación.

Una de las más importantes es tratar las nuevas iniciativas de TI como experimentos científicos vigilados. O.C. Tanner realiza pruebas tecnológicas que son pequeñas y que utilizan los procesos y herramientas existentes de la compañía, y aísla estos esfuerzos de entidades externas a la organización.

"Si uno de nuestros experimentos tiene o crea una vulnerabilidad, nuestros procesos existentes deberían poder encontrar la vulnerabilidad, afirma Niel Nickolaisen, vicepresidente sénior y CIO. "Pero si no, la vulnerabilidad no pone en riesgo al resto de nuestro mundo.

A veces, una vulnerabilidad puede hacer que la compañía cancele el experimento o encuentre formas de remediar o evitar el problema. "En un caso, estábamos experimentando con una nueva tecnología, descubrimos algunos problemas y luego trabajamos con el proveedor [una startup] para resolverlos, afirma Nickolaisen.

A medida que los experimentos pasan ciertos puntos de prueba, que varían según el tipo de tecnología y experimento, "crecen nuestros estándares para determinar si vale la pena la producción del experimento, los requisitos se vuelven más estrictos, afirma Nickolaisen. "Antes de que se publique algo en nuestros ambientes de producción, debe cumplir con nuestros estándares -y esos estándares incluyen la seguridad [y] la privacidad.

En un ejemplo, O.C. Tanner estaba convencido de que tenía datos lo suficientemente ricos como para proporcionar a los clientes información sobre algunas de las causas de la rotación de los empleados. Para probar esto, necesitaba usar los datos de los empleados del cliente, que tenía que mantener seguros, para construir algoritmos, basados en la nube, de inteligencia artificial/aprendizaje automático.

"Para empezar de a pocos, hicimos anónimos un subconjunto de datos de nuestros clientes e hicimos pruebas de concepto iniciales en el servicio en la nube, afirma Nickolaisen. "Los resultados fueron lo suficientemente alentadores como para sentir que deberíamos avanzar. Pero, en algún momento tendríamos que usar datos reales, no anónimos.

A medida que O.C. Tanner incrementaba el experimento, también evaluaba los procesos de seguridad y privacidad de los servicios de inteligencia artificial y aprendizaje automático disponibles en la nube. "Paralelamente, trabajamos con nuestros clientes para que pudieran participar en nuestra evaluación de las prácticas de seguridad/privacidad de los proveedores de nube, afirma Nickolaisen. "Necesitábamos que estuvieran tan cómodos como nosotros con lo que elegíamos.

Otro ejemplo involucra el proceso DevOps y las herramientas que la compañía está utilizando. Para garantizar que el proceso de DevOps cumpliera con sus estándares de seguridad, pero aún permitiera implementaciones rápidas, O.C. Tanner quería crear algún tipo de automatización para que los creadores de nuevos servicios y funcionalidades pudieran desplegar solo los cambios previamente aprobados.

"Esto requería una funcionalidad o una herramienta que no teníamos, afirma Nickolaisen. O.C. Tanner encontró dicha herramienta, pero era de una startup que se encontraba en su etapa inicial y, por lo tanto, presentaba cierto riesgo. "Hicimos un experimento con su herramienta para evaluar su funcionalidad, afirma. "Cuando ese experimento fue exitoso, comenzamos a aplicar nuestros estándares para evaluar si vale la pena su producción e identificamos algunas brechas de seguridad y certificación en su producto.

O.C. Tanner luego trabajó con la compañía para resolver los problemas antes de pasar a producción.

Priorizar la experiencia del cliente y la protección de los datos

El Worldwide Assurance for Employees of Public Agencies (WAEPA), empresa proveedora de seguros de vida grupal, tiene el objetivo de superar la competencia en el servicio a empleados federales civiles y jubilados superando sus expectativas.

"A medida que los servicios y las herramientas digitales evolucionan, WAEPA se da cuenta de la necesidad de transformar y mejorar cada plataforma y punto de contacto en la experiencia del usuario, afirma Brandon Jones, CIO.

Tener una fuerte presencia digital es fundamental para cumplir con esta visión, afirma Jones. Para mejorar su presencia en línea, la organización primero realizó un estudio de usabilidad, analizando el estado actual de la experiencia digital de los clientes, realización de pruebas de usabilidad y entrevistas con usuarios, y la síntesis de datos para identificar tendencias, patrones y puntos en común en la información recopilada.

La investigación y el análisis descubrieron oportunidades para mejorar la usabilidad, permitiendo a WAEPA generar un conjunto de hallazgos y recomendaciones.

A continuación, WAEPA lanzó una "iniciativa de mapeo del viaje del cliente para identificar las diferentes etapas por las que se mueven los clientes, y posibles clientes, durante una transacción, qué esperan, qué preguntas tienen y qué sienten en cada paso.

"Este ejercicio nos permitió identificar los pasos que toman nuestros miembros para interactuar con nuestros productos y servicios, así como los enlaces a otras partes de sus viajes, oportunidades de mejora y áreas donde los pasos deben combinarse o dividirse, afirma Jones. "Al trazar metódicamente los pasos de nuestros miembros, pudimos utilizar este ejercicio como herramienta de diagnóstico.

WAEPA comenzó a construir una nueva página web y un portal para miembros aprovechando los hallazgos del estudio de usabilidad y el mapeo del recorrido del cliente. Los objetivos para el nuevo sitio eran educar mejor a los usuarios sobre los productos y el proceso de aplicación; mejorar la consistencia y facilidad de uso en todo el sitio; proporcionar herramientas e información de autoservicio para que los usuarios puedan tomar decisiones informadas; y para "humanizar la experiencia con el fin de ayudar, guiar y tranquilizar a los usuarios en línea.

Durante todo el esfuerzo, la protección de los datos del cliente fue una consideración primordial, y la seguridad se incorporó a la nueva página web y a la infraestructura de soporte. La estrategia de seguridad incluye el uso de herramientas como firewalls redundantes, una red privada virtual (VPN, por sus siglas en inglés), protección contra spam y phishing, y gestión de identidad y acceso.

Al tomar estos y otros pasos, WAEPA pudo crear una mejor experiencia para sus clientes y al mismo tiempo ofrecer un alto nivel de seguridad.