Llegamos a ustedes gracias a:



Reportajes y análisis

¿Cuál es el papel de la seguridad en la transformación digital?

[09/09/2020] Hace dos años, las transformaciones digitales se habían acelerado; los nuevos procesos y el desarrollo de productos avanzaban a una velocidad vertiginosa. A medida que TI y las empresas aceleraban iniciativas como la metodología ágil y DevOps para mejorar la speed to market, a menudo las consideraciones de seguridad se dejaban atrás. En ese momento, Gartner pronosticó que, para el 2020, el 60% de las empresas digitales sufrirían fallas importantes en el servicio debido a la incapacidad de los equipos de seguridad para administrar el riesgo digital.

Como se esperaba, se produjeron fallas de seguridad de alto perfil, aunque es difícil señalar que los proyectos digitales fueron la causa principal. "Independientemente de si las muy publicitadas violaciones a la seguridad estaban directamente relacionadas con la transformación digital, los líderes de negocios volvieron a pensar en el riesgo y las soluciones que minimizan el riesgo, afirma Pete Lindstrom, vicepresidente de investigación de seguridad de IDC.

En la actualidad, según una encuesta de Marsh & McLennan a 1.500 ejecutivos globales, alrededor del 79% clasifican a los ciberataques y a las amenazas como una de las prioridades de gestión de riesgos más altas de su organización en el 2020. En general, en las primeras etapas del proceso de diseño, el papel de la seguridad en la transformación digital ha mejorado tanto en conciencia como en participación, pero los CISO todavía están lidiando con la visibilidad de la amplitud de los proyectos en sus ecosistemas.

El desafío de la seguridad: Mantener el ritmo, aumentar el riesgo

Los tomadores de decisiones de TI no solo incluyen a la ciberseguridad entre sus principales consideraciones cuando se trata de la transformación digital, sino que también la consideran como su segunda prioridad de inversión más grande (35%), justo debajo de la nube (37%), según una encuesta reciente de Altimeter. Las inversiones en tecnologías transformadoras pueden carecer de sentido si no pueden proteger al negocio, sus clientes u otros activos vitales, y la complejidad y la velocidad del desarrollo continúan desafiando incluso las operaciones de seguridad más importantes.

"La batalla que se libra avanza más rápido que nuestro ciclo de decisiones. Si se está moviendo más lento, entonces es irrelevante desde la perspectiva del liderazgo, afirma el Dr. Abel Sánchez, director ejecutivo y científico investigador del Laboratorio de Manufactura y Productividad del Instituto de Tecnología de Massachusetts. Se requiere agilidad, flexibilidad y una rápida toma de decisiones en seguridad, así como en desarrollo, agrega.

En la empresa global de soluciones energéticas, Schneider Electric, la ciberseguridad está en el centro de su estrategia de transformación. El CISO global, Christophe Blassiau, luchó por ganar visibilidad en toda la organización debido a complejas combinaciones de adquisiciones y a las muchas actividades diferentes de la empresa (desde investigación y desarrollo hasta la cadena de abastecimiento y servicios). La integración de TI y tecnología operativa (OT) también trae nueva conectividad, fuentes de datos y vulnerabilidades potenciales que necesitan protección, y su equipo debe conectar los puntos entre la seguridad de la empresa y su ecosistema de socios y proveedores.

"No teníamos el nivel adecuado de propiedad o aptitud en todas partes, así que comenzamos diseñando y organizando la nueva gobernanza establecida en toda la empresa, afirma Blassiau. "No quería equipos más grandes porque da la impresión de que alguien más lo arreglará. Aquí, la seguridad es responsabilidad de todos.

En cambio, Schneider adoptó un enfoque dual para la ciberseguridad, creando una práctica de ciberseguridad digital e integrando a los ciberprofesionales (gestores de riesgo digital y CISOs regionales) en cada práctica y en toda la empresa para crear una comunidad de ciberlíderes que estén capacitados y se centren en ciberriesgos específicos. La medida le dio a Blassiau "una sensación de control en el espacio digital. Hay un ciberlíder que informa a cada líder ejecutivo de práctica digital y me informa a mí, afirma.

Los líderes de seguridad deben estar preparados para los riesgos adicionales que presenta la transformación digital. Según el informe de Transformación digital y ciberriesgo de Ponemon, el 82% de los encuestados de seguridad de TI y de la alta gerencia afirmaron haber experimentado al menos un robo de datos debido a la transformación digital.

Una causa en el incremento del riesgo es la mayor dependencia de terceros, el 55% de los encuestados afirmó que ellos fueron responsables de al menos una de sus pérdidas de datos. A pesar de depender de terceros, el 58% afirmó que no tiene un programa de gestión de ciberriesgo de terceros, y el 56% de los ejecutivos de la alta gerencia afirmó que era difícil saber si los terceros tenían políticas y prácticas para garantizar la seguridad de su información.

Según el informe de Ponemon, la causa principal de las vulnerabilidades introducidas durante los proyectos de transformación digital es la desalineación entre los encartados de la seguridad y la alta gerencia. Solo el 16% de los encuestados afirmó que el área de TI y las líneas de negocio estaban completamente alineadas.

Los equipos de seguridad también deben transformarse

El desafío para los equipos de seguridad sigue siendo cómo incrementar la seguridad a la velocidad de la transformación digital, y garantizar que la seguridad abarque cada nuevo proceso digital interno, producto externo desarrollado y oportunidad de Internet creada. Gran parte de la solución se reduce a la cultura de las áreas de seguridad y TI, afirma Sánchez. "Los equipos de seguridad también tienen que pasar por una transformación. No es fácil, advierte, y muchos trabajadores deben estar dispuestos a aprender nuevas habilidades para poder interactuar con la organización empresarial.

Parte de esto se puede lograr mediante la reorganización, señala Sánchez. Los testers en muchas prácticas, por ejemplo, están desapareciendo, y las pruebas ahora las realizan ingenieros de software. "¿Quién sabe cómo proteger mejor este producto que la persona que lo creó? Lo mismo se puede hacer con otras áreas de desarrollo, agrega.

"También es posible que requiera de personal diferente o que el personal cambie. Puede que pierda a muchas personas, pero estas deben encajar. Uno necesita un tipo de persona que pueda realizar la innovación e introducirla, afirma Sánchez. "El mundo se está moviendo demasiado rápido.

La buena noticia es que los equipos de seguridad en su conjunto se están volviendo más accesibles y forman parte del negocio, lo que lleva a mejores relaciones, afirma Matt Handler, CEO de Security for the Americas en NTT, un gran proveedor global de consultoría y servicios de seguridad gestionada, que ofrece servicios digitales de transformación.

"Los equipos de seguridad están aprendiendo que no pueden ser la 'Oficina del No' todo el tiempo. Tienen que ser ágiles, flexibles y ser vistos como un facilitador en lugar de un bloqueador, afirma Handler. "Esto acaba de suceder el año pasado, aproximadamente.

El CISO también debe evolucionar y asumir el papel de asesor interno y colaborador de las áreas que están implementando las aplicaciones o las nuevas tecnologías, agrega Handler. "En lugar de 'no', diga 'veamos cómo podemos hacer esto lo más rápido posible y hacerlo de manera segura'. Esa frase por sí sola, creo, cambia el juego para un CISO.

Integrar la seguridad

Durante años, los CISOs han estado promocionando que la seguridad debe insertarse desde el principio en el proceso de diseño. Ahora, gracias a que existen componentes más ágiles y dinámicos, esto es más fácil de lograr. "Con la nube en particular y las funciones de seguridad integradas que se pueden utilizar, "podemos jugar con eso para abordar los riesgos, afirma Lindstrom, "y estamos trabajando más en el stack -lejos de la red y la seguridad del host- en aplicaciones, así como en la seguridad de la capa de datos y en los tipos de identidades.

Además, los inversionistas pronostican que es probable que las empresas de ciberseguridad que utilizan el aprendizaje automático se destaquen en el 2020, a medida que se consolide el número de proveedores de ciberseguridad de nicho, aunque se enfrentarán a un alto nivel de escrutinio precisamente en torno a lo que afirman que pueden lograr sus tecnologías. Las empresas con grandes grupos de datos de seguridad podrían combinar algoritmos, analítica y aprendizaje automático para identificar y reaccionar a las amenazas rápidamente -casi tan rápido como ocurren. Las máquinas solo pueden ser tan buenas como los humanos que las mantienen -y tan buenas como los datos con los que hacen coincidir patrones, lo que llevará tiempo.

"Desde la perspectiva de un CISO, si puede brindar seguridad rápidamente y ayudar a la empresa a alcanzar sus hitos y objetivos, incorporando a la seguridad en el proceso desde el principio, entonces tiene un jonrón. Pero ese es definitivamente un estado futuro, afirma Handler.

¿Ya estamos ahí?

Cuando se trata de ciberseguridad en las transformaciones digitales, Sánchez afirma que más organizaciones están "más allá de la mitad del camino. Han pasado por el proceso de automatización y están comenzando a buscar inteligencia artificial y modelado predictivo.

"Estamos en el camino correcto, pero eso no significa que no habrá que ceder mientras tanto, afirma Sánchez. "Al igual que como ocurrió con el desarrollo de software que no se había integrado en todos los ámbitos -antes de la transformación digital- y ahora sí lo está, lo mismo está pasando con la seguridad. Todo esto tiene que unirse ahora. Solo tomará un tiempo.