Llegamos a ustedes gracias a:



Reportajes y análisis

Qué quieren los CISOs de los proveedores de seguridad

[25/06/2021] Terry Grogan pasó por una situación que puede resultar familiar para muchos líderes de seguridad. Trabajaba en una organización que estaba llevando a cabo una importante iniciativa tecnológica con grandes implicaciones para la seguridad, que recaía sobre un departamento con poco personal.

Como resultado, Grogan necesitaba implementar nuevas y más avanzadas capacidades de monitoreo de red.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Encontró un socio ejemplar: un proveedor que diseñó un plan para probar su solución sin costo durante tres meses, para determinar las brechas más grandes del hospital y si la solución podría ayudar a cerrarlas.

"Pudimos ver cómo este producto no solo resolvió problemas que pensábamos que teníamos, sino que ayudó a generar eficiencias que ni siquiera sabíamos que podíamos obtener, señala Grogan.

Grogan quedó impresionada y firmó un contrato a largo plazo con el proveedor.

La decisión de Grogan de cerrar un contrato con ese proveedor no se basó únicamente en las capacidades de su solución.

Por supuesto, ella quiere que los productos que compre funcionen, pero fue la capacidad del proveedor de trabajar con el hospital, encajar su solución en la pila tecnológica del hospital, y asesorar a Grogan sobre la mejor estrategia de seguridad en el futuro, lo que realmente hizo que destaque.

"Necesito un proveedor que sea socio; prácticamente no hay excepción a esa necesidad, asegura Grogan, ahora CISO de Pixel Health. "Antes se podía comprar algo, como un antivirus, hacer que lo instalaran y se fueran. Ahora la seguridad es tan compleja, afecta tanto, superpone toda la infraestructura y cambia tan rápidamente, que se necesita un proveedor que sea un asesor.

Los CISOs siempre han confiado en los proveedores para que les proporcionen las herramientas necesarias para proteger la empresa; no hay muchas soluciones propias en una operación de seguridad empresarial típica. Pero los CISOs pueden elegir entre proveedores y, dado su tiempo y presupuesto limitados, así como la importancia cada vez mayor del trabajo que realizan, se están volviendo más selectivos y exigentes con respecto a los proveedores que contratan.

No se trata solo de recortar la cantidad de proveedores que utilizan; aunque Gartner, la firma de asesoría e investigación tecnológica, enumera la consolidación de proveedores como una de las principales tendencias en seguridad empresarial para este 2021, y señala que "la mayoría de las organizaciones reconocen la consolidación de proveedores como una vía para reducir los costos y mejorar la seguridad. En última instancia, los CISOs quieren asegurarse de que los proveedores seleccionados brinden soluciones de calidad y aporten valor agregado para que sus equipos de seguridad puedan desempeñarse a un nivel superior.

Conozca sus necesidades

Lo que los CISOs quieren de los proveedores varía, y suelen buscar atributos de diferentes proveedores en distintos momentos, comenta Thomas Cary, director de operaciones técnicas de Golisano College of Computing and Information Sciences en Rochester Institute of Technology y miembro adjunto de la facultad de seguridad informática.

Aun así, los CISOs siguen buscando que algunos proveedores simplemente entreguen una solución necesaria, la implementen y luego se vayan, señala Cary y otros. Pero ahora esos casos son minoría.

Cary cuenta con una lista de expectativas que tiene de los proveedores. Quiere proveedores que conozcan y comprendan su organización y sus herramientas de seguridad existentes, para que puedan ayudar a identificar las fortalezas y debilidades y proponer formas de cerrar brechas, fortalecer su postura de seguridad y ayudar a su equipo a lograr los objetivos.

"Los proveedores deben tomarse el tiempo para conocer la organización y hacer su tarea para poder crear una solución que se adapte a las necesidades de la organización, asegura. "Eso es lo que realmente puede distinguir al proveedor.

Además, Cary busca que sus proveedores no se excedan. Él dice que quiere que sean sinceros sobre las capacidades de sus productos, así como sobre sus limitaciones.

Cary menciona a un proveedor que le proporcionó a su organización una plataforma de filtrado de correo electrónico con una variedad de capacidades. El proveedor le vendió un plan para incorporar las capacidades de filtrado solicitadas que funcionaban dentro de su flujo de trabajo existente, pero también señaló dónde las características adicionales podrían automatizar algunas funciones dentro de esos flujos de trabajo. Al mismo tiempo, el proveedor reconoció que el equipo de Cary ya tenía proveedores que le brindaban algunas de las capacidades que éste le ofrecía, y que no había razón para cambiar.

"El proveedor realmente tenía en mente nuestro mejor interés y no exageró para promocionarse, así que supimos que podíamos confiar en lo que decía y, como resultado, realmente nos ayudó a mejorar nuestra respuesta general a incidentes, cuenta Cary.

Otros CISOs han expresado expectativas similares.

En el 2020, la empresa de marketing Merritt Group emitió un informe titulado Marketing & Selling to the CISO que reflejó gran parte de lo que Cary y otros CISOs ahora señalan que esperan de sus proveedores.

Según el informe, "Por encima de todo, el marketing dirigido al CISO requiere un enfoque personalizado y centrado en los problemas. No existe una solución única para todos en ciberseguridad, y los CISOs tienden a desconfiar de tales promesas. Ellos quieren soluciones que aborden sus puntos débiles particulares, y casi la mitad espera que los proveedores hagan su tarea antes de realizar una llamada de marketing o ventas.

Demuéstrelo, no lo diga

Además, el informe señaló que el 34% de los CISOs que respondieron afirman que los proveedores tienen más posibilidades de éxito si comprenden sus problemas y pueden demostrar ese conocimiento.

"Una vez que los proveedores entienden lo que el CISO necesita, el siguiente paso es demostrar -no decir- cómo es que una solución en particular puede ayudar. Los CISOs prefieren las demostraciones de productos a cualquier otra forma de seguimiento, indicó el informe.

En otras palabras, los proveedores deben demostrar cómo pueden ayudar a los CISOs a ser más efectivos y eficientes en cuanto a la seguridad de la empresa, señala Brian M. Gant, profesor asistente de ciberseguridad en la Universidad de Maryville, con dos décadas de experiencia en analítica, inteligencia de amenazas y protección ejecutiva del gobierno corporativo y federal.

Además, Gant explica que los proveedores deben demostrar cómo pueden satisfacer tanto las necesidades actuales como las emergentes, compartiendo el conocimiento que han adquirido trabajando en múltiples organizaciones.

"Tienen que satisfacer esas necesidades inmediatas, pero también ayudar a los CISOs a ampliar sus conocimientos, sostiene Gant.

Es importante que los proveedores sean ágiles, además, y estén dispuestos y sean capaces de adaptarse, escalar y cumplir los objetivos rápidamente, a medida que cambien las circunstancias de una organización.

La pandemia ilustró esa necesidad, pero otros eventos empresariales más mundanos también lo hacen. Gant cuenta sobre un caso en el que trabajó con un CISO cuya organización tuvo despidos que requirieron que su proveedor de servicios de seguridad implementara rápidamente capacidades de monitoreo de comportamiento para garantizar que los trabajadores no estuvieran accediendo, copiando o eliminando información confidencial.

"Los proveedores deben poder acercarse a la reunión con una amplia gama de opciones para los CISOs, agrega Gant.

Gestionar para obtener el máximo valor del proveedor

Chas Heng, CISO de Altria Group (anteriormente conocido como Philip Morris Companies), tiene una opinión similar.

"Buscamos que nuestros socios de seguridad nos ayuden y orienten de manera estratégica en nuestra hoja de ruya y estrategia de seguridad, comenta Heng, y señala que quiere aprovechar a sus socios estratégicos clave "para comparar nuestro programa de seguridad con nuestros colegas del sector, y asegurarnos de que estamos invirtiendo adecuadamente en capacidades de ciberseguridad y que estamos alineados con las mejores prácticas de la industria de la seguridad.

Por ello, está en busca de proveedores que brinden servicios de consultoría y asesoramiento, además de productos y soluciones.

"Quiero que sean socios de pensamiento estratégico. Eso es la cuestión más importante que busco, ya sea un proveedor de software o que brinde servicios de asistencia. Quiero que aporten perspectivas externas para que puedan ayudarnos a desarrollar nuestro programa.

Para hacer eso, Heng y su equipo se reúnen regularmente con los proveedores y programan revisiones mensuales y sesiones trimestrales para desarrollar hojas de ruta. El propio Heng se reúne mensualmente con los proveedores más estratégicos para discutir en qué pueden aportar.

"Nos tomamos el tiempo necesario para hablar sobre el desempeño, en donde yo suelo tener preguntas adicionales. También hablo sobre las próximas necesidades y prioridades para que ellos me puedan contar sobre los recursos o soportes que pueden brindar, señala. "Y saben que deben venir con recomendaciones sobre cómo podemos mejorar.

Bill Serowka, consultor senior de Swingtide, firma de consultoría de gestión y TI, explica que los CISOs son prudentes al confiar en sus proveedores para obtener una visión y orientación, ya que su trabajo en múltiples organizaciones los posiciona para identificar los puntos ciegos que tienen los CISOs y sus equipos.

Al mismo tiempo, sin embargo, Serowka señala que los proveedores deben satisfacer los deseos básicos de los CISOs: soluciones que funcionen bien, que se adapten a la estructura existente de su organización, que cumplan lo prometido y, por supuesto, que mejoren la postura de seguridad general de la organización.

Sanjay Macwan, CISO de Vonage, desarrolló un marco de siete puntos para asegurarse de obtener todo lo necesario de sus proveedores.

De acuerdo con este marco, Macwan selecciona proveedores que explican:

  • En términos claros y sencillos qué resuelven sus soluciones y qué no resuelven.
  • Cómo sus productos complementan las demás soluciones que tiene.
  • Cómo poner en funcionamiento sus soluciones dentro de la organización; es decir, cuáles son los puntos de integración y qué trabajo deberán realizar sus propios ingenieros y arquitectos para poner en marcha la solución.
  • Quién será el defensor técnico de su parte para trabajar con su equipo. Respecto a los algoritmos que impulsan cualquier inteligencia en las soluciones, Macwan señala: "Hay mucho revuelo en torno a la inteligencia artificial y el aprendizaje automático [en las soluciones de seguridad], así que yo busco mirar bajo ese capó.
  • El compromiso operativo y tecnológico continuo que aportarán, junto con evolución de su tecnología.
  • Cómo fomentarán una relación estratégica con él y su equipo.

Macwan añade: "Este es mi método y lo utilizo de forma muy constante. Se lo explico a los proveedores desde el principio, diciéndoles cuáles son nuestras expectativas. Estas son las reglas del juego.

Puede ver también: