Hace un par de años, las transformaciones digitales se habían acelerado a una velocidad vertiginosa con nuevos procesos y el desarrollo de productos avanzados. A medida que TI siguió el paso de iniciativas como agile y DevOps para mejorar la velocidad de comercialización, las consideraciones de seguridad a menudo quedaron en segundo plano.
En ese momento, Gartner predijo que el 60% de las empresas digitales sufrirían fallas importantes en el servicio para 2020 debido a la incapacidad de sus equipos de seguridad para gestionar el riesgo digital.
Se produjeron fallas de seguridad de perfil alto como se esperaba, aunque es difícil precisar que los proyectos digitales fueran la causa principal. “Independientemente de si las infracciones vaticinadas estaban directamente relacionadas con la transformación digital, consiguieron que los líderes empresariales volvieran a pensar en el riesgo y las soluciones capaces de minimizarlos”, afirma Pete Lindstrom, vicepresidente de investigación de seguridad de IDC.
En la actualidad, cerca del 79% de los ejecutivos globales clasifican los ciberataques y las amenazas como una de las principales prioridades de gestión de riesgos de su organización para 2020, según una encuesta de Marsh & McLennan. En general, el papel de la seguridad en la transformación digital ha mejorado tanto en la conciencia como en la participación en las primeras etapas del proceso de diseño, pero los CISO todavía tienen que lidiar con la visibilidad de la amplitud de proyectos en sus ecosistemas.
El reto de la seguridad: mantener el ritmo
Los responsables de TI no sólo incluyen la ciberseguridad entre sus principales consideraciones cuando se trata de la transformación digital, sino que también es su segunda mayor prioridad de inversión (35%), según una encuesta reciente de Altimeter. Las inversiones en tecnologías transformadoras no pueden proteger la actividad, sus clientes u otros activos vitales. Asimismo, la complejidad y la velocidad del desarrollo continúan desafiando incluso las mayores operaciones de seguridad.
“La batalla que se libra avanza más rápido que nuestro ciclo de decisiones. Si te mueves más despacio, eres irrelevante desde una perspectiva de liderazgo”, afirma Abel Sánchez, Director Ejecutivo y científico investigador del Laboratorio de fabricación y productividad del Instituto Tecnológico de Massachusetts (MIT).
En seguridad se necesita agilidad, flexibilidad y una rápida toma de decisiones, igual que durante el proceso de desarrollo, añade.
En la compañía global de soluciones energéticas Schneider Electric, la ciberseguridad está en el centro de su estrategia de transformación. Su CISO global, Christophe Blassiau, luchó para conseguir visibilidad de toda la organización debido a las complejas combinaciones de adquisiciones y las diferentes actividades de la empresa, desde Investigación y Desarrollo hasta la cadena de suministros y los servicios. La integración de TI y OT (tecnología operativa) también brinda una nueva conectividad, fuentes de datos y vulnerabilidades potenciales que necesitan protección, y su esquipo debe conectar los puntos entre la seguridad de la empresa y su ecosistema de socios y proveedores.
“No teníamos el nivel adecuado de propiedad o aptitud en todas partes, así que comenzamos diseñando y organizando una nueva gobernanza establecida en toda la empresa”, explica Blassiau. “No quería equipos más grandes, porque así se consigue la impresión de que siempre habrá otro que lo solucione. Aquí, la seguridad es responsabilidad de todos”.
En cambio, Schneider adoptó un enfoque dual para la ciberseguriad, creando una práctica de ciberseguridad digital e integrando ciberprofesionales (administradores de riesgos digitales y CISO regionales) en cada práctica y en toda la empresa para crear una comunidad de ciberlíderes que estén capacitados y centrados en ciberriesgos específicos. La medida le dio a Blassiau “una sensación de control en el espacio digital. Hay un líder cibernético que informa a cada líder ejecutivo de práctica digital y que me informa a mí”, señala.
Los equipos de seguridad también deben transformarse
El desafío para los equipos de seguridad sigue siendo cómo agregar seguridad a la velocidad de la transformación digital y garantizar que la seguridad abarque cada nuevo proceso digital interno y producto externo desarrollado u oportunidad creada en Internet. Gran parte de la solución se reduce a la cultura de los departamentos de TI y Seguridad, opina Sánchez, del MIT.
“Los equipos de seguridad también tienen que pasar por una transformación”. No es fácil, advierte, y muchos trabajadores deben estar dispuestos a aprender nuevas habilidades para poder interactuar con la organización empresarial.
Se puede lograr algo así mediante la reorganización, dice Sánchez. Los testers en muchas prácticas, por ejemplo, están desapareciendo, y ahora los ingenieros de software realizan las pruebas. “¿Quién sabe mejor cómo asegurar este producto que el que lo creó? Lo mismo se puede hacer con otras áreas de desarrollo”.
“También se puede necesitar un talento diferente, o que el talento que tiene tenga que cambiar. Puede que pierda un montón de personas, pero piense que tienen que encajar. Necesitará ese tipo de persona que pueda hacer la innovación e introducirla en la empresa”, agrega Sánchez. “El mundo se mueve demasiado rápido”.
La buena noticia es que los equipos de seguridad en su conjunto se están volviendo más accesibles y son parte del negocio, lo que lleva a tener mejores relaciones, dice Mat Handler, CEO de Security for Americas en NTT, una consultora global y proveedora de servicios de seguridad administrados que ofrece soluciones de transformación digital.
“Los equipos de seguridad están aprendiendo que no pueden ser la ‘oficina del no’ todo el tiempo. Deben ser ágiles, flexibles y ser vistos como un posibilitador en lugar de un bloqueador”, asevera Handler. “Todo esto ha sucedido en el último año, más o menos”.
El CISO también debe evolucionar y asumir el rol de asesor interno y colaborador de los departamentos que están implementando las aplicaciones o las nuevas tecnologías, añade Handler. “En lugar de ‘no’, diga ‘veamos cómo podemos hacer esto lo más rápido posible y de manera segura’. Esa frases por sí sola, creo, cambia el juego para un CISO”.
Cocinando seguridad
Los CISO han estado promocionando durante años que la seguridad debe disertarse al comienzo del proceso de diseño. Ahora es más fácil de lograr gracias a que tenemos componentes más ágiles y dinámicos. “Con la nube en particular” y las funciones de seguridad integradas que se pueden utilizar, “podemos jugar para manejar los riesgos”, argumenta Lindstrom, de IDC, “y estamos trabajando más en la seguridad basada en la aplicación, la capa de datos y aspectos relacionados con la identidad, en lugar de seguridad basada en el host y la red”.
Además, los inversionistas predicen que las empresas de ciberseguridad que utilicen machine learning probablemente destaquen en 2020, a medida que se consolide el número de proveedores de ciberseguridad de nicho, aunque se tendrán que enfrentar a un alto nivel de incertidumbre en torno a lo que afirman que puede hacer su tecnología. Las empresas con grandes grupos de datos de seguridad podrían combinar algoritmos, análisis y machine learning para identificar y reaccionar ante nuevas amenazas a la velocidad del rayo, casi tan rápido como estas se producen. Las máquinas sólo pueden ser tan buenas como los humanos que las manejan, y tan precisas como los datos con los que coinciden sus patrones, y todo esto llevará tiempo.
“Desde la perspectiva de un CISO, si puede proporcionar seguridad a gran velocidad y ayudar a la empresa a alcanzar sus metas, y ha conseguido que la seguridad esté integrada en el proceso desde el principio, tiene el éxito asegurado. Pero esto es todavía algo del futuro”, concluye Handler.
¿Ya hemos llegado?
Cuando se trata de ciberseguridad en las transformaciones digitales, Sánchez dice que cada día hay más empresas que “ya han cruzado la mitad del camino”. Ya han pasado por el proceso de automatización, y están comenzando a mirar a la IA y al modelado predictivo.
“Estamos en el camino correcto, pero eso no significa que mientras tanto no haya que hacer compromisos”, añade Sánchez. “Al igual que (antes de la transformación digital) el desarrollo de software no se había integrado en todos los ámbitos y ahora sí, lo mismo se puede decir respecto a la seguridad. Todo esto tiene que unirse. Es cuestión de tiempo”.
Stacy Collet, CSO.es
