Por Sean Duffy, Soluciones de Negocio Digital de Dimension Data
No
hay duda de que el camino a seguir es lo digital ofreciendo enormes
beneficios para su negocio: mayor rapidez de comercialización, más business intelligence,
mejores relaciones con los clientes, incremento en la productividad y
eficiencia…y la lista continúa. Pero a medida que el ritmo de la
transformación digital se acelera, se está forzando un cambio en la
manera en que pensamos y practicamos la ciberseguridad. Así nos
planteamos la pregunta: ¿cómo puede la ciberseguridad permitir la
innovación y moverse a la velocidad que requiere el negocio, mientras se
gestiona el riesgo?
El
hecho es que es posible hasta que sucede un ataque de ciberseguridad.
Todos sabemos lo que puede hacer un ciberataque: dañar la reputación de
la marca, la confianza y la rentabilidad del negocio, los cuales pueden
tardar años en verse recuperados. Entonces, ¿cómo reducir el riesgo de
que un ciberataque sea exitoso, mientras que se apoya a la innovación
mediante el uso y la adopción de tecnología?
No
es fácil ser innovador cuando se está lidiando con tanto riesgo. Su
huella digital está creciendo, ya sea que lo sepa o no. La huella
digital es más que la infraestructura que autoriza implementar (por
ejemplo, red, centro de datos). Es la información que se comparte entre
clientes, proveedores y socios; sus cuentas de redes sociales y falsas,
páginas web y las aplicaciones que representan a sus empleados y a su
empresa y clave para esta discusión, es que las unidades de negocios de
tecnologías descentralizadas son implementadas sin consultar primero con
los equipos de TI o de seguridad.
Parte
del desafío de ser un equipo de seguridad que apoya la innovación, en
primer lugar, es involucrarse. Los profesionales de la seguridad se
encuentran en esta situación por varias razones, pero afortunadamente,
hay formas de solucionarlo.
El papel cambiante de la ciberseguridad
1. Incorporar la ciberseguridad a sus estrategias corporativas y de transformación digital
El Informe comparativo de evaluación de medios digitales
de negocios mostró que los líderes empresariales están de acuerdo en
que la transformación digital es un criterio clave para el éxito
comercial futuro. Es sorprendente, que la ciberseguridad, sabiendo todo
lo que sabemos sobre el daño potencial de un ataque exitoso, no tiene
una mayor presencia en la estrategia. Después de todo, apunta a la
capacidad para obtener los beneficios y aprovechar las oportunidades que
la transformación puede brindar.
En
este sentido, la ciberseguridad debe reposicionarse como un habilitador
de la transformación e innovación digital segura y parte integral de
hacia dónde se dirige su empresa. Esto es más que simplemente decir
'haremos A, B o C de forma segura'. Establece la expectativa para el
resto de la empresa de que, mediante el diseño a nivel estratégico, se
desea estar seguro, dado que los beneficios de hacerlo son tangibles e
integrales para su éxito.
2. Construyendo un perfil de riesgo integral para el negocio.
A un alto nivel, esto requiere que su equipo considere:
· ¿Cuál
es nuestra dirección, metas y objetivos como empresa? ¿Estamos en un
momento estable, de ser así, quizás se necesiten menos innovaciones o
implicará muchos cambios en toda la empresa?
· ¿Cuáles
son nuestras obligaciones legales? En otras palabras, donde no podemos
hacer excepciones y correr cero riesgos de ciberseguridad, por ejemplo,
datos y regulaciones de privacidad, asegurándonos de cumplir con los
requerimientos normativos.
· ¿Dónde no estoy dispuesto a tomar riesgos? Por ejemplo, la protección de su propiedad intelectual.
· ¿Qué
tipo de riesgos estamos dispuestos a aceptar? Por ejemplo, traer su
propio dispositivo o aplicación, porque la productividad y la facilidad
de uso superan los posibles riesgos conocidos para nuestro negocio.
Estar
dispuestos a asumir riesgos no significa que no se proporcione un nivel
de seguridad. De hecho, a menudo se informa un requisito matizado de
seguridad, donde, tradicionalmente, la seguridad podría haber dicho que
no a una estrategia de BYOA con base en los riesgos de seguridad; ahora
hay espacio para una mayor conversación sobre ¿En qué medida nos
mantenemos seguros? o, ¿Cómo nos protegemos del riesgo que representa?
Esto proporciona un punto de partida para inversiones adicionales de ciberseguridad para el negocio, donde se está introduciendo el riesgo.
Esto proporciona un punto de partida para inversiones adicionales de ciberseguridad para el negocio, donde se está introduciendo el riesgo.
Cambio de percepciones sobre la seguridad a nivel de programa y unidad de negocio
La
siguiente área tiene que ver con las percepciones de los equipos de TI y
de seguridad con aquellos que entregan o implementan las iniciativas de
transformación.
A
menudo, los equipos de TI y de seguridad son vistos como personas que
operan en un silo y que no ejecutan al ritmo que requiere una empresa.
Esto puede hacer que se excluyan de los procesos iniciales de toma de
decisiones de la empresa en torno a la tecnología que se va a utilizar,
así como del proceso de creación de ideas innovadoras.
Por
ejemplo, un equipo de fabricación podría haber tenido una gran idea
para una aplicación que mejorará la eficiencia operativa en un 15%. Pero
deben moverse rápidamente para lanzar este servicio y maximizar su
ventaja competitiva y, como resultado, deben adoptar el enfoque para
crear/desarrollar la aplicación primero y asegurarla más tarde. Este
enfoque no sólo agrega un riesgo de ciberseguridad al negocio, sino que
también es más costoso en términos de desarrollo o para reparar los
daños de un ataque exitoso a las vulnerabilidades de las aplicaciones.
Es difícil proteger el negocio de las vulnerabilidades que no sabía que
tenía.
Sin
embargo, está surgiendo un nuevo campo: SecDevOps (también conocido
como DevSecOps y DevOpsSec) que es el proceso de integrar la
ciberseguridad en nuevas herramientas, procesos y aplicaciones
representando los beneficios de estar seguro a través del diseño en el
nivel operativo de la innovación.
Innovando dentro de la propia ciberseguridad
Afortunadamente,
también hay innovaciones dentro de la industria de la ciberseguridad
que hacen posible una postura de ciberseguridad dinámica.
La
seguridad basada en la nube, por ejemplo, tiene los mismos beneficios y
el mismo atractivo que otros servicios basados en la nube:
flexibilidad, escalabilidad, agilidad y costo, por nombrar algunos. A
medida que su huella crece y se reduce, las tecnologías de seguridad
basadas en la nube pueden responder en consecuencia.
Además,
existe una creciente necesidad de inteligencia predictiva de amenazas.
Puede tener una correcta ciberseguridad el 99% del tiempo, pero los
delincuentes cibernéticos solo necesitan explotar el 1% para causar
daño. La inteligencia predictiva de amenazas ofrece visibilidad de lo
que los ciberadversarios planean hacer. Con esta capa de inteligencia
puede tomar medidas proactivas para mantener su negocio seguro. Invertir
en inteligencia predictiva es una forma de consolidar sus inversiones
en ciberseguridad y hacer una clara demostración del retorno de la
inversión.
No hay comentarios:
Publicar un comentario