¿Cuál es el papel de la seguridad en la transformación digital?

Con la creciente ola de ataques informáticos reportados en los últimos años, la ciberseguridad ha recuperado la prioridad en las estrategias digitales, los CISO (Chief Information Security Officer) están cambiando las responsabilidades de seguridad en las organizaciones y trabajando para transformar la cultura de TI.

Hasta hace pocos años los procesos de transformación digital con nuevos desarrollos de productos avanzaba a velocidad acelerada, desarrollando nuevas iniciativas de TI y negocios basados en metodologías ágiles y DevOps que funcionan como catalizadores de la transformación.

Sin embargo, este proceso acelerado dejaba las consideraciones de seguridad en segundo plano. En ese momento, Gartner predijo que el 60% de las empresas digitales sufrirían fallas importantes en el servicio para 2020 debido a la incapacidad de los equipos de seguridad para gestionar el riesgo digital.

Se produjeron fallas de seguridad de alto perfil como se esperaba, aunque es difícil precisar que los proyectos digitales fueron la causa principal. “Independientemente de si las infracciones altamente publicitadas estaban directamente vinculadas a la transformación digital, hicieron que los líderes empresariales volvieran a pensar en el riesgo y las soluciones que lo minimizan”, dice Pete Lindstrom, vicepresidente de investigación de seguridad de IDC.

En la actualidad, alrededor del 79% de los ejecutivos globales clasifican los ataques cibernéticos y las amenazas como una de las prioridades de gestión de riesgos más altas de su organización en 2020, según una encuesta de Marsh & McLennan a 1.500 ejecutivos.

En general, el papel de la seguridad en la transformación digital ha mejorado tanto en la conciencia como en la participación en las primeras etapas del proceso de diseño, pero los CISO todavía están lidiando con la visibilidad de la amplitud de proyectos en sus ecosistemas.

Mantener el ritmo es el desafío de la seguridad

Los tomadores de decisiones de TI no solo incluyen la ciberseguridad entre sus principales consideraciones cuando se trata de la transformación digital, sino que también es su segunda mayor prioridad de inversión (35%), justo debajo de las tecnologías cloud (37%), según una encuesta reciente de Altimeter

Las inversiones en tecnologías transformadoras pueden no tener sentido si no pueden proteger el negocio, sus clientes u otros activos vitales, la complejidad y la velocidad del desarrollo continúan desafiando incluso a las operaciones de seguridad más grandes.

“La batalla que se libra avanza más rápido que nuestro ciclo de decisión. Si te mueves más despacio, entonces eres irrelevante desde una perspectiva de liderazgo ”, dice el Dr. Abel Sánchez, director ejecutivo y científico investigador del Laboratorio de Manufactura y Productividad del Instituto Tecnológico de Massachusetts. Agilidad, flexibilidad y rápida toma de decisiones son necesarias en la seguridad, así como en el desarrollo, agrega.

En la compañía global de soluciones energéticas Schneider Electric, la ciberseguridad está en el centro de su estrategia de transformación. 

El CISO Christophe Blassiau de Schneider Electric, luchó para ganar visibilidad de toda la organización debido a las complejas combinaciones de adquisiciones y las diferentes actividades de la compañía, desde I + D hasta la cadena de suministro y los servicios. 

La integración de TI y tecnología operativa (OT) también trae nueva conectividad, fuentes de datos y posibles vulnerabilidades que necesitan protección, y su equipo debe conectar los puntos entre la seguridad de la compañía y su ecosistema de socios y proveedores.

No quería hacer crecer equipos más grandes porque da la impresión de que alguien más lo arreglará. Aquí, la seguridad es responsabilidad de todos. – Christophe Blassiau 

“No teníamos el nivel adecuado de propiedad o aptitud en todas partes, así que comenzamos diseñando y organizando el nuevo gobierno establecido en toda la empresa”, dice Blassiau. “No quería hacer crecer equipos más grandes porque da la impresión de que será arreglado por otra persona. Aquí, la seguridad es responsabilidad de todos”.

En cambio, Schneider adoptó un enfoque dual para el ciberseguridad, creando una práctica de ciberseguridad digital e integrando profesionales cibernéticos (gestores de riesgos digitales y CISO regionales) en cada práctica y en toda la empresa para crear una comunidad de ciber líderes que estén capacitados y enfocados en ciber riesgos específicos.

La medida le dio a Blassiau “una sensación de control en el espacio digital. Hay un líder cibernético que informa a cada líder ejecutivo de práctica digital y me informa a mí ”, dice.

Ver más=> Ejecutivos C-Level y la transformación digital

Los equipos de seguridad también deben transformarse

El desafío para los equipos de seguridad sigue siendo cómo agregar seguridad a la velocidad de la transformación digital y garantizar que la seguridad abarque cada nuevo proceso digital interno y producto externo desarrollado u oportunidad de Internet creada.

Gran parte de la solución se reduce a la cultura de los departamentos de TI y seguridad, dice Sánchez. “Los equipos de seguridad también tienen que pasar por una transformación”. No es fácil, advierte, y muchos trabajadores deben estar dispuestos a aprender nuevas habilidades para poder interactuar con la organización empresarial.

Algo de esto se puede lograr mediante la reorganización, dice Sánchez. Los probadores en muchas prácticas, por ejemplo, están desapareciendo, y ahora los ingenieros de software realizan las pruebas. “¿Quién sabe mejor cómo asegurar un producto que el que lo creó?”. Lo mismo se puede hacer con otras áreas de desarrollo, agrega. 

“También puede necesitar diferentes talentos, o el talento que tiene que cambiar. Puede perder un montón de personas, pero necesitan encajar. Necesitas ese tipo de persona que pueda hacer la innovación e introducirla ”, dice Sánchez. “El mundo se está moviendo demasiado rápido”.

La buena noticia es que los equipos de seguridad en su conjunto se están volviendo más accesibles y parte del negocio, lo que lleva a mejores relaciones, dice Matt Handler, CEO de Security for the Americas en NTT, un gran proveedor global de servicios de consultoría y gestión de seguridad que ofrece servicios digitales. Servicios de transformación.

En lugar de no, diga “veamos cómo podemos hacer esto lo más rápido posible y hacerlo de manera segura”. Esa frase sola, creo, cambia el juego para un CISO – Matt Handler

“Los equipos de seguridad están aprendiendo que no pueden ser la ‘Oficina del No’ todo el tiempo. Deben ser ágiles, flexibles y ser vistos como un habilitador en lugar de un bloqueador ”, dice Handler. “Esto sucedió en el último año más o menos”.

El CISO también debe evolucionar y asumir el rol de asesor interno y colaborador de los departamentos que están implementando las aplicaciones o las nuevas tecnologías, agrega Handler. “En lugar de no, diga ‘veamos cómo podemos hacer esto lo más rápido posible y hacerlo de manera segura’. Esa frase sola, creo, cambia el juego para un CISO “.

Seguridad como punto vital 

Los CISO han estado promocionando durante años que la seguridad necesita ser insertada al comienzo del proceso de diseño. Ahora, gracias a componentes más ágiles y dinámicos, esto es más fácil de lograr. “Con la nube en particular” y las características de seguridad integradas que se pueden utilizar, “podemos jugar con eso para abordar los riesgos”, dice Lindstrom, “y estamos trabajando más en la pila, lejos de la red y el host- seguridad basada en la aplicación, la seguridad de la capa de datos y el tipo de cosas de identidad “.

Además, los inversores predicen que las compañías de ciberseguridad que utilizan el aprendizaje automático probablemente se destaquen en 2020, a medida que se consolide la cantidad de proveedores de ciberseguridad de nicho, aunque enfrentarán un alto nivel de escrutinio en torno a lo que afirman que su tecnología puede hacer. 

Las empresas con grandes grupos de datos de seguridad podrían combinar algoritmos, análisis y aprendizaje automático para identificar y reaccionar a las amenazas a la velocidad del rayo, casi tan rápido como están ocurriendo.

Las máquinas solo pueden ser tan buenas como los humanos que las curan, y tan buenos como los datos con los que coinciden los patrones, lo que llevará tiempo.

“Desde la perspectiva de un CISO, si puede proporcionar seguridad a gran velocidad y ayudar a la empresa a alcanzar sus hitos y metas, y la seguridad está integrada en el proceso desde el principio, entonces tiene un homerun. Pero ese es definitivamente un estado futuro ”, dice Handler.

Conclusión

Cuando se trata de la ciberseguridad en las transformaciones digitales, Sánchez dice que más organizaciones están “más allá de la mitad”. Han pasado por el proceso de automatización, y están comenzando a considerar la IA y el modelado predictivo.

“Estamos en el camino correcto, pero eso no significa que no habrá compromisos” mientras tanto, dice Sánchez. “Al igual que el desarrollo de software en todos los ámbitos no se había integrado (antes de la transformación digital) y ahora lo es, lo mismo es cierto para la seguridad. Todos estos tienen que unirse ahora. Solo lleva tiempo “.

Send this to a friend