por Jack J. Domet
Adopte una mentalidad de “resiliencia proactiva”.
• • •
Las tecnologías digitales están transformando de manera fundamental la forma en que funcionan las industrias y ofrecen valor a los clientes. Para seguir el ritmo de las fuerzas disruptivo de la transformación digital, las empresas deben innovar rápidamente para competir. Sin embargo, estas innovaciones introducen nuevos riesgos cibernéticos, ya que las empresas adoptan nuevas tecnologías o aprovechan las existentes de formas novedosas, creando nuevas vías para los ciberataques. Con la creciente importancia de la innovación digital en las operaciones, los productos y los servicios empresariales, los posibles riesgos y consecuencias de un ciberataque exitoso siguen aumentando, lo que hace que haya más en juego que nunca.
Para tener éxito, las empresas deben asegurarse de que sus productos, servicios y operaciones comerciales sean resilientes de forma proactiva a los ciberataques, cambiando el papel de la ciberseguridad en la innovación digital.
Resiliencia proactiva
Al construir una carretera de montaña, los constructores no se limitan a decidir la ubicación de la carretera y esperar a que los coches se caigan por el precipicio antes de implementar medidas de seguridad, como barandillas. En cambio, analizan la naturaleza de la carretera y los riesgos asociados y adoptan de forma proactiva las medidas de protección necesarias.
Del mismo modo, en las transformaciones digitales exitosas, como el comercio electrónico, los bancos y los minoristas no implementan un medio para intercambiar información confidencial o realizar transacciones, solo deciden implementar medidas de protección después de que se haya producido un hackeo. En cambio, reconocen los posibles riesgos de antemano e implementan de forma proactiva los controles de ciberseguridad como base para protegerse contra ellos.
Al diseñar cualquier producto o servicio nuevo, es fundamental identificar las condiciones necesarias para su éxito, seguridad y escalabilidad. En el contexto de una transacción empresarial típica, estas condiciones pueden implicar verificar la identidad del comprador y del vendedor, proteger la información confidencial y proporcionar un comprobante de pago. Es posible establecer estos objetivos con antelación y anticipar cualquier factor que pueda impedir su cumplimiento.
Al articular claramente estos objetivos para una nueva actividad empresarial, se pueden identificar e implementar las tecnologías de ciberseguridad necesarias para lograr estos objetivos y gestionar de forma eficiente los riesgos que representan.
Pero los enfoques tradicionales de la ciberseguridad están en gran medida alejados de la innovación. En lugar de incorporar la seguridad de forma intrínseca a los nuevos productos, servicios y actividades empresariales, el enfoque convencional consiste en aplicar de forma reactiva los controles de ciberseguridad de conformidad con las políticas y normas de seguridad corporativas. Bajo la presión de «avanzar rápido y lograr cosas», es comprensible que los equipos de desarrollo a veces omitan por completo la seguridad en las versiones iniciales de los productos.
El problema de este enfoque es que desplegar cibercontroles sin entender detalladamente cómo funciona una actividad empresarial en particular siempre la deja desprotegida y, al mismo tiempo, interfiere con su eficiente funcionamiento. Básicamente, no puede proteger algo si no sabe cómo funciona.
Si bien las normas de ciberseguridad y los procesos de gobierno que garantizan su aplicación son útiles para mantener una buena higiene de la ciberseguridad y salvaguardar las prácticas empresariales tradicionales e inalterables, dejan los nuevos productos y servicios inadecuadamente protegidos e interfieren con las exigencias de la transformación digital.
Las organizaciones en proceso de transformación digital se enfrentan a un dilema: o no implementan sus estrategias de transformación digital, que son esenciales para la supervivencia empresarial, o comprometen su seguridad al exponerse a riesgos desconocidos que no pueden gestionar, lo que podría tener consecuencias desastrosas.
Para garantizar que los productos, los servicios y las operaciones empresariales sean resilientes de forma proactiva a los ciberataques, es necesario un cambio fundamental en el papel de la ciberseguridad y su relación con la organización. La ciberseguridad debe ir más allá de sus responsabilidades tradicionales de proteger los ordenadores de la empresa para convertirse en una parte integral de la innovación empresarial dominante, compartir la responsabilidad de la protección y la creación de valor empresarial.
Integre la ciberseguridad en el diseño
El primer paso es incorporar la ciberseguridad en el diseño inicial de los productos, servicios y otros proyectos impulsados por la tecnología. Para satisfacer las exigencias del desarrollo de software tradicional con ciclos de lanzamiento regulares, la mayoría de las grandes organizaciones han creado procesos de gobierno formales que exigen revisiones de ciberseguridad en los puntos de control a lo largo del ciclo de vida del desarrollo y en las pruebas de vulnerabilidades una vez finalizado el desarrollo.
El problema es que las vulnerabilidades de seguridad descubiertas en estas últimas etapas del ciclo de desarrollo del producto suelen hacer que los proyectos vuelvan a la mesa de dibujo, lo que ralentiza el proceso de desarrollo y corre el riesgo de costosos rediseños para incorporar funciones de seguridad que podrían haberse previsto como parte del diseño inicial. Al integrar la ciberseguridad en la fase de diseño, las organizaciones pueden evitar estas ineficiencias y garantizar la velocidad y la agilidad necesarias para cumplir con las exigencias de la transformación digital.
Responsabilidades complementarias
Iniciar el proceso de diseño con la ciberseguridad es un paso crucial, pero también requiere un cambio de mentalidad significativo con respecto a la colaboración entre los equipos de ciberseguridad y diseño. En la práctica, los equipos de producto se centran en crear productos y funciones excelentes y tienen una tendencia comprensible a ver la ciberseguridad como un obstáculo que hay que superar o, en algunos casos, que debe evitarse por completo. Mientras tanto, los equipos de ciberseguridad se centran en gestionar los riesgos generales para los ordenadores empresariales y en evaluar los riesgos asociados al producto final en este contexto.
Para incorporar con éxito la ciberseguridad en el diseño de nuevos productos y servicios, tanto los equipos de ciberseguridad como los de diseño deben asumir responsabilidades complementarias. El personal de ciberseguridad debe proporcionar asesoramiento y soporte sobre diseño y arquitectura de seguridad, lo que puede requerir nuevas capacidades y habilidades. Esto exige una cultura de colaboración, una orientación al servicio y la capacidad de proporcionar asistencia en el diseño de ciberseguridad, lo que no es lo mismo que evaluar la conformidad con las normas y prácticas de seguridad.
Los equipos de producto, por otro lado, deben articular los requisitos de sus productos y servicios con suficiente detalle como para facilitar la colaboración con el personal de ciberseguridad. La parte más difícil de evaluar la postura de ciberseguridad de los sistemas complejos es determinar cómo funcionan y qué hacen. Una vez que lo entienda, determinar el conjunto de controles adecuado será sencillo.
Al identificar los elementos esenciales necesarios para el éxito de sus proyectos y las consecuencias de los posibles fracasos, los equipos de producto y sus colegas de ciberseguridad pueden trabajar juntos para aplicar la tecnología de ciberseguridad de forma eficiente y lograr los objetivos empresariales de forma segura.
Mediante la integración de la ciberseguridad como un elemento esencial de la innovación y el fomento de la responsabilidad compartida a la hora de crear valor empresarial, las empresas pueden ir más allá de las evaluaciones de riesgos estándar de sus sistemas informáticos y garantizar de forma proactiva la resiliencia de sus productos, servicios y operaciones empresariales en general contra los posibles ciberataques en el panorama en constante cambio de la transformación digital.
_