Rberny 2021
Bienvenida, bienvenido a otro artículo sobre ciberseguridad de mi autoría, donde les hablaré de algunos resultados de la exploración que realice en puntos significativos en la construcción del contexto de ciberseguridad, no entraré en cuestiones técnicas, es como una plática entre colegas y amigos, para tal efecto esto no es una guía o norma para lograr un resultado correcto de nuestra ciberseguridad empresarial, es una forma no convencional de como vemos este tema, es bastante amplio y muchas veces se presta a no proporcionarle la importancia adecuada.
Primera Parte
Puntos Clave
Es evidente que la industria de la tecnología entra en una nueva fase de madurez, hay cada vez más preguntas sobre las implicaciones de las tendencias emergentes que operan a escala global, todo mundo se pregunta ¿Cómo mantenerse competitivo en el mercado? Esto claro supone el impacto y repercusiones sociales, de igual manera una dependencia extrema de los datos digitales y la amplia recopilación de información personal y por supuesto de negocios, pues bien, de igual manera hay personas allá afuera que no les interesa por los problemas que esta pandemia ha evidenciado por lo que se están destacando la naturaleza crítica de la ciberseguridad y la privacidad.
Pretendo mostrarles en este artículo una visión del panorama y el estado general de la seguridad dentro de las empresas en la actualidad, exploraré algunos de los obstáculos que impiden a las empresas adoptar una postura de seguridad ideal y sugiere los pasos que pueden conducir a una mayor seguridad en la economía digital.
La ciberseguridad se está convirtiendo en una práctica distinta
Es una realidad que el número de empresas que informan completa satisfacción con su postura actual de ciberseguridad, esta sigue aumentando para el 45% en 2019 en comparación con 21% en 2017, hay un buen margen de referencia, sin embargo lo más alentador es la mayoría de esas empresas aún ven margen de mejora, lo que he visto es la resiliencia a los cambios drásticos en la tecnología que han significado un nuevo enfoque de ciberseguridad aplicado de forma inmediata, no obstante, esto va más allá de una lista de verificación de nuevas técnicas, las modalidades siguen en movimiento y las empresas están cambiando a una práctica dedicada en torno a la ciberseguridad, puede ser que esa función sea realizada por personal interno, socios externos o una combinación de ambos.
Integración
Recordemos que hoy día tratamos de equilibrar la ciberseguridad y la innovación tecnológica en un periodo más corto de tiempo a raíz de la pandemia de COPVID-19, por lo que las empresas maduras están buscando obtener lo mejor de ambos mundos, lo he visto muy reflejado entre los ejecutivos y el personal comercial, aun cuando en mi opinión como producto de la transformación digital la integración de todos los departamentos o áreas de una empresa están muy ligados entre ellos digitalmente.
Como responsable del área comprendo que se abre el abanico de oportunidades para TI, por lo que debemos ayudar al equipo a reconocer que el personal de TI tiene cada vez más responsabilidad en educar a la organización sobre como obtener ventaja en términos de impacto comercial.
Un cambio en las operaciones de TI, sin duda y sin temor a equivocarme se debe de dar, está inmerso en la correcta asimilación del impacto de la pandemia de COVID-19 y la transformación digital, porque a muchos les tomó por sorpresa o a medio camino de transformación, sin embargo estoy convencido de que sigue siendo el principal impulsor de un nuevo enfoque de seguridad y dicha seguridad debe ser un componente principal para describir el costo total de una nueva adopción, sobre todo en el presupuesto del 2021.
Las habilidades son la parte más crítica de la función de ciberseguridad
En concreto hay dos áreas que las empresas deben considerar al abordar las habilidades de seguridad:
Primero está la fuerza laboral en general, los estudios muestran que solo el 44% de las empresas sienten que su personal comercial tiene un nivel ideal de experiencia en seguridad, no obstante, el talón de Aquiles, la capacitación se brinda en el 67% de las empresas con brechas de habilidades, pero esa capacitación solo se considera extremadamente efectiva para el 45% del tiempo, en razón de que únicamente seda una vez al año o en su caso solo en la inducción.
La segunda área a considerar son las habilidades de los profesionales de la tecnología, aun cuando lo veamos de forma obvia, aquí se necesitan habilidades más profundas, y la mayoría de las empresas están utilizando capacitación, asociaciones o certificaciones para desarrollar habilidades de seguridad modernas, de alguna manera esto crea una laguna de conocimientos y responsabilidades.
Las métricas de seguridad
La correcta gestión de la ciberseguridad debe proporcionar la medición del progreso de la seguridad, aun cuando sigue siendo un concepto nuevo para muchas empresas debe estar bien controlado, especialmente a medida que TI y la seguridad pasan de actividades tácticas a iniciativas estratégicas, este es uno de los cambios más representativos.
Curiosamente y contrario a lo que podría pensarse he observado que las empresas pequeñas son las más propensas a informar un uso intensivo de métricas de seguridad, probablemente debido al hecho de que estas empresas son las más atraídas a utilizar un tercero que proporcione métricas sobre sus servicios, en el mismo orden de ideas, a medida que las empresas medianas y grandes invierten más en el desarrollo de un centro de operaciones de seguridad dedicado, en razón de que una administración grande y compleja naturalmente afecta sin desearlo así, a la estructura de la ciberseguridad, en mi experiencia les recomiendo que deben acordar las mejores métricas que se utilizarán para el seguimiento y también establecer un plan para revisar estas métricas en los niveles adecuados de la organización.
Visión general del mercado
En esta perspectiva considero que el campo de la ciberseguridad sigue siendo uno de los temas que más debate genera en toda la tecnología, en evidente que las tendencias emergentes atraen la mayoría de los titulares y los modelos establecidos brindan la mayor parte del soporte para las operaciones comerciales, pero la ciberseguridad es la constante que une a las dos partes y exige técnicas en constante evolución.
No es extraño encontrar estudios de investigación en el campo de la ciberseguridad que este centrado en las habilidades que buscan las empresas o en la forma en que construyen sus equipos de ciberseguridad.
Quiero hacer mención para que consideremos las drásticas formas en que los ambientes empresariales y tecnológicos han cambiado, como claramente observamos la amenaza a las operaciones comerciales, sin mencionar la amenaza a la seguridad pública y privada, la verdad sea dicha nunca ha sido tan grande.
Al mismo tiempo, el apetito voraz e inconsciente por experimentar e implementar nuevas tecnologías nunca ha sido tan magnánimo, hace pocos años, había dos tendencias tecnológicas principales que las empresas estaban explorando: computación en la nube y movilidad, cuál es la realidad en la actualidad, pues que estas tecnologías, la computación en la nube en particular, ahora han llevado a una lista mucho más larga de temas que persiguen las empresas, por ejemplo:
- Internet de las cosas
- Inteligencia artificial
- Blockchain
- Realidad aumentada
Son solo algunas de las tendencias que prometen nuevas posibilidades comerciales, pero también crean nuevas complicaciones de seguridad.
Dada esta dinámica, no sorprende que la seguridad continúe mostrando un fuerte crecimiento durante los próximos años, veamos este crecimiento como indicativo del papel de la ciberseguridad tanto en las tecnologías establecidas como en las emergentes, la tendencia indica que se espera que las tecnologías establecidas, junto con las técnicas de seguridad correspondientes, crezcan a un ritmo lento gracias a la considerable base de instalación, por otro lado las tecnologías emergentes, que requieren nuevos métodos de seguridad, experimentarán un crecimiento más explosivo.
En 20 años de experiencia mi conclusión de la historia de los últimos años y las proyecciones para los próximos años es que la ciberseguridad no es un campo en el que exista un nuevo enfoque bien definido que las empresas deban adoptar, en cambio considero que la ciberseguridad es un objetivo en movimiento, es cierto, puede haber nuevos elementos que las empresas debemos considerar ahora, pero el plan debe ser continuo y flexible.
Satisfacción con la ciberseguridad actual
Si bien hubo un aumento significativo en el número de empresas que calificaron su seguridad actual como “satisfactoria” después de varios años de mantenerse a flote, ese número sigue siendo menos de la mitad de todas las empresas que he tenido la oportunidad de examinar y dada la alta prioridad que las empresas afirman otorgar a la ciberseguridad, uno esperaría ver un mayor número de empresas satisfechas con sus esfuerzos.
Miren, al analizar distintos puestos de trabajo en varias ubicaciones me encontré que el 55% de los ejecutivos cree que su seguridad actual es completamente satisfactoria y el 61% del personal de negocios asigna la misma calificación, sin embargo, entre el personal de TI, aquellos empleados que comprenden mejor los riesgos inherentes a la arquitectura de seguridad, el número cae al 35%. Ustedes me pueden ayudar a explicar ¿por qué de esta caída en el porcentaje de satisfacción?
Bueno la receta típica para la ciberseguridad moderna ha sido expandirse más allá de un enfoque de tecnología pura hacia iniciativas de proceso y educación de la fuerza laboral, me parece que esto ya es un tronco común para todos, no obstante, la falta de satisfacción con los esfuerzos de seguridad actuales sugiere que se necesita una mayor transformación digital, ya que la complejidad y velocidad de la ciberseguridad requieren un profundo nivel de dedicación y una gestión constante, entonces, para lograr estas cosas, las empresas deben estar dispuestas a considerar el nivel de inversión que tienen en esta área crítica.
Opiniones corporativas sobre ciberseguridad
En la práctica una de las cosas que dificultan las iniciativas de ciberseguridad es la tensión que existe entre la ciberseguridad estricta y la conveniencia para los usuarios finales, y por supuesto se deriva de otra tensión que existe entre una ciberseguridad sólida y una adopción de tecnología agresiva para la organización.
Recuerdo que los primeros días de la computación en la nube ayudaron a arrojar luz sobre este último tipo de tensión y también destacaron la necesidad de un enfoque moderno de la ciberseguridad, ¿Qué paso?, pues muchas empresas se lanzaron a los proyectos en la nube sin apreciar completamente cómo una antigua mentalidad de perímetro seguro no se traducía en el nuevo modelo, entonces, con el tiempo, la seguridad en la nube se convirtió en una barrera mucho menor para la adopción a medida que las empresas descubrieron las mejores prácticas y, en general, ha habido una mayor apreciación de los problemas de seguridad con las tendencias tecnológicas que llegaron colateralmente inmersas.
¿Qué se observa? Que la tensión aún se puede ver al preguntar a las empresas cómo manejan la ciberseguridad y la innovación tecnológica, mostrando un enfoque equilibrado que parece ser el más común, en este caso el 48% de las empresas dice que intenta equilibrar estas dos áreas, de igual manera he observado que la importancia de la ciberseguridad también se puede ver en el 40% de empresas maduras que priorizan la ciberseguridad por encima de la innovación tecnológica, finalmente, el deseo de estar a la vanguardia de la tecnología es claramente fuerte y comprensible, mostrado con el 35% de las empresas priorizando la innovación por encima de la ciberseguridad.
El estudio e investigación se llevó a cabo de forma personal, durante casi dos años, sin que llegaran a ser una encuesta como tal, como la lleve a cabo, entablando conversaciones con colegas, amigos, suscriptores e integrantes de mis redes sociales, para lo cual diseñe intencionalmente algunas preguntas para determinar cuánta confusión existe en torno a las prestaciones entre las búsquedas tecnológicas y las necesidades de seguridad, y honestamente existe cierto grado de confusión.
Escribo de este tema porque mi intención es generar conciencia hacia la seguridad informática o ciberseguridad, no es una cacería de brujas o señalar a quien tiene otro concepto o idea de estos temas, me parece muy normal y para mí tiene sentido que los ejecutivos y el personal de negocios adopten más un enfoque hacia como estaba en el pasado, ya que todavía están aprendiendo sobre estas prestaciones de la tecnología y los cambios por la pandemia, es también muy probable que el personal de TI se dé cuenta de que abrir nuevos caminos también puede significar cerrar el acceso a configuraciones abiertas y se vean como los informáticos villanos.
Enfoque de innovación tecnológica y ciberseguridad
Definitivamente es evidente un progreso significativo en la comprensión de los problemas de ciberseguridad en los últimos meses, aun cuando todavía hay mucho margen de mejora, especialmente entre aquellos empleados sin una sólida formación tecnológica, en razón de que en esta etapa de confinamiento se mezclan de alguna forma los equipos personales y de trabajo remoto, dicho de otra manera, se interesan más porque ya han visto que también eso equipos personales están en riesgo y son una vulnerabilidad manifiesta realmente, sin tapujos.
De forma global reconozco que los ejecutivos y el personal de negocios tienden a sentir que existe un fuerte conocimiento de la ciberseguridad dentro de la empresa, con base en lo que la misma empresa les ofrece de capacitación y generación de conocimiento, en este caso llegue con un 91% de ambos grupos calificando el nivel de comprensión como “muy alto” o “por encima del promedio”, no obstante, solo el 78% del personal de TI siente lo mismo.
Les recomiendo prestar especial atención a comprender mejor los problemas, procesos y políticas, ya que son parte clave de ser una organización digital, de acuerdo con los últimos años de investigación de seguridad, considero que el principal impulsor de un mayor énfasis en la ciberseguridad es un cambio en las operaciones de TI, por ello, en la misma línea, el 86% de las empresas están de acuerdo en que han realizado algún cambio en su enfoque tecnológico en los últimos dos años, eso es bastante bueno, por ejemplo, adopción acelerada o áreas emergentes exploradas y el 87% de las empresas están de acuerdo en que han cambiado su enfoque de seguridad en el mismo período de tiempo ya sea por una nueva tecnología agregada o educación para la fuerza laboral implementada.
Impulsores para cambiar la prioridad de la ciberseguridad
Por mucho que las empresas estén cambiando su enfoque de ciberseguridad, siempre habrá desafíos para lograr el estado ideal, recuerden esto siempre está en movimiento, por lo que el principal desafío es citado como el objetivo de priorizar tecnologías, señal de que, en medio de toda la confusión en torno a la innovación tecnológica y la ciberseguridad, la innovación tecnológica todavía tiene un fuerte impulso hacia todo el negocio.
De esta manera, las preocupaciones presupuestarias son naturalmente un obstáculo para la mayoría de las iniciativas tecnológicas, sin embargo, si la seguridad realmente está aumentando como una prioridad, eso sugiere que los presupuestos también deben aumentar, hay lógica en ello y todos los encargados de TI esperamos que así sea, bueno en términos generales, el enfoque del centro de costos de TI está cambiando a medida que la tecnología se vuelve más estratégica, y eso se aplica especialmente a la ciberseguridad.
Obstáculos para las iniciativas de ciberseguridad
Para abordar la amplia gama de problemas relacionados con la ciberseguridad, las empresas están comenzando a reconocer que necesitan tratar la seguridad como un enfoque separado en lugar de verlo como uno de los muchos componentes de una estrategia de TI.
Sobre un marco funcional de TI puedo decir que la seguridad pronto se ha convertido en una disciplina distinta para muchas empresas, en la actualidad, casi la mitad de todas las empresas dicen que la ciberseguridad se discute más allá de los límites organizacionales como un tema independiente, tengamos en cuenta que el 2% de las empresas me ha indicado que la ciberseguridad se trata como una ocurrencia tardía en las decisiones tecnológicas.
¿Será cierto que ya no se piensa que la seguridad de la información es solo responsabilidad de las áreas de TI?
Charlas sobre ciberseguridad
Este intercambio de ideas entre conocedores pueden servir para resaltar los problemas asociados con la ciberseguridad, pero no necesariamente proporcionan la estructura para construir las soluciones adecuadas, en muchas de mis pláticas con ellos hay un tema que de alguna forma siempre llegamos a ello, es la formación de equipos de ciberseguridad, gran tema central para la investigación de ciberseguridad y una de las principales conclusiones fue que el concepto de equipos de seguridad sigue siendo una idea muy nueva para la mayoría de las empresas.
Ese sigue siendo el caso a finales de 2020, los cambios drásticos en los datos con respecto a la ubicación de la función de ciberseguridad muestran que muchas empresas no están seguras de cómo definir siquiera un centro de operaciones de ciberseguridad y se adhiere a ello el impacto económico y de salud de la pandemia de COVID-19, sin embargo, incluso con todo el movimiento, hay algunos puntos clave de los cuales me he dado cuenta y vale la pena señalar:
Las empresas muestran una tendencia hacia los recursos internos como centro de operaciones, conceptualmente, esto tiene sentido, ya que se presentan los desafíos de evaluar la tolerancia al riesgo, clasificar los datos y responder a los incidentes de seguridad que indudablemente los abordan mejor los empleados internos que comprenden el ADN corporativo, entonces, el desafío obvio es la dificultad de crear un equipo especializado, fundamentalmente para las pequeñas empresas que pueden ni siquiera tener personal de TI general a bordo.
La naturaleza diversa de los equipos de seguridad, he observado que la mayoría de las empresas que afirman tener un centro interno de operaciones de seguridad también afirman que utilizan a terceros de forma continua o para proyectos ocasionales, entre el pequeño número de empresas que ven su centro de operaciones como una función externa, la mayoría me indican que complementan esta función con empleados internos, generalmente empleados que tienen la seguridad como parte de sus responsabilidades generales de TI.
En conjunto, estas tendencias pintan una imagen de cómo es probable que se maneje la seguridad en el futuro a medida que evoluciona hacia una preocupación comercial general, por lo que la comparación más cercana no es pensar en cómo las empresas han manejado su TI en el pasado, sino cómo han manejado otras funciones comerciales críticas, como las legales y contables, a caray se me fue y sin anestesia.
Hay que ser honestos, las empresas más pequeñas no pueden permitirse el lujo de tener un especialista en este tipo de funciones, por lo general se necesita mucho crecimiento antes de que una empresa quiera tener una persona dedicada.
Si la seguridad es un problema empresarial crítico, el personal interno debe ser especialista en seguridad que impulsen la estrategia general del negocio y las operaciones diarias, afortunadamente, la estructura de perfiles para el personal de seguridad es algo que está evolucionando a medida que se forman los equipos de ciberseguridad, por ende, hay casos para que la función de seguridad informe a un CIO, COO o incluso a un CEO.
Cuando se trata de terceros que gestionan nuestra ciberseguridad, se aplican los mismos criterios con respecto a la experiencia, para esta función, las empresas de seguridad necesitan profundidad y amplitud para cubrir la gama completa de temas de ciberseguridad, de igual manera, existe la posibilidad de que una empresa de TI general actúe como líder en ciberseguridad y subcontrate la experiencia, ¡esto ya es decisión de cada empresa!, entonces, dichas empresas podrían estar buscando simplificar sus propios contratos con terceros y podrían no tener el presupuesto para mantener una jerarquía de ayuda externa.
Lo que es evidente que los servicios de seguridad administrados serán el componente principal del gasto en seguridad, lo más probable es que se refieran a aquellas empresas que tienen una experiencia significativa, el mercado tiene muchos otros términos en la industria de TI, la etiqueta de servicios de seguridad administrada es amplia y se puede aplicar a empresas que solo tienen un número limitado de ofertas y son muy fuertes en ellas.
Reflexionando sobre la situación en ciberseguridad que refleja el escenario que ocurre en todas las tecnologías, a medida que las empresas se vuelven más estratégicas, sus requisitos se vuelven más ambiciosos y complejos, digamos que el simple hecho de proporcionar lo básico puede haber sido un modelo de negocio suficiente en el pasado, sin embargo, un proveedor de tecnología moderna necesita una sólida comprensión de la tecnología, eso significa el conocimiento de las muchas herramientas y técnicas que se utilizan, los procesos que conducen a operaciones comerciales seguras y los métodos para garantizar un riesgo de seguridad bajo entre la fuerza laboral.
Estén atentos para la segunda parte de este artículo, me emociona mucho contribuir en la construcción de la concientización de este tema, abramos la mente esto no es concepto cuadrado e intransigente, es bastante común y aplica a todas las personas que hacen uso de la tecnología para comunicación social o de negocios.
Fin de la primera parte
Saludos,
Views: 9