Para las organizaciones de hoy, la información es libertad. A aquellos que puedan extraer, aprovechar y proteger sus datos les resultará mucho más fácil cumplir sus objetivos en el panorama actual centrado en el cliente e impulsado por la información.
La forma en que las empresas pueden lograr eso ha cambiado enormemente en los últimos años. La extracción y el aprovechamiento de datos sigue siendo tan vital como siempre, pero la necesidad de proteger esos datos y priorizar aspectos como la privacidad de los datos se ha vuelto esencial.
Ahora que los datos y la seguridad están tan fuertemente atados a los objetivos comerciales y la estrategia general, las empresas buscan cada vez más formas de mejorar su postura de seguridad de la información para permitirles ser más rentables y productivos de una manera sostenible y de bajo riesgo.
Entonces, ¿cuáles son las consideraciones clave? ¿Cómo pueden las empresas hacer que la seguridad de la información funcione para ellas?
Hacer que la seguridad de la información sea más accesible
La seguridad de la información no es solo una cuestión técnica, sino cultural. Tener talento técnico en seguridad es importante, pero una empresa que se base únicamente en eso acabará con una visión bastante homogeneizada de la seguridad.
Se centrará demasiado en temas como OSI (interconexión de sistemas abiertos) o el marco MITRE ATT&CK, por ejemplo, y si bien estos elementos son útiles e importantes, perseguirlos exclusivamente puede conducir a una visión bastante reductora y aislada de la seguridad, cuando lo que necesita es uno completamente integrado y holístico.
Es hora de una conversación más amplia en la industria sobre cómo manejamos la seguridad de la información. Es multidimensional y toca todos los aspectos de un negocio, por lo que no tiene sentido mantenerlo aislado como un esfuerzo exclusivamente técnico. Al traer voces no técnicas y más diversas a la conversación, las empresas pueden alinear mejor sus procesos de seguridad de la información con sus objetivos generales de crecimiento y ganancias.
Cuantas más empresas puedan cerrar la brecha entre los profesionales de la seguridad y el resto de la organización, más sólida y completa será su estrategia general. Los equipos de seguridad no deben estar compartimentados e, igualmente, los equipos no técnicos también deben tener un asiento en la mesa.
De defensivo a proactivo
Aston Martin ya contaba con excelentes herramientas de seguridad cuando me uní al negocio y, afortunadamente, no hemos experimentado ningún ataque importante o incidente de seguridad cibernética desde entonces. Sin embargo, una de las cosas que ha cambiado es un cambio gradual de la fortificación defensiva hacia la innovación y la colaboración, forjando asociaciones de seguridad tanto internamente como con terceros.
Las estrechas asociaciones de seguridad no se tratan solo de obtener una ventaja técnica, se trata de hacer avanzar a una organización. La introducción de nuevos estándares y marcos de políticas para toda la empresa puede tener un profundo impacto en la postura de seguridad general de una organización. Si bien estos pueden comenzar como misiones técnicas, rápidamente se convierten en viajes culturales.
Esos viajes tampoco tienen un solo destino. Dominar la seguridad cibernética es como intentar dar en un blanco en movimiento; su organización tiene que evolucionar con el cambiante panorama de amenazas. La gestión debe centrarse no solo en el aquí y ahora, sino también en lo que podría estar a la vuelta de la esquina. Aston Martin, por ejemplo, está modelando un enfoque de gestión de inteligencia de amenazas que aborda no solo el entorno de amenazas actual, sino también el emergente para garantizar que mantiene su posición de seguridad.
Un lenguaje digital común
Si dominar la seguridad de la información es como tratar de alcanzar un objetivo en movimiento, entonces, para alcanzar ese objetivo, las organizaciones deben tener las mejores voces técnicas y no técnicas en la sala en un momento dado.
Aston Martin se enfoca en lo que yo llamo “alfabetización digital”, lo que implica que el personal no técnico aprenda suficientes tecnicismos para participar en la conversación, mientras que nuestro personal técnico hace todo lo posible para simplificar los procesos técnicos. Esta reunión en el medio permite algunas conversaciones muy interesantes y productivas.
¿Tercerizar o no subcontratar?
Esto es quizás lo que podría llamarse una pregunta capciosa, porque la verdadera respuesta es “ambos”. Para mantenerse al día con el cambiante panorama de las amenazas, las empresas deben poder aprovechar fácilmente el talento informado y capaz.
Es importante fomentar el talento interno y hacer crecer su propio equipo técnico. Reclutar el apoyo de terceros no cambia eso, y traer la experiencia de terceros puede ser una de las mejores maneras de nutrir el talento interno y adquirir conocimientos.
Ya no es 1985, cuando las empresas pueden esperar retener fácilmente al mejor talento de la industria durante toda su carrera: el talento ahora está democratizado y compartido. Y con el panorama de amenazas moviéndose a la velocidad de la luz, las organizaciones deberían estar dispuestas a adaptarse al mercado de talentos para reforzar sus posiciones de seguridad.
Nivelando el campo de juego en la ‘nueva normalidad’
Es muy fácil asustarse con el panorama de amenazas actual. A lo largo de la pandemia, hemos visto incidentes de ransomware que se disparan hasta el punto en que las empresas sin una estrategia sólida de seguridad de la información son más o menos presas fáciles. La naturaleza de los ataques a la cadena de suministro significa que pueden verse afectados incluso si no son el objetivo: nadie quiere ser un daño colateral.
En el libro de Marc Goodman, Crímenes Futuros, habla en detalle sobre la tenacidad de la innovación maliciosa: cómo los actores de amenazas siempre tienden a estar un paso por delante cuando se trata de desarrollar nuevas formas de violar las defensas cibernéticas e infiltrarse en las redes corporativas. Cerrar esta brecha de innovación debería ser un enfoque principal para la industria de la seguridad cibernética, particularmente a medida que nos adaptamos a esta nueva normalidad de trabajo ágil.
Según Goodman, el 89 % de los empleados accede a información relacionada con el trabajo en sus teléfonos móviles y el 41 % lo hace sin el permiso o el conocimiento de su empleador. Ese es un ejemplo de cómo un cambio en el panorama laboral puede poner automáticamente en desventaja a los profesionales de la ciberseguridad.
Si el mensaje aún no estaba claro, tenemos mucho trabajo por hacer, y eso comienza tanto a nivel cultural como técnico.
Robin Smith es el director de seguridad de Aston Martin Lagonda.