Para las empresas de hoy, la información significa libertad. Aquellos que tengan la capacidad de extraer, usar y proteger sus datos encontrarán mucho más fácil lograr sus objetivos en el panorama actual centrado en el cliente e impulsado por la información.
La forma en que las empresas pueden lograr esto ha cambiado enormemente en los últimos años. Extraer y consumir datos sigue siendo tan importante como siempre, pero la necesidad de proteger esos datos y priorizar aspectos como la privacidad se ha vuelto imperativo.
Ahora que los datos y la seguridad están tan estrechamente vinculados a los objetivos comerciales y la estrategia general, las organizaciones buscan cada vez más formas de mejorar la seguridad de su información para que puedan ser más rentables y productivas de una manera sostenible y de bajo riesgo.
Entonces, ¿cuáles son las principales consideraciones? ¿Cómo pueden las empresas hacer que la seguridad de la información funcione para ellas?
Hacer que la seguridad de la información sea más accesible
La seguridad de la información no es solo una cuestión técnica, sino cultural. Tener talento técnico en seguridad es importante, pero una empresa que dependa únicamente de él terminará con una visión bastante homogénea de la seguridad.
Por ejemplo, se centrará demasiado en temas como OSI (interconexión de sistemas abiertos) o el marco MITRE ATT&CK, y si bien estos elementos son útiles e importantes, perseguirlos exclusivamente puede conducir a una visión bastante reduccionista y aislada de la seguridad cuando sucede lo que sucede. lo que necesita es un sistema totalmente integrado y holístico.
Es hora de una conversación más grande de la industria sobre cómo abordamos la seguridad de la información. Es multidimensional y toca todos los aspectos de un negocio, por lo que no tiene sentido aislarlo como un esfuerzo puramente técnico. Al traer voces no técnicas y más diversas a la conversación, las organizaciones pueden alinear mejor sus procesos de seguridad de la información con sus objetivos generales de crecimiento y ganancias.
Cuantas más empresas puedan cerrar la brecha entre los profesionales de seguridad y el resto de la organización, más sólida y completa será su estrategia general. Los equipos de seguridad no deben estar separados y, del mismo modo, los equipos no técnicos deben tener un asiento en la mesa.
De defensivo a proactivo
Cuando me uní a la empresa, Aston Martin ya contaba con excelentes herramientas de seguridad y, afortunadamente, no hemos experimentado ningún ataque importante o incidente de ciberseguridad desde entonces. Sin embargo, una de las cosas que ha cambiado es un cambio gradual de la fortificación defensiva a la innovación y la colaboración, forjando asociaciones de seguridad tanto internamente como con terceros.
Las estrechas asociaciones de seguridad no se tratan solo de obtener la ventaja técnica, se trata de hacer avanzar un negocio. La introducción de nuevos estándares y marcos de políticas para toda la empresa puede tener un profundo impacto en la postura de seguridad general de una organización. Incluso si estos comienzan como misiones técnicas, rápidamente se convierten en viajes culturales.
Estos viajes no tienen un solo objetivo. El dominio de la ciberseguridad es como tratar de dar en un blanco en movimiento; Su organización debe evolucionar con el cambiante panorama de amenazas. La gerencia no solo debe enfocarse en el aquí y ahora, sino en lo que podría estar a la vuelta de la esquina. Aston Martin, por ejemplo, modela un enfoque de gestión de inteligencia de amenazas que analiza no solo el entorno de amenazas actual, sino también el entorno de amenazas en evolución para garantizar que mantiene su postura de seguridad.
Un lenguaje digital común
Si el dominio de la seguridad de la información es como tratar de alcanzar un objetivo en movimiento, entonces, para lograr ese objetivo, las organizaciones deben tener las mejores voces técnicas y no técnicas en la sala en cualquier momento dado.
Aston Martin se enfoca en lo que yo llamo «alfabetización digital», lo que significa que el personal no técnico aprende lo suficiente de los aspectos técnicos para unirse a la conversación, mientras que nuestro personal técnico hace todo lo posible para comprender la simplificación de los procesos técnicos. Esta reunión en el medio genera algunas conversaciones muy interesantes y productivas.
¿Tercerizar o no subcontratar?
Podrías llamar a eso una pregunta capciosa, porque la verdadera respuesta es «ambos». Para mantenerse al día con el cambiante panorama de las amenazas, las organizaciones deben poder recurrir al talento informado y capaz.
Es importante fomentar el talento interno y crear su propio equipo técnico. Reclutar el apoyo de terceros no cambia eso, y traer la experiencia de terceros puede ser una de las mejores formas de nutrir el talento interno y adquirir conocimientos.
Ya no es 1985 cuando las empresas pueden esperar retener fácilmente el mejor talento de la industria durante toda su carrera: el talento ahora se está democratizando y compartiendo. Y a medida que el panorama de las amenazas se mueve a la velocidad de la luz, las organizaciones deben estar preparadas para adaptarse al mercado de talentos para fortalecer su postura de seguridad.
Nivelando el campo de juego en la “nueva normalidad”
Es muy fácil asustarse con el panorama de amenazas actual. En el transcurso de la pandemia, hemos visto un aumento vertiginoso de los incidentes de ransomware que, sin una estrategia sólida de seguridad de la información, las organizaciones son más o menos presas fáciles. Es la naturaleza de los ataques a la cadena de suministro que pueden verse afectados incluso si no son el objetivo: nadie quiere ser un daño colateral.
En el libro de Marc Goodman crímenes futuros, habla extensamente sobre la persistencia de la innovación maliciosa: cómo los actores de amenazas tienden a mantenerse a la vanguardia cuando se trata de inventar nuevas formas de violar las defensas cibernéticas e infiltrarse en las redes corporativas. Cerrar esta brecha de innovación debería ser un enfoque clave para la industria de la ciberseguridad, especialmente a medida que nos adaptamos a esta nueva normalidad de trabajo ágil.
Según Goodman, el 89 % de los empleados accede a información relacionada con el trabajo en sus teléfonos celulares y el 41 % lo hace sin el permiso o el conocimiento de su empleador. Este es un ejemplo de cómo un cambio en el panorama laboral puede poner automáticamente en desventaja a los profesionales de la ciberseguridad.
Si el mensaje aún no estaba claro, todavía tenemos trabajo por hacer, y eso comienza tanto a nivel cultural como técnico.
Robin Smith es el director de seguridad de Aston Martin Lagonda.