Siete recomendaciones para un CISO ágil - KPMG Argentina
close
Share with your friends

Liderazgo en seguridad cibernética en la era del cumplimiento continuo

Nos guste o no, se aproxima un cambio radical, y para las organizaciones que buscan mayor competitividad futura y éxito sostenido es inútil resistirse. La mayoría de las organizaciones deberán adoptar prácticas de cumplimiento ágiles y continuas en lo que respecta a sus principales sistemas, a fin de garantizar que los Directores de Seguridad de la Información (CISO) logren superar los grandes desafíos que se presentan. Exploramos los desafíos y las oportunidades, y recomendamos siete formas para que los CISO se reinventen a sí mismos y a sus organizaciones cibernéticas en la era del cumplimiento continuo. 

El cincuenta y uno por ciento de los ejecutivos de seguridad informan que tienen poca o ninguna participación en la agenda de transformación digital.

Preguntamos a los encuestados cómo la seguridad cibernética podría permitir el crecimiento.

Desafíos y oportunidades para los CISO

 

Para el CISO que se mueve en un entorno empresarial en transformación, abordar la necesidad de contar con métodos ágiles y de mantener una seguridad cibernética adecuada resulta desafiante. A continuación enumeramos los seis principales factores desencadenantes y desafíos con los que las organizaciones se enfrentan en la actualidad.

 

1. El modelo de cumplimiento ágil exige que los líderes de seguridad cibernética participen de forma más continua.

La seguridad cibernética suele predefinir puntos de contacto dentro de la planificación detallada y el cronograma de trabajo de un equipo. Éstos suelen fijarse durante la definición inicial de la arquitectura del software y la validación; y los últimos puntos de control se fijan en las pruebas de cierre y la aceptación de la solución. Hoy en día, la seguridad moderna de las aplicaciones reemplaza las interacciones típicamente predefinidas en el ciclo de vida del software, con interacciones más frecuentes que aumentan el diálogo, la colaboración y la eficiencia. ¿Cómo se puede reorganizar la seguridad cibernética para respaldar dicha interacción, ya sea mediante la asignación de personal, la automatización, o las soluciones metodológicas inteligentes?

 

2. El área cibernética necesita tener un mayor entendimiento de las dinámicas y técnicas modernas de desarrollo de software para ser más ágil

Hoy en día, no es raro ver cómo los departamentos cibernéticos contratan a desarrolladores de software que poseen una sólida comprensión de la dinámica moderna y los capacitan en seguridad cibernética. Algunas organizaciones digitales nativas están yendo aún más lejos, al contratar un CISO con formación en desarrollo o al designar como CISO a algún miembro de su propio equipo de desarrollo. ¿Cómo logran las organizaciones incorporar este desarrollo moderno al equipo de seguridad cibernética?

 

3. El desarrollo de software debe ser amigable con la seguridad cibernética para que ésta florezca.

Los equipos de desarrollo de software deben incorporar la seguridad cibernética en toda su estructura organizacional y en las iniciativas estratégicas. Es igualmente importante que los equipos de desarrollo y los profesionales de seguridad cibernética resuelvan sus diferencias. ¿Cómo pueden las organizaciones asegurarse de que los silos serán desarmados y de que existirá colaboración en todas las actividades que se realicen?

 

4.  Si no se diseñan adecuadamente, los equipos de desarrollo autónomo y el alto nivel de automatización pueden plantear un desafío en cuanto a la segregación de funciones

En un proceso de paso por etapas, en silos, en el que cada etapa de desarrollo de software está separada por una "puerta", que requiere aprobaciones antes de que el desarrollo avance a la siguiente etapa, la segregación de funciones (SOD) es fácil: los que desarrollan no certifican si el software está listo para producción, y los que implementan no desarrollan.  Tal separación estricta de funciones a menudo genera conflictos de prioridades y de agenda entre los equipos de desarrollo aislados y los profesionales de seguridad.

 

5. Un cumplimiento continuo y rápido puede requerir concesiones

Una capacidad clave para generar software con éxito es reducir el tamaño del lote para que las nuevas versiones puedan salir con mayor frecuencia.  Un desafío para las organizaciones es el nivel de riesgo de producción aceptable que permita lograr un lanzamiento más rápido. Hacerlo puede parecer poco riesgoso, desde una perspectiva tradicional, pero plantea un desafío tanto técnico como organizacional para la organización cibernética moderna.

 

6. El mayor uso de la nube plantea un objetivo de seguridad móvil

Una organización DevOps pura tenderá a hacer un uso intensivo de las capacidades de la nube, creando un "objetivo móvil" en términos de infraestructura de seguridad. A medida que las aplicaciones aumentan o disminuyen para satisfacer la demanda de los usuarios, la vida útil de la infraestructura puede ser significativamente más corta que la de los hosts tradicionales en un centro de datos. El desafío es que el costo puede ser más alto que el de los hosts virtuales tradicionales, lo que genera un tipo diferente de riesgo organizacional. 

Las capacidades de seguridad cibernética deben estar a la par con la agilidad de la organización digital, deben poder adaptarse para satisfacer las necesidades cambiantes de las partes de interés, y deben poder permitir la transformación digital.

Reinventar al CISO

 

Presentamos siete recomendaciones para que los CISO se reinventen a sí mismos y a sus organizaciones cibernéticas en la era del cumplimiento continuo.

 

1. Flujo: la necesidad de una participación continua frente a puntos de control discretos

Con la aceleración de las prácticas de desarrollo, los equipos de seguridad deben adoptar estrategias que estén a la altura de la creciente producción.  La seguridad debe proporcionar flexibilidad que permita a los desarrolladores enfocarse en la entrega del producto, sin comprometer el riesgo organizacional aceptable.

 

2.  Concientización sobre desarrollo seguro: los equipos de construcción necesitan contar con habilidades de seguridad

Si bien las organizaciones pueden implementar la cantidad de herramientas o procesos nuevos que deseen, un sistema de gestión de cambios sólido es crucial para garantizar una adopción exitosa.

 

3.  Mentalidad de cumplimiento: educar a los equipos de seguridad cibernética sobre principios ágiles 

Así como es crucial promover la importancia de la seguridad en toda la organización, el equipo de seguridad también debe comprender el impacto total de un enfoque ágil. La función de seguridad debe integrarse como un socio vital para la organización y sus diversos equipos.

 

4.  Automatización cibernética - la necesidad de automatizar el control

Para acelerar la seguridad a medida que surgen métodos ágiles, se debe invertir en automatización estratégica a lo largo del ciclo de vida de la entrega del software (SDLC), a fin de garantizar la longevidad de los programas de seguridad dentro de la organización.

 

5.  Telemetría cibernética: la necesidad de una visión de seguridad cibernética a lo largo del ciclo de vida del software

El negocio digital moderno está impulsado por los datos. Los sistemas de seguridad dentro de la organización tienen la oportunidad de utilizar herramientas apropiadas de telemetría y retroalimentación siempre que sea posible. El uso adecuado permite que la seguridad incorpore la reducción de riesgos en un informe tangible, al mismo tiempo que examina la efectividad de varios controles de seguridad en toda la organización.

 

6.  Administración de la deuda cibernética: manejo responsable de la concesiones en cuanto a seguridad cibernética.

Las áreas de TI y desarrollo deben administrar la deuda técnica, que es el resultado de elegir una solución de implementación rápida, más costosa a largo plazo, en lugar de elegir la solución sostenible correcta, a pesar de que pudiera resultar una inversión más costosa desde el principio. Elegir una solución (o funciones técnicas) limitada pero más rápida, en lugar de una solución mejorada implica más tiempo y un mayor costo. Los equipos de seguridad también deben administrar la "deuda cibernética" que se puede acumular en una organización ágil.

 

7.  Visión ampliada - asegurar una infraestructura en expansión

Al igual que la seguridad debe adaptarse a la velocidad de entrega del producto, también debe hacerlo al mayor alcance de las tecnologías utilizadas en la entrega más rápida. Los contenedores, los hosts en la nube, las máquinas virtuales, todos traen consigo su propio conjunto de consideraciones de seguridad que parecen aumentar la carga de trabajo para el área de seguridad. Asegurar la infraestructura en expansión es crucial.

El camino por recorrer

 

A medida que los CISO se preparan para transitar este camino, los ejecutivos de seguridad cibernética deben reflexionar sobre los siguientes interrogantes:

  •  ¿Mi equipo cuenta con las habilidades adecuadas para promover y sostener una cultura más innovadora, experimental y de colaboración?
  • ¿Mi estrategia futura promueve la mayor colaboración en cada paso, de manera tal de garantizar que los objetivos y las capacidades que van surgiendo en toda la organización estén alineados?
  • ¿Cuál es nuestro entendimiento actual de los modelos operativos ágiles y de los métodos de desarrollo?
  • ¿Estoy teniendo conversaciones con colegas (CTO, CIO) sobre metodologías más ágiles y sobre qué tan bien alineados están los KPI y los objetivos de los distintos departamentos?
  • ¿Estoy teniendo conversaciones con los líderes empresariales sobre el papel de la seguridad cibernética en la innovación? 

 

Download the full report (PDF 1.6 MB) - The seven ways of the agile CISO