Por: Carlos Andrés Rodríguez, Líder de la práctica de Consultoría de Kyndryl y experto en Ciberseguridad.
De cara al final de año, las empresas hacen sus balances operativos y sus planes para el próximo. En este análisis, un aspecto clave que no se puede obviar es la estrategia de la seguridad de la información.
El panorama de la ciberseguridad puede parecer difícil de sortear para las empresas, con innumerables proveedores que ofrecen soluciones similares. Los líderes empresariales también pueden verse sujetos de la incertidumbre para decidir entre la subcontratación frente a la ciberseguridad interna y las ramificaciones que acompañan a cada elección. Incluso, una vez que se han resuelto estos detalles, hay múltiples factores diferentes que además deben ser considerados en la estrategia de ciberseguridad de una organización.
Cada empresa es única en su infraestructura de TI y tecnología, por eso cada una debe adoptar un enfoque de ciberseguridad personalizado. A pesar de esto, hay cuatro pasos clave muy recomendables para que todas las organizaciones sigan si quieren garantizar una protección de seguridad cibernética efectiva.
1. Vamos a la nube
Según el Cloud Security Report 2022 de ISC2, 39 % de las empresas ya tienen más del 50 % de su operación en la nube y esta cifra crecerá en el 2023 hasta un 70 % aproximadamente. El Camino a la Nube está generando retos como la operación de múltiples proveedores y la falta de personal calificado en ciberseguridad para atender la creciente demanda de aseguramiento de estrategias de migración a nube.
Adicionalmente, según el estudio de Kyndryl “Kyndryl’s Major IT Outage Analysis 2010-2021”, la implementación de estrategias de nube ha reducido las fallas operacionales de un 52% en 2010 a un 9% en el 2021.
Lo anterior demuestra que el camino a la nube es positivo para las organizaciones, pero debe garantizarse un modelo de ciberseguridad eficiente y unos controles efectivos que soporten dicho modelo.
2. Invertir en DevSecOps
Los equipos de seguridad a menudo no tienen suficiente control sobre el ciclo de vida del desarrollo de aplicaciones. Las empresas están comprando capacidades de los hiperescaladores e improvisando aplicaciones con código abierto, pero no están pensando en las costuras entre los widgets y los marcos. Estas organizaciones necesitan un conjunto de políticas que se establecen e implementan como código.
Al aprovechar DevSecOps, las organizaciones pueden garantizar que la seguridad sea incorporada mucho antes en el proceso de desarrollo del ciclo de vida del software y también sea una responsabilidad compartida en toda la estructura de TI. La seguridad debe considerarse una prioridad desde el primer día, desde el C-Suite hasta los desarrolladores que escriben el código.
De hecho, los desarrolladores son clave para mantener la seguridad durante todo el ciclo de vida de la entrega de software. Su enfoque de la seguridad debe ser coherente, lo que significa que debe integrarse en cada línea de código que se escribe. Brindar a los desarrolladores la capacitación pertinente, así como líneas abiertas de comunicación con el equipo de seguridad, son los ingredientes clave necesarios para lograrlo.
3. Prepárese para recuperarse
Las empresas deben comprender cuáles son sus sistemas críticos para el negocio y asumir que serán pirateados. ¿Cuánto tiempo pueden permitirse estar sin sistemas? ¿Y cómo recuperarán los datos y la configuración? Deben pensar dentro del contexto de dónde están sus datos y servicios; de la misma manera, prever cómo recuperarlos, asignando prioridades según corresponda en el proceso.
Aunque la inversión en medidas de prevención sigue siendo esencial, es ingenuo imaginar que esto será 100% efectivo. Ninguna solución de ciberseguridad es perfecta ya que siempre habrá vulnerabilidades. La conversación ha pasado de «¿cómo prevenimos un ataque?» a “¿cómo sobrevivimos?”. Como resultado, sería un completo descuido no implementar también un fuerte proceso de recuperación.
4. Simplificar en el medio
No es raro que las organizaciones, casi sin darse cuenta, adquieran un conjunto de soluciones de ciberseguridad que no funcionan para su negocio como deberían. Esto puede suceder muy fácilmente ya que la nueva tecnología pudo haber sido adoptada apresuradamente de manera reactiva después de una brecha en la seguridad, o como parte de un paquete de tecnología que incluye otras capacidades y que no fuera evaluado por el CISO. Como resultado una organización podría verse frente a una serie de herramientas o una estructura desconectada compuesta por diversas tecnologías que no se conectan entre sí.
Construir una infraestructura de TI más resistente es clave para asegurar la organización en general. Es importante empezar con un enfoque en la integración de herramientas y tecnologías y el resultado general, en lugar de solucionar los problemas caso por caso. La forma más fácil de integrar diferentes tecnologías en una estructura tecnológica es simplificarla. Los CISO necesitan la oportunidad de realizar una «limpieza» exhaustiva de su armario de estructura de tecnología. A lo largo del proceso, deben identificar las capacidades clave de la organización; todo lo que vaya más allá de esto puede desaparecer.
Mantener una postura de seguridad cibernética saludable no es una tarea fácil, ya que los atacantes cibernéticos se vuelven cada vez más sofisticados y elaborados en sus métodos. Sin embargo, de ninguna manera es imposible. Al seguir los principios descritos anteriormente, los profesionales de la ciberseguridad pueden respaldar un enfoque vigilante y ágil en todo momento y establecer las bases para una estrategia coherente para este 2023.