ÐндÑей ЯланÑкий -

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Involucre a su equipo de seguridad en el proceso de toma de decisiones

Es hora de que las empresas incluyan equipos de seguridad en la planificación de proyectos, incluso cuando no están relacionados con la seguridad cibernética, porque su experiencia proporciona información diversa que de otro modo podría perderse.

La mayoría de las veces, las empresas ven la seguridad como el guardián técnico para ayudar a cumplir con las obligaciones de cumplimiento, proteger los datos y las aplicaciones, e inspirar la confianza del cliente. Los equipos de seguridad regularmente terminan aislados de los equipos comerciales y técnicos, o son añadidos en algún momento del camino. En la mayoría de los casos, la falta de contacto y visibilidad no indica una intención de "salirse con la suya", sino que refleja que la seguridad no es parte del ciclo de vida del producto o la planificación empresarial.

Los equipos de seguridad brindan diversidad en la toma de decisiones

Las organizaciones, desde sus equipos hasta sus juntas, se esfuerzan por lograr la diversidad, que se ha demostrado que genera una mayor variedad de pensamiento. Lo mismo se aplica cuando una variedad de disciplinas reúnen nuevas perspectivas a lo largo de un proceso. En el caso de los equipos de seguridad, la diversidad que buscamos introducir en nuestra organización es su amplitud de perspectivas en los productos, los clientes o los equipos internos.

En muchos casos, los profesionales de seguridad pueden proporcionar ideas y perspectivas únicas que marcan una diferencia importante desde el principio en cualquier proyecto. La mayoría de las veces, estos puntos de vista se pierden porque la seguridad se involucra demasiado tarde en el proceso o se deja para revisar los resultados y sacar el mejor partido de la situación.

Como CIOs y CTOs, nuestros trabajos a menudo son avanzar lo más posible del negocio para anticipar las necesidades y permitir la generación de ingresos. Nos adelantamos al tren de carga que es el negocio para establecer la vía lo más rápido posible y nos aseguramos de que la vía se construya de manera confiable para evitar descarrilamientos. Sabemos lo que funciona y tenemos grandes equipos que pueden hacer el trabajo de manera conveniente para satisfacer las necesidades comerciales.

Moverse rápidamente generalmente significa tomar decisiones durante el juego en el camino, en pequeños grupos, que luego incurren en algún tipo de deuda, ya sea técnica, comercial o de riesgo. La parte importante sobre el proceso rápido de toma de decisiones es maximizar las decisiones intencionales (es decir, considerar tantos ángulos y perspectivas como sea posible) y minimizar los supuestos o puntos ciegos. Involucrar a los equipos de seguridad con su amplia exposición a la organización ayuda a arrojar luz sobre esos posibles puntos ciegos rápidamente para ayudar en la toma de decisiones rápida.

Aquí es donde la perspectiva única y amplia de los equipos de seguridad es útil para ayudar a generar ideas que de otro modo podrían perderse. Hay muchos motivos por los que los equipos de seguridad pueden ofrecer consideraciones que los equipos de tecnología por sí solos no pueden ofrecer. En la mayoría de los casos, los equipos de seguridad:

  1. Trabajan en toda la organización: La seguridad es uno de los pocos grupos en una organización que necesita trabajar con todas las funciones por la duración de un proyecto. Si bien los asuntos legales o financieros pueden tener puntos de contacto ocasionales en toda la organización, generalmente operan a un nivel superior para facilitar un solo objetivo (por ejemplo, FP&A o negociaciones de contratos). Los equipos de seguridad trabajan en toda la organización a un nivel más profundo porque deben encontrar formas de habilitar otros departamentos y disciplinas de forma segura; es difícil asegurar algo si no se comprende bien el cómo y el porqué del trabajo. Esta comprensión profunda significa que tienen una visión integral de la organización en su conjunto.
  2. Comprenden al cliente: La misión de un equipo de seguridad es, a menudo, ayudar a garantizar que el cliente se sienta bien con el producto o servicio que está comprando a la organización. El viaje hacia la confianza implica comprender las preocupaciones de los clientes, cómo se utilizan los productos y la información, y comunicarse de manera efectiva para abordar las preocupaciones. Si bien los equipos técnicos pueden tener especialistas en UX, solo pueden estar involucrados al inicio del producto, mientras que los equipos de seguridad a menudo interactúan con los clientes una vez que el producto se implementa, lo que mantiene el pulso en el sentimiento y las necesidades del cliente.
  3. Tienen un conocimiento profundo del producto: Conocer los productos y servicios, y los objetivos que pretenden alcanzar, es esencial para ayudar a informar la toma de decisiones sobre la dirección y el riesgo del producto. Para medir el riesgo de manera efectiva y proporcionar recomendaciones viables para abordar el riesgo, los equipos de seguridad deben ser muy conscientes de cómo funcionan los productos y servicios de la organización. Por ejemplo, comprender el tipo de usuarios que existen para una aplicación podría informar cómo se implementa la autenticación multifactor para minimizar el impacto en el cliente (o tal vez incluso hacer que su experiencia de autenticación sea más fluida).
  4. Comprenden plenamente las obligaciones regulatorias: Parte del papel de la seguridad es mantener el cumplimiento de las regulaciones de privacidad y seguridad de los organismos gubernamentales y reguladores. El trabajo del equipo de seguridad es interpretar el panorama cambiante de los requisitos en enfoques que puedan implementarse. Esta experiencia proviene de trabajar en toda la organización con varios grupos y de tener una comprensión completa de los componentes técnicos que coloca al equipo de seguridad en una posición distintiva para traducir las influencias externas en recomendaciones implementables.

Formas de integrar mejor a su equipo de seguridad

Como puede ver, es probable que haya pocos equipos fuera de la seguridad con el mismo rango de perspectivas. Hay muchas claves para el éxito, pero sin duda una es la toma de decisiones intencional teniendo en cuenta muchas perspectivas y aportes. Al aprovechar la concentración de experiencia de los equipos de seguridad, el proceso de toma de decisiones informadas es significativamente más corto.

Algunas formas de integrar las ideas y perspectivas del equipo de seguridad es integrarlas en el ciclo de vida del desarrollo del producto y en las conversaciones estratégicas generales. Aunque el líder de seguridad puede no ser parte del equipo de seguridad, tener a esa persona sentada como una mosca en la pared en las reuniones de liderazgo es una forma fácil de cerrar el ciclo de retroalimentación rápidamente. Muchas organizaciones no incluyen al líder de seguridad en las discusiones de estrategia para ahorrarles el problema de más reuniones. Pero el resultado final es un proceso de recopilación de información posterior por parte de la seguridad que luego ayuda a informar al equipo de liderazgo sobre obstáculos u oportunidades en los que quizás no hayan pensado. Otra forma de integrar al equipo de seguridad es formar un consejo de lluvia de ideas que involucre la seguridad y los lleve a las fases de ideación del desarrollo del producto.

La mayoría de las organizaciones aportan seguridad al redil para que puedan asegurarse de que no se retrasen más adelante en el proceso, y esa es una buena razón para involucrar la seguridad desde el principio. Sin embargo, los equipos de seguridad también tienen ideas que pueden ayudar a generar ingresos, identificar nuevas características o posibles dificultades no relacionadas con la seguridad que no se descubrieron anteriormente.

Al final, las conversaciones y evaluaciones están todas al servicio de tomar decisiones intencionales sobre si seguir un camino o no. La mayoría de las veces, nos encontramos en una encrucijada y seleccionamos un camino sin una consideración total en lugar de pasar por un proceso de toma de decisiones intencional. Los equipos de seguridad pueden ayudar a los equipos de negocios y tecnología a tomar decisiones intencionales en una variedad de dominios.

Sobre el autor. Nick Vigier es asesor de CxO en Coalfire. Vigier es un líder en tecnología y seguridad centrado en la innovación para impulsar los resultados comerciales. En sus 15 años de liderazgo en seguridad, se ha centrado en crear equipos de alto rendimiento para garantizar que la seguridad sea un motor de negocios en lugar de un centro de costos. En su puesto actual en Coalfire, toma sus conocimientos como CISO y CIO en una variedad de industrias para ayudar a los líderes a considerar la seguridad como un facilitador comercial y no solo como una póliza de seguro. A Nick le apasiona mirar los problemas intratables de nuevas maneras para encontrar soluciones que beneficien a todos al tiempo que aumentan la confianza y la eficiencia.

Investigue más sobre Estrategias y tips de gestión

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close