Andrey Popov - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Profesionales de seguridad deben ayudar a crear seguridad impulsada por negocios, dice CTO de RSA

La incapacidad de establecer conexiones entre los detalles de seguridad y las métricas de negocios es uno de los mayores desafíos que enfrentan la mayoría de las empresas, según el director de tecnología de RSA, Zulfikar Ramzan.

Los profesionales de seguridad de la información (infosec) deben establecer conexiones entre los detalles de seguridad y los objetivos de negocios, dijo Zulfikar Ramzan, director de tecnología de RSA.

"Yo llamo a este concepto seguridad impulsada por el negocio", dijo a la sesión de apertura de la Conferencia RSA 2017 en San Francisco.

Utilizando la analogía de un guijarro creando ondulaciones que tienen efectos de largo alcance, él dijo que cada profesional de seguridad de la información tiene importantes ondulaciones por crear.

"Ustedes pueden ser los líderes de la seguridad impulsada ​​por el negocio que sus organizaciones necesitan en un momento en que el caos constantemente supera las expectativas y vuelve a dibujar límites", dijo.

"En la teoría del caos, el conocido efecto mariposa nos dice que los pequeños cambios localizados pueden tener dramáticos impactos aguas abajo en los sistemas complejos interconectados".

Ramzan dijo que no se sabe si los ataques cibernéticos contra el Comité Nacional Democrático (DNC) cambiaron el curso de las elecciones presidenciales de Estados Unidos, pero definitivamente cambiaron el discurso que siguió.

Esos ataques, dijo, se convirtieron en noticias de primera plana e iniciaron una ola que finalmente sacudió los cimientos de la democracia estadounidense.

"Demuestra que nuestro problema no se limita a los ataques cibernéticos iniciales que enfrentamos, sino a la larga cola de caos que crean".

Ramzan dijo que la innovación invita a la explotación, y recordó a la audiencia de profesionales de infosec que, en realidad, están luchando contra el ingenio humano, que dijo era "algo poderoso".

Pero el reto es que los negocios deben adoptar la innovación para tener éxito en el mundo digital de hoy. "Como profesionales de la seguridad, su trabajo es navegar por el caos resultante", dijo.

Sin embargo, Ramzan dijo que creía que el éxito radica en adoptar una estrategia de seguridad dirigida por los negocios, porque la seguridad no es solo un problema tecnológico.

"La seguridad es un problema empresarial y la incapacidad de establecer conexiones entre los detalles de seguridad y las métricas de negocios es lo que yo llamo ‘la brecha del dolor’", dijo.

Ramzan dijo que a los ejecutivos corporativos no les importa si un incidente involucró una inyección de SQL o un scripting entre sitios, pero quieren saber las implicaciones para el negocio.

"Defender una empresa es realmente una empresa conjunta entre negocios y seguridad", dijo, desafiando a cada profesional de seguridad a crear una onda para ayudar a construir una estrategia de seguridad cibernética impulsada por los negocios.

'Dome el caos' para reducir el riesgo

Según Ramzan, esto se puede lograr usando tres acercamientos. En primer lugar, dijo, tratar el riesgo como una ciencia y no como un arte oscuro.

"Utilice el análisis de escenarios. Piense las cosas hasta el final. Luego vuelva al principio y pregúntese, '¿y si?'. Cada organización debe usar una metodología consistente y rigurosa para razonar sobre sus riesgos", dijo.

Segundo, Ramzan recomendó que las organizaciones simplifiquen lo que controlan, citando un ejemplo de una organización que cuenta con 84 proveedores de seguridad.

"¿Cómo maneja tantos proveedores? ¿Cómo justifica a su junta y a su suite ejecutiva el retorno de la inversión de cada uno de estos proveedores?”.

“No puede. Consolide sus proveedores. No adopte una ‘política de no dejar proveedores detrás’, en lugar de doblar los proveedores que trabajan bien y abandonar al resto", dijo.

Ramzan dijo que es importante no trazar líneas entre la exclusión de seguridad, la inclusión de seguridad y la gestión de riesgos del negocio, sino, en lugar de eso, dibujar conexiones.

"Cuando estas tecnologías se benefician del contexto empresarial entre sí, pueden priorizar los incidentes que en última instancia importan más", dijo.

Según Ramzan, las organizaciones pueden "domar el caos" consolidando e integrando a los proveedores de seguridad.

En tercer lugar, dijo que las organizaciones deben planear para el caos que no pueden controlar al tener un plan de respuesta a incidentes que asegura la disponibilidad de los recursos necesarios, presupuesto flexible y colaboración de todas las partes pertinentes de la organización.

"Solo use los recursos disponibles, porque un plan de respuesta a incidentes no es una lista de deseos. Suena obvio, y sin embargo es un error común. No ponga extintores vacíos en cada pasillo”.

"Un plan de respuesta necesita presupuesto porque habrá costos inesperados. De hecho, un plan de respuesta a incidentes sin autoridad presupuestaria es un cuento de hadas”.

"Los departamentos de TI, finanzas, legal, marketing y otros desempeñan papeles críticos durante un incidente, y deben trabajar juntos", dijo.

Aunque estos enfoques están dirigidos a "domesticar" el caos, Ramzan dijo, al mismo tiempo, el caos tiene la capacidad de "crear momentos increíbles de verdad" y forzar el progreso, lo cual puede ser "doloroso".

Ramzan dijo que es importante para los profesionales de seguridad "caminar a través del miedo, abrazar la incertidumbre y tomar decisiones difíciles", porque la naturaleza humana nos impulsa a encontrar orden en el caos.

"En las profundidades del caos hay oportunidades asombrosas de adaptarse, aprender y crecer, pero para encontrarlas no puede solo mirar dentro. En cambio, debemos recurrir a los demás para obtener claridad, consejo e inspiración”.

"Esa es la razón por la que se creó esta conferencia: para fomentar conexiones que fortalezcan nuestras capacidades para enfrentar los desafíos complejos de ciberseguridad en el horizonte", dijo.

Crear ondulaciones

Ramzan desafió a los profesionales de seguridad a plantearse algunas preguntas difíciles: si creen en hacer el mundo más seguro, en la colaboración entre sectores o en el poder de la diversidad.

"¿Podemos abordar los desafíos complejos de ciberseguridad en el horizonte y la crisis de personal masiva que afronta nuestra industria y de la que está plagada, si seguimos alienando a más de la mitad de la población por género, raza y cultura? No", dijo.

"Este año, hemos celebrado nuestra sesión inaugural de seguridad cibernética y diversidad en la Conferencia RSA, y les pido que se unan a esa conversación", añadió.

Ramzan también desafió a su audiencia a liderar con el ejemplo para inspirar a las generaciones futuras. "La mentoría puede crear ondulaciones perpetuas", dijo, citando la orientación que recibió como estudiante de doctorado del cofundador de RSA, Ronald Rivest, como ejemplo.

"Después de coinventar el algoritmo de RSA hace 40 años, Ron Rivest siguió dando tutorías, siguió innovando y siguió enseñando", dijo Ramzan.

Agradeció a Rivest por darle la oportunidad de "crear olas" y reiteró su desafío a su audiencia, pidiéndoles que pensaran en las ondulaciones que cada uno de ellos podría crear.

Dell dice que la seguridad es una ‘cuestión de negocios de primer orden’

A Ramzan se le unió luego en el escenario Michael Dell, fundador y CEO de Dell Technologies, que adquirió EMC y su división de seguridad RSA en septiembre de 2016.

En el momento de la adquisición, RSA dijo que mantendría su autonomía, aunque esperaba beneficiarse de ser parte de la compañía de tecnología de control privado más grande del mundo.

Michael Dell dijo que la seguridad es un problema importante para las empresas. "Cuando hablo con directores generales y juntas directivas, la seguridad es un tema de gran preocupación. Están preocupados por la complejidad de su postura de seguridad y cómo pueden manejar los riesgos del negocio", dijo.

Cuando se le preguntó cómo ve el cambio de TI y cómo eso afecta la seguridad de la información, Michael Dell dijo que TI se está convirtiendo en "tecnología de negocios". Al mismo tiempo, agregó, el costo de hacer algo "inteligente" se aproxima a cero y el número de nodos conectados está explotando a cientos de miles de millones.

"La cantidad de datos creados en torno a eso –y esta transformación digital con toda la informática superpuesta a esos datos con inteligencia artificial, aprendizaje profundo y aprendizaje automático– representa una tremenda oportunidad, pero al mismo tiempo tiene que hacerse con seguridad", dijo.

A pesar de las preocupaciones de seguridad, Michael Dell dijo que también hay un poco de optimismo entre los líderes empresariales para 2017.

"En la encuesta anual del Foro Económico Mundial, por primera vez, la economía global no fue una de las cinco principales preocupaciones. Así que hay algunas buenas noticias allí para los clientes y nuestra industria”.

"Hay una verdadera sed de transformación digital y la inversión la está siguiendo, y eso presenta la oportunidad de cambiar todos los sectores de la sociedad tremendamente. Pero tiene que hacerse con seguridad y sentimos que estamos permitiendo esta próxima ola de progreso humano", dijo.

Próximos pasos

Más sobre RSAC17:

Ciberdefensa nos involucra a todos: Microsoft en la RSAC

Ante amenaza del ransomware, la defensa necesita actualizarse

Panel de RSA cubre tendencias de criptografía, elecciones y más

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close