Reduce y controla los riesgos IT

ServicieNow desvela cómo la gestión integrada permite minimizar las amenazas, optimizar el cumplimiento, garantizar la continuidad de negocio y alcanzar la seguridad por diseño.

La seguridad es un reto para empresas de cualquier tamaño y sector de actividad. Y uno de los desafíos más importantes a los que se están enfrentando los responsables de ciberseguridad consiste en trasladar a la dirección la importancia de gestionar los riesgos latentes que ponen en peligro al negocio, además de conectar la tecnología con las operaciones.

La digitalización galopante de los últimos años ha ido añadiendo un extra de complejidad a la infraestructura tecnológica, con más procesos críticos en la cadena de valor, trabajadores que se conectan a la red corporativa desde el hogar, la desaparición del perímetro o el surgimiento del Shadow IT. En este escenario, las amenazas se multiplican con rapidez. Para complicar aún más las cosas, la pandemia y la guerra han intensificado los ataques cibernéticos, obligando a compañías de todo el mundo a repensar sus procesos.

La aplicación de medidas para conseguir una mayor visibilidad de la información crítica o para garantizar el cumplimiento normativo serán aspectos clave de ahora en adelante para extender un enfoque de seguridad por diseño en todos los procesos organizativos. Para analizar el panorama actual y avanzar en la mitigación de vulnerabilidades, NetMedia ha celebrado el evento virtual “Reduce y controla los riesgos IT” con expertos de ServiceNow y Ernst & Young.

Los paradigmas de la gestión tradicional de los ciberriesgos han quedado obsoletos al ir muy ligados a procesos manuales que no permiten seguir el ritmo de los acontecimientos y reaccionar con la prontitud necesaria a las distintas amenazas que pueden ir surgiendo. Sólo una pequeña parte de los CISOs reconoce tener bajo control los problemas derivados de la aceleración digital.

Este webinar adentra a los asistentes en la gestión de riesgos moderna, mostrando cuáles son las estrategias más adecuadas para medir, evaluar y solucionar fallos, algo que se consigue a través de la evaluación y la priorización de estos riesgos. También demuestra el valor que tienen las soluciones de gestión integrada para una monitorización continua y automatizada de los recursos empresariales.

Esther Abellán Galdós, Advisory Solution Consultant del sector financiero y los seguros en ServiceNow, y Jordi Bertrán, Cybersecurity Partner para servicios financieros en EY, son los protagonistas de este evento centrado en la seguridad y las posibilidades de minimizar amenazas, optimizar el cumplimiento, garantizar la continuidad de negocio y alcanzar la seguridad por diseño.

El negocio como prioridad

El gran problema de base al que se enfrentan las empresas es que dependen de silos. “Cada silo trabaja con su propia herramienta y no hay conexión entre ellos”, observa Esther Abellán, consultora de soluciones en ServiceNow, por lo que las comunicaciones entre departamentos terminan siendo “tediosas”. Teniendo en cuenta que la colaboración entre el área de TI y el equipo de seguridad es básica para un correcto funcionamiento, esto tiene que cambiar.

Abellán recomienda a los responsables de tecnología y ciberseguridad que pongan en práctica una “definición temprana de la seguridad”. Esto es, en el mismo momento en el que diseñan sobre el papel sus aplicaciones, teniendo en cuenta los peligros a los que está sometido el negocio. La consultora también valora el hecho de que las soluciones tecnológicas trabajen “de forma coordinada” y con un “proceso transversal”, con ayuda de “un buen compañero que te ayude a la implantación” y conozca el negocio de la seguridad.

ServiceNow propone digitalizar los flujos de trabajo de las empresas y favorecer el intercambio de información a través de la automatización y el uso de funcionalidades como la inteligencia artificial. Y, como paso previo para conseguir una correcta modernización, hay que detectar si existen ineficiencias. “El riesgo en primer lugar está en el negocio”, remarca Abellán, que recomienda darle prioridad a esta parte para evitar consecuencias económicas o de pérdida de prestigio. A partir de ahí será posible mejorar las herramientas, “pero siempre con el objetivo de proteger y dar continuidad a nuestro negocio”.

El negocio”, insiste esta experta, “es el que debe marcar el camino a seguir. No la infraestructura o el servidor que se ha caído, sino el servicio del negocio que se está viendo afectado” por esta problemática. “No sólo es el departamento de seguridad el que debe evaluar ese riesgo”, explica. Se trata de “una labor conjunta entre negocio, seguridad, TI. Es decir, los CISOs tiene que trabajar con negocio” y también con “la parte más tradicional del mundo TI” para acortar plazos y volverse más efectivos.

La visibilidad necesaria para controlar el impacto de cualquier vulnerabilidad, algo que se consigue trazando un árbol de relaciones entre “infraestructura, aplicaciones y negocio”, así como la priorización de flujos de trabajo e incidentes o la automatización de la remediación, sin olvidar las posibilidades de integración con otras herramientas, son pilares fundamentales según Abellán para tener éxito en la gestión de riesgos. Esto ha de basarse, además, en información en tiempo real.

“La visión de ServiceNow es una visión 360”, describe Esther Abellán, que abarca la “gestión de vulnerabilidades”, la “gestión de incidentes de seguridad” y la inteligencia de amenazas o “threat intelligence”. Pero también “la gestión de activos” y el arco de relaciones que se genera entre toda la infraestructura, incluyendo “las aplicaciones que soporta el negocio”.

El talento y el tiempo, grandes retos

Jordi Bertrán, socio de EY en el área de consultoría para el sector financiero, detecta cambios notables en el mercado de la ciberseguridad en los últimos años. Antes el tema “no era relevante ni para los comités de dirección, ni en la sociedad en general”; ahora, se ha colado en “el top de riesgos” de las organizaciones. “Todos somos conscientes de que es una amenaza real”, señala Bertrán y de que un ataque “es algo que nos va a suceder antes o después”.

La causa del cambio hacia una mayor concienciación es la propia transformación tecnológica. “Hemos pasado a ser una sociedad digital”, explica este especialista. Fenómenos como el teletrabajo y el smart working están modificando la filosofía empresarial “porque ha desaparecido el perímetro”, los delincuentes se profesionalizan para hacer daño, las vulnerabilidades aparecen de repente y “necesitamos que la ciberseguridad nos dé unas ciertas garantías de que podemos confiar” en las innovaciones.

Uno de los grandes desafíos actualmente es “la parte de regulación”, que se complica como consecuencia de ese incremento de la dependencia tecnológica y de las amenazas. A esto hay que sumarle el gran reto de “la escasez de talento” en ciberseguridad. Hay más oferta que demanda y, a mayores, “muchas compañías globales están poniendo centros de ciberseguridad en España”, lo que redunda en esa escasez. Completando la tormenta perfecta que traza Jordi Bertrán, aparece el great resignation: “la gente está reflexionando más” y “valorando otros estilos de vida”, lo cual dificulta contar con personas preparadas.

Otro reto adicional “es el tiempo”, sigue Bertrán, que lo vincula a la velocidad a la que suceden las cosas y que complica la gestión de parches y la toma de acciones. “La evolución es muy rápida, las amenazas van cambiando de forma dinámica”, relata el representante de EY, que recomienda integrar funciones como threat intelligence o tecnología de inteligencia artificial en los distintos procesos de la organización para “mejorar la eficiencia” y “reducir las dependencias de personal”.

Para acometer la gestión de riesgos, lo primero que hay que hacer es “entender el contexto”, cuenta este experto. Otro paso clave es la elaboración de un inventario de activos porque, “si no sé lo que tengo y dónde está, ¿cómo lo voy a proteger?”, pregunta Bertrán. Aprender a “presentar los riesgos a la dirección” y a “medirlos de forma dinámica” lo más rápido posible se antoja igual de importante para configurar una buena estrategia.

El CISO tiene que ser un habilitador de la transformación”, resuelve uno de los participantes del evento de NetMedia. No puede ser un stopper. Debe pensar en alternativas para innovar “de forma segura sin poner en riesgo la continuidad de la organización”. Esto pasa por integrarse con el negocio, fomentar la comunicación y dejar atrás la visión de la seguridad como un gasto para comenzar a verla como “una inversión” o “un activo dentro de la organización”.