Cybersecurity and digital privacy

La ciberseguridad debe formar parte del diseño de su producto desde el principio

Astraed

5 min read

Los enfoques tradicionales de la ciberseguridad están en gran medida alejados de la innovación. En lugar de incorporar la seguridad intrínsecamente a los nuevos productos, servicios y actividades empresariales, el enfoque convencional consiste en aplicar de forma reactiva los controles de ciberseguridad de conformidad con las políticas y normas de seguridad corporativas. Bajo la presión de «actuar rápido y romper cosas», es comprensible que los equipos de desarrollo a veces omitan por completo la seguridad en las versiones iniciales de los productos. El problema con este enfoque es que desplegar cibercontroles sin entender, en detalle, cómo funciona una actividad empresarial en particular la deja invariablemente desprotegida y, al mismo tiempo, interfiere con su funcionamiento eficiente. La ciberseguridad debe ir más allá de sus responsabilidades tradicionales de proteger los ordenadores de las empresas para convertirse en una parte integral de la innovación empresarial dominante, compartiendo la responsabilidad de proteger y crear valor empresarial. El primer paso es incorporar la ciberseguridad en el diseño inicial de los productos, servicios y otros proyectos impulsados por la tecnología.

••• Las tecnologías digitales están transformando de manera fundamental la forma en que funcionan las industrias y proporcionan valor a los clientes. Para seguir el ritmo de los poderes disruptivos de la transformación digital, las empresas deben innovar rápidamente para competir. Sin embargo, estas innovaciones introducen nuevos ciberriesgos, ya que las empresas adoptan nuevas tecnologías o aprovechan las existentes de formas novedosas, lo que crea nuevas vías para los ciberataques. Con la creciente importancia de la innovación digital en las operaciones, los productos y los servicios empresariales, los posibles riesgos y consecuencias de un ciberataque exitoso siguen aumentando, lo que hace que haya más en juego que nunca. Para tener éxito, las empresas deben asegurarse de que sus productos, servicios y operaciones empresariales resisten de forma proactiva a los ciberataques cambiando el papel de la ciberseguridad en la innovación digital. ## **Resiliencia proactiva** Al construir una carretera de montaña, los constructores no se limitan a decidir la ubicación de la carretera y esperar a que los coches se caigan por el acantilado antes de aplicar medidas de seguridad, como barandas. En cambio, analizan la naturaleza de la carretera y los riesgos asociados y adoptan de forma proactiva las medidas de protección necesarias. Del mismo modo, en las transformaciones digitales que tienen éxito, como el comercio electrónico, los bancos y los minoristas no implementan un medio para intercambiar información confidencial o realizar transacciones, solo deciden implementar medidas de protección después de que se produzca un hackeo. En cambio, reconocen los posibles riesgos con antelación e implementan de forma proactiva controles de ciberseguridad como base para protegerse contra ellos. Al diseñar cualquier producto o servicio nuevo, es fundamental identificar las condiciones necesarias para su éxito, seguridad y escalabilidad. En el contexto de una transacción comercial típica, estas condiciones pueden implicar la verificación de la identidad del comprador y del vendedor, la protección de la información confidencial y la presentación del comprobante de pago. Es posible establecer estos objetivos con antelación y anticipar cualquier factor que pueda impedir su cumplimiento. Al articular claramente estos objetivos para una nueva actividad empresarial, se pueden identificar y desplegar las tecnologías de ciberseguridad necesarias para alcanzar estos objetivos y gestionar de manera eficiente los riesgos para ellos. Sin embargo, los enfoques tradicionales de la ciberseguridad están en gran medida alejados de la innovación. En lugar de incorporar la seguridad intrínsecamente a los nuevos productos, servicios y actividades empresariales, el enfoque convencional consiste en aplicar de forma reactiva los controles de ciberseguridad de conformidad con las políticas y normas de seguridad corporativas. Bajo la presión de «actuar rápido y romper cosas», es comprensible que los equipos de desarrollo a veces omitan por completo la seguridad en las versiones iniciales de los productos. El problema con este enfoque es que desplegar cibercontroles sin entender, en detalle, cómo funciona una actividad empresarial en particular la deja invariablemente desprotegida y, al mismo tiempo, interfiere con su funcionamiento eficiente. Básicamente, no puede proteger algo si no sabe cómo funciona. Si bien las normas de ciberseguridad y los procesos de gobierno que garantizan su aplicación ayudan a mantener una buena higiene de ciberseguridad y a salvaguardar las prácticas empresariales heredadas e inmutables, dejan los nuevos productos y servicios inadecuadamente protegidos e interfieren con las exigencias de la transformación digital. Las organizaciones que se están transformando digital se enfrentan a un dilema: o no implementan sus estrategias de transformación digital, que son esenciales para la supervivencia empresarial, o ponen en peligro su seguridad al exponerse a riesgos desconocidos que no pueden gestionar, lo que podría tener consecuencias desastrosas. Para garantizar que los productos, los servicios y las operaciones empresariales resistan de forma proactiva a los ciberataques, es necesario un cambio fundamental en el papel de la ciberseguridad y su relación con la organización. La ciberseguridad debe ir más allá de sus responsabilidades tradicionales de proteger los ordenadores de las empresas para convertirse en una parte integral de la innovación empresarial dominante, compartiendo la responsabilidad de proteger y crear valor empresarial. ## **Integrar la ciberseguridad en el diseño** El primer paso es incorporar la ciberseguridad en el diseño inicial de los productos, servicios y otros proyectos impulsados por la tecnología. Para satisfacer las exigencias del desarrollo de software tradicional con ciclos de lanzamiento regulares, la mayoría de las grandes organizaciones han creado procesos de gobierno formales que obligan a revisar la ciberseguridad en los puntos de control a lo largo del ciclo de vida del desarrollo y en las pruebas de vulnerabilidad una vez finalizado el desarrollo. El problema es que las vulnerabilidades de seguridad descubiertas en estas últimas etapas del ciclo de desarrollo del producto suelen hacer que los proyectos vuelvan a la mesa de dibujo, con el efecto de ralentizar el proceso de desarrollo y correr el riesgo de costosos rediseños para incorporar funciones de seguridad que podrían haberse previsto como parte del diseño inicial. Al integrar la ciberseguridad en la fase de diseño, las organizaciones pueden evitar estas ineficiencias y garantizar la velocidad y la agilidad necesarias para cumplir con las exigencias de la transformación digital. ## **Responsabilidades complementarias** Iniciar el proceso de diseño con la ciberseguridad es un paso crucial, pero también requiere un cambio de mentalidad significativo con respecto a la colaboración entre los equipos de ciberseguridad y diseño. En la práctica, los equipos de productos se centran en crear productos y funciones excelentes y tienen una tendencia comprensible a ver la ciberseguridad como un obstáculo que hay que superar o, en algunos casos, que hay que evitar por completo. Mientras tanto, los equipos de ciberseguridad se centran en gestionar los riesgos generales de los ordenadores empresariales y en evaluar los riesgos asociados al producto final en este contexto. Para incorporar con éxito la ciberseguridad en el diseño de nuevos productos y servicios, tanto los equipos de ciberseguridad como los de diseño deben asumir responsabilidades complementarias. El personal de ciberseguridad debe brindar asesoramiento y apoyo en el diseño y la arquitectura de la seguridad, lo que puede requerir nuevas capacidades y habilidades. Esto exige una cultura de colaboración, una orientación a los servicios y la capacidad de proporcionar asistencia en el diseño de la ciberseguridad, lo que es diferente de simplemente evaluar la conformidad con las normas y prácticas de seguridad. Los equipos de productos, por otro lado, deben articular los requisitos de sus productos y servicios con suficiente detalle como para facilitar la colaboración con el personal de ciberseguridad. La parte más difícil de evaluar la postura de ciberseguridad de los sistemas complejos es determinar cómo funcionan y qué hacen. Una vez entendido eso, determinar el conjunto de controles adecuado pasa a ser sencillo. Al identificar los elementos esenciales necesarios para el éxito de su proyecto y las consecuencias de los posibles fracasos, los equipos de producto y los colegas de ciberseguridad pueden trabajar juntos para aplicar de manera eficiente la tecnología de ciberseguridad y alcanzar los objetivos empresariales de forma segura. Mediante la integración de la ciberseguridad como un elemento esencial de la innovación y el fomento de la responsabilidad compartida para crear valor empresarial, las empresas pueden ir más allá de las evaluaciones de riesgos estándar de sus sistemas informáticos y garantizar de forma proactiva la resiliencia de sus productos, servicios y operaciones empresariales generales contra posibles ciberataques en el panorama en constante cambio de la transformación digital.

Read more