Con muchas empresas embarcadas en su viaje de transformación digital, ahora, tras la pandemia, hay una mayor preocupación por los aspectos de seguridad que afectan a este proceso. Durante la pandemia, muchas se vieron obligadas a acelerar el proceso de pasar a la nube con el objetivo principal de implantar el teletrabajo, y ello sin dejar de tener en cuenta el proyecto en el que están embarcados. Aun así, sacrificada en parte por la urgencia, la seguridad quedó relegada a un plano menor, por lo que no es de extrañar que haya aumentado el número de peligros que se recogen en los inventarios de riesgos.
La evolución del paisaje de las ciberamenazas, y la búsqueda de ventajas competitivas por parte de las empresas con iniciativas basadas en la tecnología digital, han convertido la ciberseguridad en un imperativo empresarial, un elemento facilitador y un factor clave para no perder la confianza de los clientes. Sin embargo, en las empresas en las que esto todavía cuesta reconocer, los CISO pueden tener problemas a la hora de evidenciar los beneficios adicionales que puede aportar una estrategia de TI basada en los principios de la arquitectura Zero Trust, entre los que se incluyen la capacitación de las personas y las políticas organizativas relacionadas con el trabajo híbrido, la transformación digital en seguridad, la mejora de la continuación del negocio en general, la agilidad y la resiliencia, y la garantía de una experiencia de usuario coherente.
Las empresas suelen resistirse a implementar iniciativas de seguridad por miedo a que nuevos controles compliquen más la vida de la organización o afecten a la experiencia del usuario. Sin embargo, las soluciones de confianza cero pueden mejorarlas al tiempo que permiten disponer de los controles clave necesarios para proteger la empresa moderna.
Es responsabilidad de los CISO, saber trasladar y presentar a la alta dirección de sus empresas las numerosas ventajas que un modelo de confianza cero puede suponer para la organización, y hacer que los líderes empresariales se impliquen también en un proceso de cambio tan necesario. Es fundamental que los responsables de todos los departamentos (no solo los de tecnología) entiendan por qué el concepto de confianza cero no tiene que ver solo con la seguridad, sino que es un elemento fundamental e ineludible.
Cómo abordar al director general
A la hora de explicar al CEO de su empresa la confianza cero, es importante que los CISO aborden el tema desde diferentes ángulos. La perspectiva de la estrategia de seguridad es fundamental para comprender el panorama general, pero también es crucial esbozar e informar sobre los beneficios operativos y empresariales de las soluciones zero trust y cómo pueden alimentar positivamente otras estrategias organizativas, como las tecnológicas y de las unidades de negocio junto con servicios compartidos como el equipo, la cultura empresarial y las finanzas.
Los comentarios sobre los beneficios deben centrarse en el negocio y contextualizarse dentro de la empresa, para describir explícitamente cómo una arquitectura de confianza cero se alinea con los indicadores clave de rendimiento y los objetivos empresariales del CEO y del equipo ejecutivo. En este caso, es de básico comunicar estos beneficios para obtener la aprobación y el consenso necesarios antes de proponerlos al consejo.
Los CISO no deben limitarse a identificar las mejores formas de financiación de sus iniciativas de TI, ya sean corporativas, tecnológicas o parte de un programa de TI específico. Las iniciativas zero trust pueden incluirse en los programas de modernización de la red que las empresas ya tienen en marcha para impulsar la eficiencia operativa y reducir los déficits técnicos, desde la gestión del ciclo de vida del hardware hasta la optimización del personal para actividades tecnológicas de mayor valor. Por este motivo, las iniciativas de confianza cero pueden mejorar el valor empresarial y ayudar a alcanzar los objetivos de gestión de costes, aumento de la eficacia e integración de la selección de plataformas estratégicas en las que la empresa ya ha invertido.
En términos de impacto sobre los gastos operativos y de capital, la adopción de un enfoque de confianza cero puede ayudar al equipo de TI a aprovechar dos ventajas principales. En primer lugar, el equipo puede atraer y contratar a los mejores talentos gracias a un modelo operativo centrado en actividades de seguridad de alto valor, como la optimización de políticas, en lugar de actividades de bajo valor, como la gestión de parches. Desde el punto de vista de las amenazas, la arquitectura de confianza cero permite a las empresas ser más ágiles a la hora de responder a futuras necesidades de la empresa, así como complementar e integrar los controles existentes.
Por ello, es fundamental conseguir que el consejo sea capaz de ver la imagen global de las sinergias, por un lado, y los beneficios comerciales, por otro, explicando a grandes rasgos el medio de entrega y las opciones de financiación y haciendo hincapié en el valor de la simplificación tecnológica y la reducción de riesgos.
Cómo dirigirse al consejo de administración
El consejo de administración no se centra en las actividades operativas, su objetivo es asegurarse de que la dirección opere, de modo competente, sobre la base de unos objetivos estratégicos adecuados. Desde el punto de vista de la seguridad de las TI, el consejo de administración y el comité de auditoría y riesgos de la empresa se centran en garantizar que esta opera dentro de los límites de tolerancia y propensión al riesgo y dispone de los controles adecuados para hacerlo de forma sostenible. En este caso, el enfoque del CISO a la hora de presentar los conceptos de Zero Trust debería centrarse en dos pilares clave: la formación y la gobernanza.
La formación podría incluir una parte de concienciación general sobre el significado de la confianza cero, en la que se examinen las recientes brechas del mundo real superpuestas con las formas en que la arquitectura y los controles de la solución de confianza cero funcionan para reducir el riesgo a nivel macro. Ilustrar el panorama de amenazas constantes en términos empresariales sencillos, que resulten claros incluso para quienes carecen de formación técnica, como parte de una campaña de concienciación continua, servirá para educar a los miembros del consejo sobre el valor de la ciberseguridad a la hora de generar confianza.
En términos de gobernanza, sin embargo, las métricas deberían ser un elemento clave. Las preguntas clave que deberían responderse son:
- ¿Cuáles son las métricas clave para apoyar una arquitectura de confianza cero?
- ¿Cuáles son las métricas sobre la eficacia del control?
- ¿Cómo impulsa esto nuestra evolución en cuanto a madurez cibernética, cumplimiento y mandatos normativos?
- ¿Cómo demuestra esto que estamos gestionando el riesgo dentro de los límites definidos?
Por lo general, los CISO solo disponen de una oportunidad para ganarse la confianza del consejo de administración, y debe ser en la primera aproximación. Para tener éxito, es necesario que se asegure de que el consejo la apoye y entienda por qué son necesarias unas soluciones Zero Trust. Es básico discutir la idea general en un lenguaje comprensible, contextualizando y conceptualizando la tecnología, de forma que sea comprensible para el consejo partiendo de su conocimiento del sector.
Aunque la ciberseguridad es un aspecto crítico a la hora de proteger los datos y al personal de una empresa, la confianza cero ofrece otras muchas ventajas que la alta dirección y el consejo de administración no pueden perderse.
Heng Mok, CISO AJP, Zscaler
