Hacer fácil lo difícil… también en Ciberseguridad

Marzo 2021

David Pérez Lázaro

David Pérez Lázaro

CEO Cofundador MNEMO Innovate

Autor: Davíd Pérez Lázaro

Cargo: CEO Cofundador MNEMO Innovate

Hacer fácil lo difícil… también en Ciberseguridad

 

¿Se puede ser ágil en la toma de decisiones y ejecutar acciones rápidas en Ciberseguridad? ¿Es agilidad compatible con reducción de riesgo? ¿Se puede gestionar el mito de la complejidad de la seguridad para que no sea una excusa ante el negocio?  Es un reto que no tiene una respuesta única, pero requiere que las áreas de Ciberseguridad se salgan en muchos casos de su “zona de confort”  ¿Cómo?

La ciberseguridad no puede ser ajena a las practicas que dominan las empresas hoy en plena era de transformación digital: conceptos como “Thin”, “Agile”, “Lean” deben estar presenten en las premisas de ejecución de la estrategia de ciberseguridad.

Dejando de lado los requerimientos “rigidos” (en cierto modo “legacy”) de los entornos hiperregulados, ¿cómo poner en práctica el lema de “hacer fácil lo difícil”?:

  • Realizando análisis de riesgos menos rigidos, mas ligeros, con foco en el resultado y el plan de acción, no tanto en la excelencia metodológica
  • Aplicando niveles de protección más intensos en los activos más críticos de la organización y más ligeros o básicos en los activos de baja criticidad
  • Centrándose en unos pocos casos de uso que pueden derivar en incidentes que requieran detección inmediata
  • Asegurando que se cubren los escenarios más críticos de recuperación ante un incidente, con especial atención a los escenarios que han nacido nuevos o han tomado más importancia en el contexto actual (por ejemplo, entornos cloud o teletrabajo)

Es obvio que esta premisa es mucho más viable en nuevas organizaciones, normalmente de tamaño medio, y que han nacido en la era digital con una estrategia “Cloud first” desde su inicio. Las grandes empresas que han empezado a adoptar esta estrategia de forma decidida ya desde hace años deben convivir en este viaje con el mundo legacy y balancear si cabe aun mas las decisiones para gestionar la dualidad de ambos mundos con un balance adecuado de coste y riesgo.

Adicionalmente, otro elemento clave de decisión es la estrategia de adopción de tecnologías de seguridad: aquella que sea ajustada y suficiente para la naturaleza de la empresa y su negocio. Frente a la adopción de las mejores soluciones (best of breed) que suelen seguir las grandes empresas, con mayores costes de adquisición, mantenimiento e integración, toma cada vez más fuerza la adopción de plataformas de seguridad, con una funcionalidad suficiente y menores costes para una gran mayoría de empresas.

Por supuesto, no se puede simplificar la complejidad de gestionar la seguridad de una gran organización en proceso de transformación, pero … hay que intentar “hacer fácil lo difícil”