Equilibrio entre riesgo e innovación: ¿Misión imposible de la seguridad?

Como líder en seguridad, ¿cómo puede habilitar mejor el volante de innovación que impulsa el negocio y al mismo tiempo gestionar el riesgo que es un subproducto de moverse rápidamente para modernizar su arquitectura empresarial de TI , adoptar un diseño de aplicação moderno, implementar nuevas aplicaciones y, en última instancia, brindar más valor a sus clientes?

La lucha por equilibrar eficazmente el riesgo y la innovación es real: el 76 % de los encuestados en la última encuesta F5 State of Aplicação Strategy dijeron que desactivarían las medidas de seguridad para obtener ganancias en el rendimiento (¡muchos incluso lo harían por mejoras relativamente pequeñas!). Compensaciones como esta pueden dejarlo vulnerable, y las soluciones de puntos de seguridad “suficientemente buenas” erosionarán la confianza del cliente y su reputación cuando las cosas salgan mal. Estamos viendo el desafío de implementar una seguridad que sea altamente efectiva y fácil de usar en empresas de todas las industrias, desde los servicios financieros, donde la banca abierta y el uso de API de terceros pueden hacer que la protección de las aplicaciones sea más compleja, hasta el gobierno, donde las agencias, impulsadas por la orden ejecutiva sobre ciberseguridad emitida por la Casa Blanca o la legislación NIS2 en la UE, necesitan tomar medidas serias para reforzar su ciberseguridad.

Respondiendo a las necesidades cambiantes de los clientes

El perímetro de seguridad tradicional hace tiempo que está muerto. La evolución de las arquitecturas de aplicação hacia un modelo más distribuido combinada con la mayor adopción de soluciones SaaS ( el 93 % de las organizaciones utilizan algún tipo de oferta como servicio basada en la nube ) e implementaciones de borde significa que la seguridad debe ser omnipresente. Si a esto le sumamos el imperativo de avanzar cada vez más rápido en apoyo de la innovación prolífica de productos (una respuesta al aumento del trabajo remoto y una mayor demanda de servicios como la telemedicina y la banca en línea, por nombrar algunos), queda claro que el papel de la organización de seguridad en el negocio ha cambiado fundamentalmente.

Hoy en día, la seguridad debe cumplir múltiples funciones: como facilitador de la transformación digital, guardián de la confianza del cliente y baluarte de la reputación organizacional. Y es su responsabilidad asegurarse de que todos en la empresa comprendan el papel central que juega la organización de seguridad en el éxito del negocio. Cambiar la percepción de seguridad de una característica a una mentalidad es un cambio cultural que requiere tiempo y esfuerzo.

Entonces ¿cómo llegar allí?

Hacer que la seguridad sea accesible y unificada  

Inculcar ese cambio cultural en toda la organización significa que todos deben adoptar una mentalidad de que la seguridad es lo primero. Puede acelerar este cambio haciendo que las soluciones de seguridad sean más fáciles de implementar independientemente del entorno, la arquitectura de la aplicação o los recursos de personal.

Unificar la declaración y la aplicación de políticas de seguridad de aplicação en entornos locales, de nube pública y de borde ayuda a que la seguridad sea consistente tanto para aplicações antiguas como modernas, y reduce el tiempo que sus equipos dedican a solucionar problemas. Al fortalecer la protección desde el centro de datos hasta el usuario final, puede garantizar que los clientes disfruten de una experiencia digital segura y sin fricciones en todo momento.

Y no tienes que hacerlo solo. O ser una empresa nacida en la nube con un gran equipo de seguridad. Tomemos como ejemplo la Dirección de Agricultura y Economía Rural (ARE) del Gobierno escocés. Han respondido con éxito a los desafíos de seguridad y transformación digital al optar por un servicio administrado que permite la seguridad de múltiples capas en todos los entornos.

Conozca a los desarrolladores donde estén

La seguridad ya no puede ser una cuestión de último momento en el proceso de desarrollo. Así como los equipos de DevOps se asocian con sus colegas de productos para simplificar y acelerar el desarrollo y la implementación, SecOps puede ayudar a eliminar la tarea de crear seguridad en la aplicação al interactuar con los equipos de desarrolladores para definir y crear políticas de seguridad de aplicaciones declarativas, integrar la seguridad en sus cadenas de herramientas CI/CD preferidas y garantizar que todos puedan aprovechar la telemetría para ajustar y proteger la aplicação.

Al brindarles a los desarrolladores de aplicaciones paneles de control, protecciones y herramientas fáciles de usar, puede reducir el deseo de eludir las prácticas de seguridad y, al mismo tiempo, ayudar a los desarrolladores a resolver sus problemas y hacer avanzar el negocio. Empresas como Audi están haciendo esto hoy en sus entornos modernos basados en microservicios para estimular la innovación y al mismo tiempo garantizar que la seguridad esté integrada en la plataforma .

Desafíe a sus proveedores para obtener más

Además de estas recomendaciones internas, los líderes de seguridad también deben mirar hacia afuera y plantear a los proveedores las preguntas difíciles:

• ¿Su proveedor es un líder de opinión en materia de seguridad, que no sólo ayuda a los clientes a resolver sus problemas hoy sino que anticipa activamente lo que viene a continuación?
• ¿Su producto (o mejor aún, su plataforma) es API-first? Querrá que ese sea el caso para la orquestación de la gestión, la aplicación en línea y la mejora más sencilla de la postura de seguridad de la cantidad en expansión de API que está utilizando para brindar servicios a sus clientes (lo que contribuye a los dos mil millones de API activas proyectadas en el mundo para 2030 ).
• Si usted se encuentra entre el 87% de organizaciones que operan aplicaciones tanto antiguas como modernas y el 77% que ejecuta aplicaciones en múltiples nubes , ¿las soluciones de su proveedor funcionan en diferentes arquitecturas donde sea que se implementen sus aplicaciones?
• ¿Están interesados en integrarse con las principales cadenas de herramientas y plataformas de análisis de datos? Esto es fundamental porque el 98% de las organizaciones reconocen que no tienen el conocimiento que necesitan ahora para abordar los objetivos de negocio y mejorar la experiencia del cliente.
• ¿Están explorando cómo se pueden utilizar la automatización , el aprendizaje automático y la IA para que su seguridad sea más rápida, más efectiva y proactiva, con pocos recursos?
• ¿Pueden permitirle aumentar la seguridad de las aplicações y API en cada punto del proceso de evaluación y mitigación de amenazas?

Solicite las capacidades que necesita para proteger a los clientes y ayudar a la empresa a brindar experiencias fluidas y satisfactorias mientras enfrenta una escasez de recursos y talento; y si su proveedor actual no puede satisfacer sus requisitos, considere buscar en otro lado.

¿Y ahora qué?

A medida que la seguridad adquiere un papel más central en la sala de juntas, usted tiene la oportunidad de promover las mejores prácticas en áreas como la modernización de TI, la migración a la nube, la seguridad de aplicação y redes, y el acceso de confianza cero. Al mitigar el riesgo que conlleva la innovación, puede permitir que la empresa avance en su transformación digital sin sacrificar la confianza del cliente.

Comience ahora a ayudar a los equipos de su organización a desarrollar una mentalidad de seguridad ante todo. Colaborar con otros grupos funcionales, incluidos los equipos de productos y de experiencia del cliente, para ofrecerles las capacidades que necesitan. Y adoptar soluciones de plataforma que sean fáciles de implementar y operar, requieran menos intervención humana, se integren con socios del ecosistema y se adapten para abordar nuevas amenazas y vulnerabilidades.

Para proteger con éxito un negocio digital es necesario gestionar un espectro de riesgos sin descuidar otros objetivos del mundo real. Esto significa equilibrar el rendimiento aceptable, la experiencia del cliente y el costo con una protección y cumplimiento de seguridad aceptables. Al hacer que las soluciones de seguridad sean más accesibles, capacitar a los desarrolladores con herramientas fáciles de usar y desafiar a sus proveedores para obtener más, puede mantener el negocio seguro y, al mismo tiempo, ayudar a brindar experiencias de cliente inspiradoras que impulsan e impulsan el crecimiento.