Muchas organizaciones están avanzando en el viaje digital, ya sea digitalizando procesos de negocio o generando nuevas estrategias y modelos, probablemente con negocios disruptivos en base a nuevas plataformas. Ejemplo de estos hay muchos, como Uber y Airbnb, solo por mencionar algunos.
En general cualquiera sea el o los objetivos del viaje Digital, digitalización o Transformación del Modelo de Negocio, la generación de activos digitales pasa a ser parte “de las joyas de la Corona”, es decir, de los activos que generan valor y que de alguna manera deben ser protegidos.
Los CISOs enfrentados a este proceso, en donde probablemente el time to market y la centralidad en el cliente, tienen una prioridad única, hace que la capacidad de respuesta y agilidad en proteger los nuevos activos, detectar vulnerabilidades y la remediación necesaria, origine algunos retrasos que podrían afectar el cumplimento de los objetivos de negocio y aumentar la deuda técnica en Ciberseguridad.
La deuda técnica en ciberseguridad, o la acumulación de deuda técnica, considera atajos en la toma de decisiones, ya sea beneficiando la entrega de un producto o servicio al cliente en desmedro del cumplimiento de los objetivos de ciberseguridad sobre los activos digitales, es decir, integridad, disponibilidad o confidencialidad de los datos, aumentando la deuda técnica en ciberseguridad.
El problema de aumentar la deuda técnica en ciberseguridad, es que como cualquier deuda en algún momento deberá ser pagada, ya sea con mayor trabajo y por la materialización de un incidente de ciberseguridad, haciendo uso de una vulnerabilidad que en su momento no fue evaluada.
La ambidiestralidad en ciberseguridad o la Ambi-Cyber como puede ser leído en algunos papers de investigación científica, implica que los CISOs de las empresas tengan la habilidad de no solo preocuparse del corto plazo (explotación), sino que también del largo plazo (exploración), es decir, una preocupación constante por la operación del día a día, pero al mismo tiempo, investigar, innovar e identificar los nuevos riesgos.
De esta forma, y al no tener los recursos adecuados, hay empresas que no pueden avanzar hacia la ambidiestralidad en Ciberseguridad, ya sea por falta de recursos (financieros, personas o tecnológicos) o porque la propia capacidad del CISO es una limitación (técnico vs negocio). En este escenario y dependiendo del tipo de respuesta en ciberseguridad, las organizaciones se pueden clasificar en cuatro grandes grupos: Sobreviviendo, Reforzamiento, Innovación y Balance
Sobreviviendo
Hay organizaciones que actualmente sobreviven en su nivel de respuesta producto de la transformación digital, en este caso con un bajo nivel de exploración y explotación, probablemente manteniendo el mismo framework de controles y la misma estrategia, no existiendo una alineación más directa en base al nuevo escenario digital, para adaptarse a los nuevos cambios, lo cual implica que la deuda técnica en ciberseguridad se debiera incrementar de manera importante
Reforzamiento
Otras organizaciones estarán más orientadas en el corto plazo, en donde prefieren profundizar la explotación, probablemente incorporando más controles a su lista, pero sin ninguna capacidad de entender los nuevos riesgos o innovar en el proceso de protección incorporando nuevas herramientas tecnológicas, un escenario en donde la deuda técnica aumentará, aunque no tan significativamente como en el escenario de sobrevivencia
Innovación
Por el contrario, otras organizaciones tendrán mayor exploración, con una mayor preocupación en innovar, en identificar los nuevos riesgos que la incorporación de tecnología genera en las organizaciones, pero son tener una preocupación de responder eficientemente a la explotación de la seguridad provocada por la incorporación de nuevos activos digitales, manteniendo probablemente estático y un framework de controles
Balance
La respuesta de ciberseguridad a la Transformación Digital, debe ser un balance entre los aspectos de exploración y explotación, en donde no solo la preocupación está radicada en las operaciones del día a día, generando una ciberseguridad adaptativa y ágil, sino que el CISO debe estar continuamente explorando los nuevos riesgos, activos digitales, nuevas tecnologías de protección y innovación como parte de las actividades que le permitan reducir la deuda técnica en Ciberseguridad, en esta condición probablemente la deuda técnica comenzará a disminuir.
Jose Lagos
Managing Partner and CEO