Cómo los CIO y los CISO pueden colaborar para alcanzar el éxito en la nueva era del cloud
Una alianza más estrecha puede brindar beneficios con la migración al cloud, DevSecOps y una mejor toma de decisiones
Conclusiones clave
- Los CIO y los CISO están descubriendo más oportunidades para colaborar.
- Los mayores riesgos cibernéticos y la migración al cloud están ayudando a impulsar la tendencia.
- Implementar DevSecOps en los equipos de IT y desarrollo puede brindar soporte para los objetivos de ambos ejecutivos.
La rápida adopción de entornos de IT multicloud y la transición a fuerzas de trabajo híbridas demandan una nueva dinámica en la gerencia de primera línea: una alianza más estrecha entre los CIO y los CISO.
Al unir fuerzas, los CIO y los CISO pueden lograr un equilibrio saludable entre impulsar el ritmo de la innovación técnica y mitigar el riesgo. La migración al cloud (en especial a entornos multicloud más complejos) puede ocurrir de forma más rápida y eficiente. Los equipos de DevSecOps pueden reducir los riesgos de incorporar nuevas aplicaciones de software. Con una mayor colaboración, los CISO y los CIO pueden evaluar en conjunto los desafíos operativos y los riesgos de seguridad al presentar tecnologías nuevas.
Sin embargo, lograr todo eso requiere que ambos ejecutivos tengan una agenda de objetivos compartidos. Por ejemplo, los CIO deben aspirar a integrar la seguridad en todas las inversiones en tecnología nuevas, mientras que los CISO no pueden permitir que la aversión al riesgo desacelere la transformación digital. Para muchas organizaciones, es un movimiento complicado, pero que solo puede lograrse con el entendimiento común de que la innovación y la seguridad están inexorablemente interconectadas.
"Debes esquivar muchas minas", dice Tressa Springmann, CIO de LifeBridge Health, una organización de atención médica sin fines de lucro. Rick Miller, CISO de LifeBridge agrega: "Por lo general, encuentras un punto intermedio para lograr el equilibrio adecuado entre la seguridad y las operaciones".
Realizar compensaciones inteligentes
En LifeBridge, que emplea a más de 12 000 personas y dirige 6 hospitales en Baltimore, Maryland, y alrededores, las inversiones en nueva tecnología de la información (historias clínicas electrónicas, herramientas de telemedicina virtual y soluciones de diagnóstico genómico) también pueden traer aparejados riesgos de seguridad adicionales. La ciberseguridad en el sector de la atención médica ya es un asunto crucial, dado que los ciberataques han inutilizado redes hospitalarias y afectado la atención de los pacientes. Las historias clínicas de más de 40 millones de pacientes quedaron expuestas en vulneraciones de datos el año pasado, según reportes federales.
¿Cómo abordan los principales líderes tecnológicos las amenazas crecientes?
A pesar de los riesgos, "los presupuestos en la atención médica no están necesariamente diseñados para invertir en herramientas demasiado costosas de protección de datos", explica Miller.
Esto puede forzar compensaciones difíciles. Cuando Miller propuso segmentar la red de IT del hospital para reducir la posibilidad de una vulneración, quedó claro que el cambio sería costoso y demandaría más soporte de IT. Springmann desafío a Miller a proporcionar más datos sobre el proyecto para justificar el gasto. "Cuando los CISO y los CIO trabajan en conjunto para asegurarse de que la economía funcione en una organización, en lugar de enfrentarse, se puede lograr un valor importante", afirma Miller.
En otra instancia, Springmann y Miller colaboraron en la evaluación de los sistemas de IT de una adquisición reciente. La principal responsabilidad de Springmann era relevar el hardware y software de la empresa adquirida, mientras que el rol de Miller consistía en realizar una evaluación del riesgo de seguridad. Pero en lugar de caer por defecto en un proceso contencioso común en otras organizaciones, Miller asegura que ambos trabajaron juntos para garantizar que la compra avanzara y se mitigaran los riesgos.
"Esto posibilitó una vista de la adquisición sumamente holística", agrega Springmann. Miller suma: "La función de seguridad está integrada en todo lo que hacemos aquí en LifeBridge Health".
Descubrir los beneficios conjuntos de DevSecOps
La implementación de DevSecOps (una práctica organizativa que comparte la responsabilidad por la seguridad entre los equipos de desarrollo, seguridad y operaciones de IT al crear nuevas aplicaciones de software) es un sitio lógico en el que los CIO y los CISO fortalecen los vínculos laborales. Para ambos, asegurarse de que los software sean resistentes a ciberataques es tan importante como ponerlos en funcionamiento rápido.
DevSecOps está creciendo como práctica, según datos de la encuesta de 451 Research, parte de S&P Global Market Intelligence, según la cual el 48 % de los equipos de desarrollo usaron herramientas de seguridad para aplicaciones en 2020, en comparación con solo el 29 % en 2015.
"Imagina los beneficios potenciales si estos equipos y procesos fueran más colaborativos", afirma Gagan Singh, VP de marketing de productos en Elastic. "Los datos de observabilidad podrían agregar más contexto para los equipos de seguridad a medida que trabajan para detectar y responder con rapidez a amenazas. Al mismo tiempo, los desarrolladores con conocimientos de diversas tecnologías de seguridad podrían reducir la fricción en el desarrollo con seguridad desde el principio".
Migrar al cloud
La migración al cloud es otra área en la que las organizaciones se benefician de una colaboración más estrecha entre los CIO y los CISO. El cloud ofrece un importante valor comercial con respecto a cómo las organizaciones usan y comparten información; y cambia de manera significativa la naturaleza de los riesgos cibernéticos. Esto puede resultar particularmente cierto en entornos multicloud, que pueden reducir algunos niveles de amenazas y al mismo tiempo sumar carga al monitoreo de todo lo que sucede en el cloud y hacer el seguimiento de varios controles y permisos.
Aunque las organizaciones se benefician de una mayor colaboración entre el CIO y el CISO, ambos roles siguen teniendo prioridades y responsabilidades distintas. Eso aumenta incluso más la importancia de la comunicación regular entre ambas posiciones. Springmann y Miller, por ejemplo, se reúnen con regularidad cada dos semanas y se comunican prácticamente a diario mediante mensaje o llamada.
"Mucho [de nuestra asociación] se basa en la comunicación y las relaciones personales, y si no tiendes a tenerlas, es posible que las cosas salgan mal", comenta Mark Settle, ex-CIO y autor de Truth from the Valley. "Las personas que son buenas para comunicarse y anticipar los problemas y las necesidades de otras personas pueden evitar gran parte de la fricción que puede ocurrir entre dos grupos".
Una mayor colaboración en la gerencia de primera línea entre el director de información y el director de seguridad de la información es fundamental en las empresas que desean acelerar la innovación tecnológica y reducir los riesgos de seguridad. Esta difuminación de los límites de los roles puede resultar difícil, pero con objetivos compartidos, compromiso con la comunicación y soporte organizativo, los CIO y los CISO pueden ayudar a garantizar que sus empresas logren de forma segura la transformación digital.
Lee esto a continuación: The multicloud advantage: scalability, reliability, flexibility (La ventaja de multicloud: Escalabilidad, confiabilidad y flexibilidad)