Las empresas han cambiado su forma de operar de innumerables maneras durante la pandemia de coronavirus, incluyendo la aceleración de la migración a las tecnologías en la nube.

Antes de COVID, las empresas tenían el lujo de gestionar la transición a la nube a su propio ritmo. Pero cuando la pandemia golpeó, marcando el comienzo de una nueva era de trabajo a distancia, muchas empresas se trasladaron a las tecnologías basadas en la nube sin dar necesariamente a los encargados de la ciberseguridad tiempo para prepararse.

Nadie ha sentido más el impacto de la transición a la nube que los equipos de TI y, sobre todo, los responsables de la seguridad de la información. No es exagerado decir que la infraestructura basada en la nube ha impuesto una serie de prioridades totalmente nuevas a los CISO y al personal de TI. En esta entrada del blog, exploraremos cómo la nube ha redefinido las funciones de seguridad y qué pueden hacer los CISO para adaptarse a la nueva realidad.

La nube ha cambiado el papel de TI para siempre

La transición a la nube no ha hecho que las empresas despidan al personal de TI. Más bien ha obligado a los equipos de TI a evolucionar y desarrollar nuevas habilidades y capacidades ante las nuevas responsabilidades.

Como señalamos en otro artículo de CYREBRO, el papel de los informáticos se ha centrado tradicionalmente en la protección de un entorno de red principalmente estático. Pero en un mundo de tecnologías basadas en la nube en el que las organizaciones ya no tienen un único y gran perímetro, el papel se ha vuelto más complejo. Hoy en día, los profesionales de TI deben tener la capacidad de evaluar diferentes soluciones de distintos proveedores, garantizando la integración segura de cada solución en la pila tecnológica.

En esta era de adopción de la nube a gran escala, los profesionales de TI también deben formar y alimentar las relaciones con los proveedores, como ha señalado Atlassian. Atrás quedaron los días en que los equipos de TI asumían toda la responsabilidad del mantenimiento del software inmediatamente después del punto de venta. Hoy en día, los equipos de TI deben estar en constante comunicación con los proveedores para garantizar que las actualizaciones se entreguen a tiempo y que cualquier fallo de seguridad se solucione rápidamente.

Por último, el paso a la nube significa que todos los miembros de una organización deben asumir la responsabilidad de la ciberseguridad en cierta medida. Los equipos de TI pueden reducir los riesgos de seguridad estableciendo políticas de protección de datos, encriptando los datos sensibles, estableciendo límites a la forma en que los usuarios comparten los datos y evitando que los datos se trasladen a dispositivos no gestionados, según las recomendaciones de McAfee. Pero también es esencial que los equipos de TI formen al personal en el uso responsable de los servicios en la nube y conviertan las infracciones del personal en momentos de aprendizaje.

Los CISO tienen ahora nuevas prioridades

El papel tradicional de un CISO ha sido salvaguardar su organización contra las ciber amenazas y reducir los riesgos potenciales, como se señaló recientemente en Tech Beacon. Los CISO y los equipos de seguridad tenían la reputación de alargar durante meses la aprobación de nuevo software o hardware, lo que hacía que otros los vieran como barreras para la adopción de la tecnología.

En este nuevo mundo de rápida adopción de tecnología, corresponde a los CISOs ayudar a facilitar la adopción de herramientas basadas en la nube, y a otros ejecutivos de nivel C involucrar a los CISOs tan pronto como sea posible al introducir nuevas soluciones en la nube.

Como señaló PwC en su informe 2022 Cyber Global Digital Trust Insights, los CISOs deben salir de las trincheras tecnológicas y ampliar su alcance, aprendiendo del CFO (director financiero) cómo hablar de las implicaciones financieras del riesgo, por ejemplo, en un lenguaje que la junta directiva entienda, o trabajando con el director de producto para idear formas fáciles de desarrollar para asegurar las aplicaciones.

Este cambio puede requerir un cambio de mentalidad para muchos CISO, según el informe. Los CISO interactúan con mayor frecuencia con los directores de información y los directores de tecnología, y con menor frecuencia con otros líderes como los directores financieros y los directores de marketing, según una encuesta de PwC sobre el tema.

“Los CISO tendrán que pasar más tiempo con estos socios comerciales para empezar a hablar su idioma y entender mejor sus imperativos comerciales”, resumía el informe de PwC.

Dónde encajan los proveedores externos de ciberseguridad

Un estudio realizado en 2021 por el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información, más conocido como (ISC)², estimó en 2,72 millones el número de puestos de ciberseguridad sin cubrir. Aunque una encuesta realizada por (ISC)² a profesionales de la ciberseguridad reveló que el 40% consideraba la seguridad en la nube como una de las principales prioridades para el desarrollo profesional, sólo alrededor del 20% de los profesionales declaró poseer una de las principales certificaciones de seguridad en la nube (por ejemplo, CCSP, AWS CCP, CCSK).

La escasez de talento ha puesto todo el poder de negociación en manos de los profesionales de la ciberseguridad, en detrimento de las empresas. Como ha señalado Deloitte, la incorporación y la formación incluso de los analistas de nivel 1 puede durar casi un año, pero la permanencia media de estos analistas es de sólo dos años, lo que supone un bajo rendimiento de la inversión.

Dada la dificultad para atraer a profesionales de la ciberseguridad, por no mencionar la complejidad de asegurar un entorno de nube sin perímetro, no es de extrañar que las pequeñas y medianas empresas estén recurriendo a proveedores de centros de operaciones de seguridad (SOC) gestionados para obtener protección.

Un buen SOC (y lo más importante, basado en la nube) puede ser el medio más eficaz para gobernar su sistema de TI y todos los dispositivos que tienen acceso a él. Contar con un SOC gestionado basado en la nube no significa que tenga que ir a sustituir a su equipo de TI. En esencia, un SOC gestionado supervisa su infraestructura en busca de nuevas amenazas y eleva las alertas más urgentes, liberando a su equipo de TI para que se centre en otras tareas.

Conclusión

Nos guste o no, las soluciones basadas en la nube han llegado para quedarse, y con el tiempo serán cada vez más importantes para las empresas. En lugar de resistirse al cambio, los CISO y los profesionales de TI deberían aceptarlo, actualizando sus habilidades y capacidades para garantizar que siguen siendo relevantes en la nueva era. Y siempre que sea posible, los CISO deben considerar la ayuda de fuerzas externas, como un buen proveedor de seguridad nativa de la nube.