Las organizaciones buscan mitigar las vulnerabilidades, disconformidades y otras fallas de seguridad que surgen por presiones de proyectos en las prácticas del día a día.
Hay organizaciones que difícilmente son sorprendidas por hackers o sanciones en auditorias. Desafortunadamente, no porque no los sufran sino porque no llega a ser “sorpresa”. Una encuesta realizada con ejecutivos de Estados Unidos y Europa, reveló que el 44% de ellos reconocen convivir con vulnerabilidades detectadas hace meses. Al mismo tiempo, la mitad se queja de la degradación del rendimiento en el servicio por parches mal aplicados. Y esto es sólo un aspecto de los desacuerdos entre las áreas de Operaciones y GRC (gobierno, riesgo y cumplimiento).
Cuanto más madura la transformación digital, mayor es la tendencia a mantener sus servicios en grandes bases de datos de recursos orquestados (bancos de datos, servidores de aplicaciones, sistemas heredados, etc.), una interdependencia que hace que sea delicado hacer un movimiento en alguna parte. Además de hechos como BYOD (uso de dispositivos personales en el trabajo) o SaaS (software como servicio), la tendencia es que el entorno de la información se hace más abierto, exponiendo las API (interfaces de programación) para construir nuevos productos y servicios digitales. En la infraestructura, la arquitectura elástica de la nube y las prácticas como ITIL dan agilidad y visión financiera a las transformaciones. Con la importancia que las aplicaciones asumen en todas las actividades, muchos líderes ya implementaron prácticas de DevOps (desarrollo + operaciones), en las que los equipos de software y de negocios trabajan juntos en todo el proceso. En este escenario, no es extraño que la agenda de riesgo y cumplimiento sea golpeada, así como su propia área de TI muchas veces es sacudida por el ritmo de los negocios digitales.
El mismo estudio de reveló que existe una gran distancia entre los profesionales de Seguridad y Conformidad y los de Operaciones y TI. El 60% dijeron tener una vaga idea sobre las prioridades de los otros. La consultora, por supuesto, recomienda revisar las funciones de los mecanismos de colaboración y otros cambios en los procesos y en la cultura, para que las premisas de ciberseguridad impregnen las ideas e iniciativas en todos los ámbitos. En algunas estrategias de SecOps (operaciones de seguridad sincronizada), ya se crearon comités de seguridad digital, con los directores o vicepresidentes de operaciones y negocios.
Sin embargo, la alineación de SecOps genera conflictos, legítimos, del día a día. En la práctica, por más que se tenga consciencia de las prioridades de la seguridad digital, es difícil de explicar, por ejemplo, que una aplicación no puede ser liberada porque involucra a un servidor con vulnerabilidad documentada hace unos seis meses, o que tenga que detenerse o perjudique la producción para la implementación de pruebas y testeo de parches. Esto, siempre y cuando la empresa sea la primera en descubrir el problema, antes de que un auditor o un hacker.
Visibilidad y automatización, por lo tanto, son fundamentales en una estrategia de SecOps. En este contexto, una plataforma de seguridad y compliance automatiza la gestión de esas cuestiones en todo el ciclo de vida de los servicios digitales. La automatización aborda los conflictos tanto en el inicio de los proyectos, con un mapeo de todas las dependencias sujetas a las reglas de seguridad y compliance, como después de la implementación, cuando las políticas, realizadas por la propia empresa, tienden a desvanecerse.
Así como ocurre con la infraestructura y el desarrollo con nube y DevOps, en los SecOps la automatización reduce costos operativos, además de aportar previsibilidad financiera. El retorno de inversión en términos de disponibilidad, protección a vulnerabilidades y disposición para auditorías varía conforme a los servicios de los datos en cuestión. Sin embargo, la plataforma integrada e inteligente de tratamiento de amenazas y compliance elimina puntos de conflicto y hace de la seguridad un habilitador de negocios.
Por Silvio Rugolo