Cuando la gente habla de innovación en ciberseguridad, a menudo se centra en herramientas, tecnologías o marcos.
Pero en mi opinión, uno de los cambios más potentes e invisibles está relacionado con los cambios de mentalidad.
Director de seguridad de la información de Nasuni.
Las organizaciones más sólidas con las que he trabajado son aquellas que aprenden a medir y capitalizar el riesgo, no sólo a evitarlo.
No responden a nuevas ideas con “No podemos, porque…”, sino más bien con “Veamos cómo podemos hacer esto, de forma segura y con los controles adecuados”.
La seguridad como ventaja competitiva
Este replanteamiento de la cultura no sólo reduce el riesgo, sino que también ayuda a las organizaciones a obtener una ventaja competitiva.
Cuando un CISO y su equipo son claros y comunicativos sobre la situación del negocio y no se sienten cómodos asumiendo riesgos (en resumen, el apetito por el riesgo del negocio), la organización está en una posición mucho mejor para responder a los cambios del mercado.
Esa confianza proviene de marcos de riesgo sólidos, un diálogo abierto y una comprensión de que la seguridad efectiva es un facilitador de negocios, no sólo un guardián.
Vista abierta
La verdadera diferencia es cuando personas de diferentes departamentos o unidades de negocios aportan una idea a sus colegas de seguridad y estos se encuentran con una mente abierta: “Veamos cómo podemos encontrar una manera de hacer esto de forma segura”.
Esta respuesta genera confianza y abre la puerta a la colaboración. Cuando los equipos saben que su función de seguridad está ahí para ayudarles a tener éxito, no sólo para decirles que no, es mucho más probable que pregunten: “¿Podemos hacer esto?”. En primer lugar, crea una cultura donde la innovación y la protección van de la mano.
Un par de ejemplos ilustran los beneficios:
Tomemos como ejemplo una organización ansiosa por pasar a operaciones más ágiles: si el departamento de seguridad está comprometido a asociarse con líneas de negocios específicas que desean utilizar aplicaciones en la nube más rápidas, los colegas de la unidad de negocios pueden idear una estrategia junto con arquitectos de soluciones y proveedores de nube confiables para agilizar y agilizar la migración a la nube, en lugar de vetar rápidamente las solicitudes de innovación por razones inaceptables.
Cuando la seguridad se incorpora desde el principio, en lugar de agregarse al final, todos los involucrados en el proceso están más felices.
Del mismo modo, una función de seguridad con mentalidad abierta ayudará a los departamentos de nivel C y otros departamentos a desarrollar una estrategia de desarrollo basada en datos para sentar las bases del aprendizaje automático y las herramientas de inteligencia artificial, sin adelantarse a los argumentos de riesgo de cumplimiento de datos para descartar estas vías de innovación.
Algunos desafíos comerciales requerirán colaboraciones más amplias entre los CISO y otras funciones corporativas: por ejemplo, una investigación del Foro Económico Mundial encontró que en 2025, el 66% de los encuestados cree que la IA afectará la ciberseguridad en los próximos 12 meses, pero solo el 37% cuenta con procesos implementados para una implementación segura de la IA. ¿Seguramente no hay mayores razones para tener mentes abiertas y una colaboración más profunda?
Decir no, aumentar el riesgo
El enfoque opuesto, donde los colegas del departamento creen que la seguridad impedirá que la idea se aplique en primer lugar, es mucho más arriesgado.
Luego, termina con equipos que inician sus propios proyectos de desarrollo y TI en la sombra, con controles inadecuados y flujos de trabajo inseguros, y el CISO solo se da cuenta de un riesgo después de que ha surgido en un incidente.
Como profesional de la seguridad, decir no a menudo no elimina el riesgo; Conduces bajo tierra y ayudas con problemas de larga data. La investigación de Gartner de 2022 encontró que cuatro de cada diez empleados ya utilizaban algún tipo de TI en la sombra. Con el auge de las herramientas de inteligencia artificial basadas en navegadores, sólo puedo imaginar cuál es esa cifra hoy en día.
Borrar parámetros
Por supuesto, no todas las innovaciones o solicitudes de izquierda son apoyadas. Pero un sí basado en principios que incluya la comunicación de parámetros y garantías claros es mucho más poderoso que un no generalizado. Esto significa que la seguridad pasa a ser parte de la solución desde el principio.
Ayuda a la organización a mantenerse sólida y segura en sus operaciones, al tiempo que permite a los equipos experimentar y crecer.
Las aplicaciones ágiles y los procesos empresariales con ciberseguridad integrada diferencian y aumentan la capacidad de respuesta de la organización. Esta apertura, innovación y ventaja competitiva es lo que una buena seguridad ofrece en la práctica.
Desafío a otros profesionales de la ciberseguridad a modelar este cambio de mentalidad y animo a otros a adoptarlo. Porque en un panorama de amenazas que cambia rápidamente, la curiosidad y la colaboración son fortalezas estratégicas para una organización. Y las empresas que acepten el riesgo, en lugar de huir de él, construirán una poderosa ventaja competitiva.
Consulte nuestra función sobre el mejor software de automatización de TI.
