Si cree que la ciberseguridad es a prueba de recesión, piense otra vez. Ha llegado el momento de reducir los gastos y optimizar la gestión de riesgos.
Por Deb Radcliff | Original de IDGN
La CISO Nicole Darden Ford se ha acostumbrado a hacer más con menos desde que la pandemia de COVID-19 cambió repentinamente la fuerza laboral de su empresa.
“Me bajé de un avión desde India, vi a todas estas personas con máscaras en el aeropuerto de Washington, DC y me pregunté qué estaba pasando. Fui directamente a la oficina donde mi CEO y CIO me explicaron nuestra nueva realidad: entraríamos en cuarentena y teníamos menos de una semana para encontrar una forma de que las personas trabajaran de forma remota”.
Esto fue en su empresa anterior, una startup que se separó de una empresa más grande y se preparaba para la oferta pública inicial mientras realizaba la transición a la nube.
Con “tiempo limitado y recursos mínimos”, logró llevarlo a cabo. Ahora, como vicepresidenta global y CISO en la empresa de automatización industrial Rockwell Automation de US$ 7800 millones, está preparada para la incertidumbre económica que sienten las empresas de todo el mundo, algunas de las cuales son clientes de Rockwell Automation.
A pesar de la apariencia de que la seguridad cibernética es a prueba de recesión, los CISOs deberían estar listos para hacer más con menos según lo dicten las circunstancias, en opinión de Darden Ford.
Para hacer esto, aconseja a los CISOs que:
- Evalúen y reduzcan regularmente el desperdicio de seguridad
- Maximicen los recursos
- Y mitiguen el riesgo en los ámbitos comerciales críticos
Todo mientras respaldan la transformación digital (que también puede conducir a más ahorros de costos).
“Donde hay transformación digital, hay transformación de la seguridad. Las dos van de la mano”, dice.
Los CISOs deben anticipar las reducciones
Si bien los indicadores de recesión están por todos lados, el Foro Económico Mundial (FEM) informó que:
- 62% de los economistas predicen que una recesión global en 2023 es algo probable (45%)
- O extremadamente probable (18%)
Mientras, el Fondo Monetario Internacional (FMI) predice que un tercio de la economía global entrará en recesión según los indicadores de crecimiento, aunque también sugiere que cualquier recesión probablemente será de corta duración.
A pesar de una multitud de despidos masivos a fines de 2022 y principios de 2023, el mercado laboral de EE. UU. se mantiene fuerte, según la Oficina de Estadísticas Laborales.
Esa tendencia, además, se ha reflejado por todo el mundo, especialmente en países como el Reino Unido, Canadá y Alemania.
Pero incluso las buenas noticias laborales están poniendo nerviosos a los mercados bursátiles por más aumentos de tasas y, probablemente, tendrán poco impacto en futuras congelaciones de contratación.
Predecir una recesión es especialmente difícil después de que los impactos económicos globales de la pandemia, una guerra en Ucrania y otros eventos mundiales turbulentos pusieran de cabeza a los predictores tradicionales.
Pero hay formas en que los CISOs pueden anticipar y prepararse para las recesiones que impactan en sus gastos.
Por ejemplo, los foros y las discusiones entre pares pueden proporcionar la mayor información sobre para qué prepararse, sugiere Malcolm Harkins, un asesor de la industria que trabajó durante más de 20 años en Intel, donde se centró en TI financiera antes de convertirse en director de seguridad y continuidad de la información.
“En los últimos seis o siete meses he tenido muchas conversaciones con muchos compañeros y dicen que se han enfrentado a reducciones de presupuesto y personal, así como han eliminado nuevas compras. Esencialmente, se les dice que hagan más con menos. Hasta ahora, los CISOs no habían tenido que lidiar con eso”, reconoce Harkins.
Mejorar la eficiencia y eficacia de la inversión en seguridad
Con recesión o sin recesión, Harkins dice que los CISOs siempre deben abordar la seguridad de la información y la gestión de riesgos como una eficiencia económica.
“Comencé como una persona de finanzas, por lo que siempre trato de hacer más con menos porque necesito sentirme seguro de que estoy obteniendo un retorno de esta inversión en seguridad. Entonces, evalúo regularmente. Si no puedo demostrar ganancias en eficiencia o efectividad, elimino el gasto o no lo gasto de nuevo en el nuevo presupuesto”, dice.
Harkins aconseja a los CISOs que revisen sus objetivos de diseño de la misma manera que la empresa establece
- Objetivos de ingresos
- Ingresos netos
- Margen
- Y participación de mercado
Por ejemplo, afirma que si las organizaciones de seguridad se concentraran en mitigar sus vulnerabilidades más impactantes, ahorrarían al menos un 30% de tiempo y esfuerzo en parchear contra eventos potenciales, sin impacto material para sus empresas.
Como ejemplo, Harkins comparte cómo, mientras estuvo en Intel, tenía el objetivo de diseño de garantizar:
“Ningún impacto materialmente significativo en la continuidad del negocio, ya sea por incendio, inundación o cibernético”.
Así, cuando en 2010 una actualización de McAfee provocó un colapso mundial de Windows XP, Intel aún podía recibir, procesar y enviar pedidos, mientras los diseñadores aún podían realizar su trabajo.
Algunos puntos finales no críticos no pudieron acceder a la red durante algunas horas, lo que, según él, no fue una gran pérdida.
Reducir la duplicación en las herramientas de seguridad
Desafortunadamente, la mayoría de los grupos de seguridad aún luchan con el inventario y la evaluación básicos del sistema, pero la identificación de activos se ha vuelto más crítica a medida que se les pide a los CISOs que hagan más con menos.
Saber dónde concentrar los esfuerzos puede ayudar a identificar y reducir el desperdicio de servicios y herramientas de seguridad.
“La defensa en profundidad realmente se ha convertido en un gasto en profundidad”, agrega Harkins con una sonrisa.
La reducción de la duplicación de herramientas de seguridad es un área que puede conducir fácilmente a la innovación, señala a su vez Darden Ford.
Por ejemplo, ejecutar lean en la nube le permite a su equipo brindar más seguridad por menos inversión inicial, lo que respalda la transformación digital de la organización más grande a la nube.
La ejecutiva siente que las plataformas más antiguas que no comenzaron como nativas de la nube pero que se adaptaron a la nube han demostrado ser menos efectivas que las herramientas nativas.
También advierte contra la firma de contratos de proveedores a largo plazo que pueden encerrarlo en un mal negocio.
En uno de esos casos, Al Ghous heredó un costoso contrato de varios años con un gran proveedor de plataformas de seguridad cuando fue contratado como CISO en SnapDocs, una innovadora plataforma de cierre de hipotecas basada en la nube.
“Después de evaluar la efectividad de la plataforma de seguridad bajo contrato, me di cuenta de que el equipo solo podía obtener un 10% de capacidad. Entonces, comenzamos a buscar alternativas y ahora estamos realizando pruebas piloto antes de la fecha de vencimiento de nuestro contrato, prestando especial atención a la cobertura y el ahorro de costos”, explicó .
SnapDocs es una empresa nativa de la nube, y su equipo también está encontrando herramientas de seguridad nativas de la nube más efectivas para su modelo comercial.
Señala que la plataforma que quieren reemplazar no comenzó como nativa de la nube, sino que se actualizó para la nube como muchas de las grandes plataformas establecidas en la actualidad.
De hecho, debido a que tantas herramientas de seguridad no satisfacen de manera efectiva las complejas necesidades comerciales de la actualidad, Ghous participa activamente en la identificación y financiaciamiento de la innovación en seguridad a través de la alianza de inversión CISO, CyberFuture, formada por Elron Ventures y respaldada por CISOs de importantes empresas, incluida Airbnb, Cruceros por el Caribe y HiBob.
Los CISOs deben alinearse con los objetivos del CFO
“Una de las cosas claves de las que hablamos en la alianza es hacer que los dólares de seguridad rindan más y cuál es el valor agregado”, dice Ghous. “Incluso fuera de la situación macroeconómica actual, es prudente que los CISOs alineen sus objetivos organizacionales con los de sus negocios. Entonces, la discusión sobre la inversión se vuelve más fácil porque, si está respaldando los objetivos de su empresa a través de sus programas de seguridad, las cosas se ajustarán en consecuencia”.
También sugiere alinearse con el CFO, demostrando mejoras de seguridad y eficiencias mientras apoya de manera efectiva las demandas de riesgo y cumplimiento.
Ghous agrega que, en industrias estrictamente reguladas como la atención médica, las finanzas y el gobierno, el cumplimiento puede usarse como palanca para justificar el gasto, siempre que se priorice en torno a los objetivos comerciales.
Al igual que Harkins, Ghous también cree que deben realizarse evaluaciones periódicas (al menos una vez al año) de la eficacia de las herramientas y los servicios, con miras al ahorro continuo de costos y la reducción de desperdicios.
Haz más con lo que ya tienes
Yaniv Toledano, VP global CISO en Pagaya Technologies – una firma de análisis de crédito habilitada por IA – advierte contra el gasto innecesario en nuevas herramientas cuando las herramientas existentes se pueden consolidar, automatizar y orquestar para hacer más con menos.
En tiempos como estos, agrega, es importante enfocarse en satisfacer las necesidades actuales mediante la maduración de los controles que ya existen, siempre que puedan cumplir con los objetivos.
“Empecé aquí hace dos años durante el COVID-19, cuando Pagaya estaba en pleno crecimiento y se asociaba con algunos de los bancos más grandes de los EE. UU. que requieren un cumplimiento estricto de los marcos de ciberseguridad y resiliencia más sólidos y exigen que tengamos los procesos de seguridad más maduros posibles”, explicó Toledano.
Destacó que, en tiempos de recesión y restricciones presupuestarias, la respuesta es consolidar y orquestar las herramientas que se tienen de la manera más eficiente antes de gastar más dinero en nuevas soluciones.
Espere también cierta consolidación de personas, agrega, lo que ocurre principalmente a través del desgaste. Toledano dice que, para retener a su mejor gente durante los tiempos difíciles, les da algunos proyectos geniales para mantenerlos interesados.
Una forma es involucrarlos directamente en medidas de ahorro de costos, asignándolos a la mejor investigación de seguridad de su clase donde pueden elegir algunas nuevas empresas de seguridad para estudiar futuras implementaciones con miras a mejorar la eficiencia y la eficacia.
“Los profesionales de la seguridad necesitan evolucionar continuamente para mantenerse entusiasmados con su trabajo. Más allá de hacer más con lo que tienes, también estás dando vida a la innovación de una manera creativa. Incluso en una mala economía, no podemos cortar la innovación”, asegura.