Audio Quick Take: Fred Rica de KPMG sobre cómo los equipos de ciberseguridad pueden evolucionar para mantener a las organizaciones resilientes y competitivas

Audio Quick Take: Fred Rica de KPMG sobre cómo los equipos de ciberseguridad pueden evolucionar para mantener a las organizaciones resilientes y competitivas

Audio Quick Take: Fred Rica de KPMG sobre cómo los equipos de ciberseguridad pueden evolucionar para mantener a las organizaciones resilientes y competitivas

Descarga este podcast

El ex piloto de carreras Mario Andretti dijo la famosa frase: “Es sorprendente cuánta gente piensa que los frenos sirven para frenar el coche”. Y tenía razón: los frenos sirven para hacer que el automóvil vaya más rápido y con seguridad. Fred Rica, director de servicios de ciberseguridad de KPMG, cree que esto resume a la perfección el papel de la ciberseguridad en las organizaciones de hoy, para permitirles disfrutar de los máximos beneficios de la transformación digital mientras gestionan los numerosos riesgos.

Covid-19 ha magnificado tanto las oportunidades como las amenazas de la digitalización. Las organizaciones han logrado avances increíbles en el trabajo remoto y la colaboración para los empleados, así como en la mejora de la experiencia digital del cliente. Pero esto también nos ha recordado que los perímetros físicos ya no existen. Con la creciente dependencia de terceros y la proliferación de Internet de las cosas y otros dispositivos, la ciberseguridad ahora involucra ecosistemas complejos con un potencial de amenaza dramáticamente incrementado. En un mercado donde la velocidad de comercialización es esencial, los equipos de ciberseguridad ahora son responsables de generar confianza y resiliencia al forjar una cultura de seguridad pragmática y ayudar a integrar la seguridad mediante el pensamiento de diseño en cada aspecto de la infraestructura y los datos digitales. Para hacer esto, deben verse a sí mismos como habilitadores y facilitadores, ayudando a otros a brindar servicios y marcas que merecen la confianza cibernética entre los clientes, los empleados y la sociedad en general.

Todd Pruzan, HBR

Bienvenido a HBR Audio Quick Take. Soy Todd Pruzan, editor senior de investigación y proyectos especiales de Harvard Business Review. Aquí conmigo hoy está Fred Rica. Fred es director de la práctica de servicios de ciberseguridad de KPMG y tiene una experiencia significativa en la gestión de riesgos de ciberseguridad y tecnología. Es una autoridad reconocida a nivel nacional sobre seguridad de la información y ha realizado o gestionado cientos de proyectos de evaluación, diseño e implementación de seguridad en entornos de procesamiento grandes y complejos. Fred, muchas gracias por acompañarnos hoy.

Fred Rica, KPMG

Es genial estar aquí. Gracias.

Todd Pruzan, HBR

Los CISO necesitan hablar el idioma del C-suite, entonces, ¿puede contarnos acerca de las acciones específicas que los CISO deben tomar para ganarse su lugar en el C-suite?

Fred Rica, KPMG

Muchas veces, nos encontramos con que los CISO hablan un lenguaje técnico, y es un lenguaje que los ejecutivos de alto nivel y los miembros de la junta simplemente no entienden. Cuando empiezan a hablar de cortafuegos y bloqueos e IPS e IDS, por lo general, los ojos de los ejecutivos se mueven hacia atrás. Lo que los CISO modernos deben poder hacer es traducir esa tecnología en el contexto del negocio. Esto significa hablar sobre los riesgos que podría enfrentar la empresa, qué implementamos para mitigar esos riesgos y qué riesgos podríamos estar dejando sobre la mesa.

Todo debería estar ligado a: ¿Cómo ayudamos a hacer crecer el negocio? ¿Cómo ayudamos a habilitar la estrategia empresarial? Tenemos ese gran dicho de Mario Andretti sobre que no tienes frenos para ir lento, tienes frenos para que puedas ir rápido. Los CISO modernos deben poder hablar sobre cómo esos frenos ayudarán a que la empresa crezca, cómo ayudarán a la empresa a alcanzar sus objetivos estratégicos.

Muchas veces, cuando aconsejo a las juntas directivas, una de las cosas que digo medio en broma es que si su CISO entra y dice la palabra “firewall” en su presentación, debe despedirlas. Hablan el idioma equivocado. Están hablando de tecnología. No están hablando de habilitación comercial, y eso es lo que separa a los CISO modernos y más efectivos de sus predecesores. Esos son los CISO que se ganan su lugar en la C-suite.

Todd Pruzan, HBR

La composición y la naturaleza del equipo de seguridad del mañana están cambiando rápidamente, creando una brecha seria en el grupo de talentos disponibles de los profesionales cibernéticos. Además, trabajar desde casa y la economía de los conciertos hacen que la contratación y retención cibernéticas sea un desafío. Entonces, ¿qué pueden hacer los CISO para cerrar esa brecha y garantizar un equipo cibernético sólido y talentoso?

Fred Rica, KPMG

Existe una brecha real en este momento en el talento en ciberseguridad. Hay un desempleo esencialmente negativo. Hay más puestos de trabajo que personas calificadas, por lo que reclutar, atraer y retener personas con habilidades cibernéticas son desafíos enormes para todos en este momento. Luego, cuando empiece a ver lo que la pandemia ha hecho a los modelos tradicionales de trabajo, cuando piense en la economía de los trabajos por encargo, cuando piense en una generación de trabajadores que tal vez no esté tan interesada en un modelo de 10, 20 o 30 años de carrera, como podrían haber sido sus predecesores, eso crea algunos problemas reales para asegurarnos de que tenemos suficientes personas del tipo adecuado. Los CISO modernos deben comenzar a pensar en diferentes modelos de personal, en diferentes modelos de participación y en diferentes formas de asegurarse de que tienen los recursos adecuados en su equipo.

Es fácil imaginar a casi todo el mundo en un escenario de contratista, donde los CISO pueden comenzar a extraer de un grupo de talentos de confianza. Si pudieras imaginar un grupo de personas que son examinadas por otras personas y se consideran confiables, bueno, entonces tienes acceso a un grupo de recursos que puedes incorporar y desembarcar cuando los necesites, ¿verdad? Tienes capacidad de sobretensión. Tiene habilidades específicas que quizás solo necesite durante un período discreto, por lo que los CISO inteligentes están comenzando a mirar más allá de los modelos de contratación tradicionales. Y están comenzando a buscar otros modelos mediante los cuales adquieren recursos a pedido, y saben que esos recursos son confiables y les ayuda a llenar ese vacío, no solo a corto plazo, sino probablemente también a largo plazo. Por lo tanto, operan con un grupo central de personas, pero se expanden y contraen utilizando “todos son contratistas” de una manera más agresiva que en la actualidad.

Todd Pruzan, HBR

Covid-19 y trabajar desde casa han demostrado la rapidez con la que la interrupción puede acelerar y afectar drásticamente el perfil de riesgo de una organización. Nos ha obligado a repensar nuestra tolerancia al riesgo. Entonces, ¿qué pueden hacer los CISO para anticipar y aceptar la interrupción continua?

Fred Rica, KPMG

Está claro que nos dirigimos hacia un mundo muy hiperconectado. Cuando empiezas a pensar en Internet de las cosas y los dispositivos conectados, cuando empiezas a pensar en el poder de la tecnología, [about] cosas como las redes 5G, aumentará enormemente la eficiencia. Permitirá formas radicalmente diferentes de hacer negocios, lo cual es genial, pero también abrirá a las organizaciones a nuevas superficies de ataque, nuevos tipos de ataques y nuevas preocupaciones de privacidad.

Entonces, los CISO con visión de futuro tendrán que hacer un par de cosas. Uno, van a tener que entender que este cambio está por llegar, y lo quieran o no, ya está por llegar. Necesitan estar preparados para ello. Necesitan estar preparados para cambiar a eso. Deben empezar a pensar en modelos en los que estén mucho más centrados en los datos. En el pasado, solíamos hablar de perímetros y solíamos hablar de identidades. Creo que, en el futuro, hablaremos más sobre modelos centrados en datos. Habrá mucha tecnología que vendrá junto con esto. Escuchamos cosas como la confianza cero y la formación continua de equipos rojos, un mayor uso de la automatización, el aprendizaje automático, la inteligencia artificial; todas esas cosas serán importantes. Pero lo más importante es reconocer que el modelo de negocio está cambiando rápidamente, poder evaluar las nuevas amenazas y las nuevas vulnerabilidades que esto presentará, y luego poder aprovechar la nueva tecnología para ayudar a abordar esas amenazas y abordar esos riesgos. Y nuevamente, como mencionamos al principio, poder ayudar al negocio a avanzar, trabajar de manera más eficiente, crecer más rápido y cumplir con sus objetivos estratégicos.

Todd Pruzan, HBR

Es difícil para los CISO y las organizaciones actuar solos en el mundo hiperconectado de hoy, donde están surgiendo nuevas amenazas y riesgos a un ritmo nunca antes visto. ¿Cuáles son algunas de las formas en que los CISO pueden utilizar un ecosistema más amplio para ayudar a proteger la empresa?

Fred Rica, KPMG

Le guste o no, su organización ahora es parte de un ecosistema muy complejo. Tienes proveedores. Tienes socios. Hemos hablado durante muchos años sobre la falta de un perímetro, por lo que los servicios compartidos y los datos compartidos que tiene con todos estos terceros son formas importantes en las que hacemos negocios ahora, pero también presentan un nuevo conjunto de riesgos.

En el pasado, solíamos hablar sobre contratos y modelos de responsabilidad, pero realmente no parecen funcionar en esta cadena de suministro en rápida evolución y crecimiento. Estamos viendo cada vez más amenazas provenientes de organizaciones de terceros e incluso de cuartos. Los CISO con visión de futuro deben comenzar a pensar en: ¿Cómo es el nuevo modelo de asociación? ¿Cómo lo entiendo de una manera mucho más íntima que en el pasado? ¿Con quién estoy haciendo negocios? ¿Qué tipo de riesgos presentan para mi organización? ¿Qué tipo de datos están manejando por mí? ¿Qué tipo de transacciones están procesando en mi nombre? ¿Comprendo realmente los riesgos que me presenta mi ecosistema y estoy implementando los controles adecuados no solo para mitigar ese riesgo, sino para monitorearlo de manera continua?

Muchas veces lo que sucede es un tercero o un socio con el que trabajamos hoy que tiene un riesgo relativamente bajo, con el tiempo puede convertirse en un riesgo cada vez mayor para nosotros. Hemos visto que muchas organizaciones tienen problemas porque no han realizado esa evaluación continua. No tienen una comprensión actualizada del riesgo que les presenta el ecosistema. El hecho es que ya no puede hacerlo solo. Su ecosistema continuará expandiéndose a un ritmo exponencial, por lo que diferentes modelos para evaluar ese riesgo, monitorear ese riesgo y administrar ese riesgo a lo largo del tiempo son lo que separará a los buenos CISO de los CISO que podrían tener problemas.

Todd Pruzan, HBR

La capacitación y la concientización sobre ciberseguridad ya no son una tarea única, y las camisetas y las tazas de café ya no son suficientes. ¿Cómo pueden los CISO incorporar la ciberseguridad en el ADN de la organización y hacer que el pensamiento cibernético sea un proceso y no un evento? ¿Cómo pasamos del acto consciente al hábito?

Fred Rica, KPMG

Los CISO modernos deben ser comunicadores mucho más sofisticados que en el pasado. Necesitan ser evangelizadores de su programa de ciberseguridad. Sabemos por datos empíricos que la formación y la concienciación en ciberseguridad efectivas reducen en gran medida el riesgo, la probabilidad, el costo y el impacto de un evento cibernético. Entonces, no es suficiente regalar una camiseta y una taza de café una vez al año. Lo que realmente tenemos que empezar a pensar es: ¿Cómo construimos una marca en torno a nuestro programa de ciberseguridad? ¿Cómo conseguimos que la gente acepte la misión? ¿Cómo los entusiasmamos de que la ciberseguridad es importante y que juegan un papel muy importante en la protección de la empresa?

Lo que hemos encontrado es que los programas modernos que son altamente efectivos tienen un par de cosas en común. Uno es el reconocimiento de que los adultos aprenden de manera diferente que los niños, por lo que necesita un programa que se base en los estilos de aprendizaje de adultos. Sabemos que cosas como la gamificación, la realidad aumentada, la realidad virtual, ese tipo de mecanismo de entrega, pueden tener un impacto enorme. Hace que la gente se emocione al participar en la capacitación.

Si le pregunta a la gente si está esperando su entrenamiento, no levantará muchas manos. Pero cuando comienzas a agregar cosas como juegos y automatización, la gente realmente se entusiasma con eso. En última instancia, lo que hemos descubierto es que deberíamos hacer que la formación sea algo personal para las personas. Hoy en día, los programas realmente buenos no solo enseñan a las personas cómo proteger la empresa, sino que en el entorno de trabajo desde casa, posterior a Covid-19, donde todos son el CISO de su casa o de su hogar, los programas también deben tener eso en cuenta y mostrarle a la gente cómo proteger a sus familias, cómo proteger a sus hijos, que probablemente estén en línea más de lo habitual; sus padres que podrían vivir con usted, que están en línea más de lo habitual; ir a la escuela de forma remota. Cuando los programas comienzan a tomar eso en cuenta y le mostramos a nuestra gente que también nos preocupamos por ellos personalmente, sabemos que eso se traduce en un deseo más fuerte de proteger a la empresa.

Ese mensaje persistente y consistente de que estamos todos juntos en esto, es parte de una misión, protege a la empresa y lo protege a usted personalmente. [that] lleva esos programas a un nivel más moderno y los hace mucho más efectivos contra todas las amenazas nuevas y emergentes que seguimos viendo.

Todd Pruzan, HBR

Fred Rica de KPMG, gracias por acompañarnos hoy.

Fred Rica, KPMG

Mi placer. Gracias.


Si desea obtener más información sobre cómo KPMG ayuda a los clientes a ganarse la confianza de las partes interesadas, visite read.kpmg.us/trust.

Related Stories