Cómo mejorar la relación entre seguridad y TI

Cómo mejorar la relación entre seguridad y TI

José Antonio Lorenzo

Este último año ha habido un gran avance en la transición hacia el mundo digital. Sin duda, ha sido una época de muchos cambios y a menudo se han producido tensiones entre distintos departamentos. En ese sentido, nunca ha sido tan importante que los distintos líderes de tecnología digital como los CIO, CISO y más trabajen de forma conjunta mientras planifican el futuro de sus empresas. Aquí vamos a explicar cómo mejorar la relación entre seguridad y TI para que trabajen al unísono en la misma dirección.

Habitualmente las relaciones entre los departamentos de TI y seguridad corporativa suelen ser complicadas. A continuación, vamos a explicar por qué se producen fricciones entre estos grupos. A continuación, daremos soluciones para mejorar la relación entre seguridad y TI.

Las causas de las tensiones entre seguridad y TI

A lo largo de mucho tiempo, en demasiadas empresas, la TI y la seguridad se han visto a sí mismas como dos disciplinas diferentes con misiones fundamentalmente opuestas que se han visto en la necesidad trabajar juntas.

Así, en las organizaciones donde existe esta tensión se debe al conflicto generado entre el CIO (Chief Information Officer) y el CISO (Chief Information Security Officer). Los problemas por un lado vienen por el enfoque del CIO en la entrega y disponibilidad de servicios digitales para obtener una ventaja competitiva y satisfacción del cliente. Por otro lado, el conflicto de intereses viene cuando el CISO se dedica a encontrar riesgos de seguridad y privacidad en esos mismos servicios.

En relación entre seguridad y TI (Tecnologías de la información), los profesionales de TI tienden a pensar en los equipos de seguridad como el departamento del «no». Por otra parte, los profesionales de la seguridad consideran que los equipos de TI siempre anteponen la velocidad a la seguridad. Ahora vamos a ver qué podemos hacer para reducir esas fricciones y que todos trabajen en la misma dirección.

Cambiar hacia una cultura de socios

El primer paso debe ser un cambio de mentalidad, abandonando la cultura de la división. Así, las funciones de seguridad y TI deben dejar de tratarse entre ellos como «los otros» y comenzar a pensar en que ambos equipos son socios que deben trabajar conjuntamente para el bien de la empresa. El objetivo es que, cuando uno tenga éxito, ambos terminen destacando. Aunque también es importante desarrollar e implementar aplicaciones rápidamente, el TI necesita seguridad porque hay que asegurarse de que estén protegidas. En ese sentido, los CIO y CISO deben decidir que sus departamentos trabajen conjuntamente en vez de en equipos que operen de forma separada.

La colaboración y comunicación desde las primeras etapas

Si trabajan todos juntos desde el principio, la relación entre seguridad y TI puede ser mucho mejor. Así, en las etapas de ideas de la aplicación, diseño y revisión de la arquitectura, al trabajar todos de forma conjunta, se evitarán conflictos más adelante.

La ventaja que se obtiene cuando la TI y la seguridad trabajan juntas desde el inicio, es que colaboran para integrar la seguridad en todo. Así, con el trabajo de ambos se evitan las vulnerabilidades y amenazas en el momento de lanzar una aplicación. Además, también se evita que el departamento de seguridad termine diciendo «no» y comiencen las discusiones por no haber planificado las cosas juntos desde el principio.

seguridad

Los distintos organigramas que podemos tener

Una cosa común extendida en el sector empresarial es que, tener tanto el CIO como el CISO reportando al CEO, automáticamente fomenta la colaboración y reduce los conflictos. A veces, esto puede ser cierto, pero cada empresa es distinta y no existe una solución única para todas.

Un informe de PwC desveló que ahora el 40% de los CISO reportaban a un CEO, mientras que el 24% informaba al CIO y el otro 27% reportaba directamente a la junta. En ese sentido está bien que la estructura de informes varíe según el tamaño de la empresa y la industria. Si un CIO en particular se establece como un líder empresarial estratégico que realmente comprende el papel crucial de la seguridad en la gestión de riesgos, el CISO que reporta al CIO puede ser una solución válida.

Por último, la relación entre seguridad y TI a veces es complicada debido a la relación entre los diferentes departamentos. No obstante, deben buscar la forma de trabajar juntos en los proyectos desde el inicio para evitar problemas después.