Seguridad digital y arquitectura empresarial: más fuertes juntas
Aunque están situadas dentro de la organización y estrechamente asociadas con el departamento de TI, la seguridad del sistema de información y la arquitectura empresarial se desarrollan con frecuencia de manera independiente en silo separados. Sin embargo, cuando se combinan de manera efectiva, pueden complementarse entre sí, acelerando el progreso de una organización en la transformación digital.
Seguridad del sistema de información: una perspectiva fragmentada de las soluciones tecnológicas
En la era de las tecnologías emergentes como la computación en la nube, la inteligencia artificial (IA)/ aprendizaje automático (ML), el Internet de las cosas (IoT), blockchain y otras, garantizar la seguridad de los sistemas de la información (SI) se ha convertido en un desafío importante para los negocios. Forrester informa que 63% de las empresas intenta incrementar sus presupuestos designados a la seguridad de los sistemas de información. En particular, 27% de los encuestados consideran que se trata de un aspecto primordial dentro de sus objetivos estratégicos.
Al contemplar las amenazas no deliberadas y deliberadas como actos malintencionados, accidentes y pérdida de datos, junto con la creciente importancia de la tecnología digital en el crecimiento y éxito organizacional, los equipos de seguridad realizan actividades que ya no son meramente esenciales, sino casi indispensables. Estas actividades implican abordar aspectos de seguridad en las fases previas, lo que comúnmente se conoce como “seguridad por diseño”, lo que implica formular una política de seguridad integral que abarca la gestión de acceso y de identidad, gestionar riesgos mediante la identificación de amenazas y definir controles y medidas de resiliencia, así como supervisar las operaciones a través del monitoreo y la gestión de incidentes.
Esto puede considerarse un despliegue de fuerzas justificado, resultado de un enfoque centrado exclusivamente en la tecnología, sin considerar las consecuencias para el negocio. Sin embargo, la criticidad de una aplicación o un proceso sigue siendo fundamental para identificar y corregir riesgos digitales en la organización.
Priorizar amenazas y medidas correctivas de seguridad del sistema de información
Aunque la naturaleza fundamental de la gestión de seguridad de los sistemas de información es técnica, alinearla con una visión estratégica y un enfoque orientado a negocios aumenta de manera significativa su credibilidad.
En el ámbito de la detección y rectificación de vulnerabilidades, una amenaza considerada “significativa” desde una perspectiva técnica puede ejercer una influencia mínima en la empresa si se dirige a una aplicación o a un proceso suplementario. Por el contrario, cuando afecta a un proceso o aplicación de negocios esencial, cualquier amenaza, independientemente de su magnitud técnica, exige una rápida consideración, ya que podría suponer un riesgo sustancial de desestabilización para toda la organización. Por ejemplo, en un banco, un escenario de bajo riesgo que implique a una aplicación comercial debe tratarse con mayor seriedad que una amenaza de alto nivel que afecte a una herramienta de marketing.
La clave está en priorizar las amenazas y las acciones correspondientes con base en la severidad de su impacto potencial en la empresa y, más ampliamente, en la estabilidad financiera de la organización. Esto pone en relieve la importancia del arquitecto empresarial, que sirve de potente aliado para los equipos de seguridad de sistemas de información al ofrecer una perspectiva transversal de los procesos de negocios y los elementos de los sistemas de información.
Seguridad del sistema de información al servicio de la transformación digital
En las organizaciones, hay un amplio consenso con respecto a que el conocimiento integral de las vulnerabilidades en el sistema de información debe circunscribirse a un grupo limitado de personas. Esta práctica tiene por objetivo mitigar tanto las amenazas intencionales como no intencionales que se originan dentro de la organización. Como resultado, el director de seguridad de la información (CISO, por sus siglas en inglés) y el equipo de seguridad generalmente suelen revelar información mínima a la empresa en general.
Sin ahondar en detalles específicos, proporcionar indicadores esenciales de las actividades de ciberseguridad, como el nivel de riesgo asociado con las tecnologías, a los arquitectos empresariales puede capacitarlos para tomar decisiones informadas y agilizar la transformación digital de toda la organización. Incluso, en escenarios como dos proyectos de migración a la nube, tener visibilidad del estado de “salud y seguridad” de las aplicaciones seleccionadas puede ayudar a priorizar. Al dar prioridad a la migración de aplicaciones menos seguras, se pueden mitigar las posibles repercusiones financieras y de reputación tras un ciberataque.
Aunque la transformación digital tiene una importancia primordial y el imperativo de mantener la seguridad de los sistemas de información asociados genera mucha presión, las organizaciones frecuentemente encuentran limitaciones presupuestarias en este ámbito. No obstante, a través de esfuerzos colaborativos, los arquitectos empresariales y los equipos del CISO pueden armonizar sus esfuerzos y optimizar los presupuestos asignados a las iniciativas digitales. Esta colaboración asegura que la organización logra una aceleración sostenible, segura y confiable en sus esfuerzos digitales.