Transformación digital es el termino más reciente en estar de moda, ¿pero en realidad que significa? Después de 15 años en el ámbito de la seguridad cibernética debo admitir que el termino se refiere, nada más, ni nada menos, que a la adopción de procesos y procedimientos formales dentro de una organización de tecnología. La idea aquí es que la adopción de dichos procesos y procedimientos de manera ordenada, y la asignación de roles y responsabilidades, en las áreas que les corresponde; debe eliminar gran parte del misterio que rodea las actividades de las direcciones y vicepresidencias de tecnología, mismos misterios que nos han mantenido, durante décadas, hablando un idioma distinto al que habla el resto de la organización, especialmente los ejecutivos.
Ahora, que tiene que ver esto con seguridad cibernética…. pues todo; si existe un área, dentro de tecnología, que típicamente opera en la sombra, es el área de seguridad; algunos piensan que así es como debemos operar, no se si es porque le da un aire de misterio, o tal vez nos hace sentir como en una película de agentes secretos, pero la realidad es que la seguridad a través de la oscuridad no funciona, ni ahora, ni antes, ni nunca.
La única manera de poder proveer servicios de seguridad para las organizaciones en las que trabajamos, o para nuestros clientes (en el caso de los proveedores), es a través de la transparencia, claridad de funcionamiento de las tecnologías asociadas a los diferentes controles técnicos, y al entendimiento que no existe una solución mágica al problema de la seguridad cibernética. Así como no existe un solo proceso universal que abarque todo, no existe un solo proveedor de tecnología, ni una sola metodología universal que se adapte a todo; hay que trabajar en nuestros propios procesos y pulirlos hasta que se los mismos sean lo más eficientes, eficaces y económicos posible, para luego definir el tipo de controles y métricas, que nos permitirán determinar el retorno de la inversión en seguridad.
Ahora, aquí es donde viene lo bueno; resulta que durante años hemos tenido a nuestro alcance los marcos de referencia necesarios para llevar a cabo esto, algunos son:
- ISO27001
- COBIT
- ITIL
- MOF
- Matrices RACI
La matemática no es complicada y cuando no sepamos que hacer, sencillamente se pueden agregar criterios discrecionales que nos ayuden a llegar a una conclusión numérica, que podamos utilizar en nuestras conversaciones con el negocio.
Sin una base común, de criterios claros y acordados entre las diferentes áreas de tecnología, con respecto a la asignación de roles y funciones, más los procesos asociados, es prácticamente imposible implementar una practica eficaz y eficiente de seguridad cibernética.
Ahora, esta es la parte donde hay más preguntas que respuestas ¿quién debe liderar la transformación digital? ¿qué marco de referencia utilizar? ¿qué cambios culturales hay que hacer? ¿qué hace el área de seguridad cibernética mientras esto sucede? ¿se puede forzar el cambio? ¿creen que este articulo es una locura?