Gestionar la ciberseguridad durante la pandemia y en la nueva era digital

Cuando las empresas cambiaron a una fuerza de trabajo remota en medio de una pandemia mundial, no previeron lo vulnerables que se volverían a los ciberataques. Los líderes empresariales no solo tuvieron que intensificar sus esfuerzos de transformación digital, sino que los directores de seguridad de la información tuvieron que replantearse su estrategia de ciberseguridad y encontrar rápidamente nuevas formas de gestionar las amenazas.

Roota Almeida, CISO de Delta Dental en New Jersey y Delta Dental en Connecticut, dijo que gestionó la ciberseguridad durante la pandemia volviendo a capacitar a los equipos de seguridad y replanteándose cómo manejar las amenazas.

Lea la entrevista a continuación y vea el video en el que Almeida, ponente en el Simposio Sloan CIO 2021 del MIT, en un panel sobre la protección de sus innovaciones digitales frente a los ciberataques, habla de la importancia de encontrar personas con nuevos conjuntos de habilidades y de cómo la pandemia está abriendo las puertas para que más mujeres se unan a la industria, especialmente en puestos de ciberseguridad.

¿Qué tipo de amenazas a la ciberseguridad está viendo hoy en día? ¿En qué se diferencian de las que ha visto y tratado en el pasado?

Roota Almeida: Hoy en día, la gestión del riesgo de terceros es una de las principales amenazas que estamos viendo en la industria. Es posible que haya visto, en los últimos meses, muchas violaciones prominentes en varias organizaciones en los Estados Unidos y en todo el mundo, donde los hackers han aprovechado las vulnerabilidades de terceros para entrar.

Las organizaciones dependen cada vez más de terceros para el procesamiento de información crítica que antes. Esto hace que sea aún más importante gestionar los riesgos inherentes a este proceso. Al fin y al cabo, esos datos siguen siendo propiedad de la organización, incluso si se recurre a un tercero para procesar esos datos o publicarlos: sigo siendo responsable de protegerlos. Por lo tanto, toda organización debe tener un sólido programa de gestión de riesgos de terceros para evaluar y gestionar continuamente estos riesgos. Es imperativo asegurarse de que los terceros con los que se elige hacer negocios siguen los protocolos de seguridad requeridos por su organización, porque ahora son una extensión de su organización [que maneja] sus datos.

Como organización, ¿cómo va a evaluar eso? La evaluación no puede hacerse en un momento dado, sino que debe ser un proceso continuo. Tampoco es una «talla única». Hay que entender cuál es la criticidad de esta relación. No todos los terceros con los que se hace negocio son críticos; [por tanto,] no hay que mirarlos a través del mismo lente.

Las mejores prácticas de seguridad suelen ser difíciles de aplicar incluso en tiempos normales. ¿Cómo han formado usted y su equipo de seguridad a los empleados para que puedan trabajar eficazmente durante la pandemia, siendo conscientes al mismo tiempo del riesgo de posibles violaciones de la seguridad?

Almeida: La pandemia ha cambiado, sin duda, el lugar de trabajo de las empresas. Las empresas que tradicionalmente seguían la cultura presencial tuvieron que cambiar de la noche a la mañana, y todo el mundo empezó a trabajar a distancia, como hicimos en Delta Dental de Nueva Jersey y Connecticut. Pero nuestras inversiones en la mejora de nuestra postura de seguridad y el apoyo al trabajo a distancia desde [la] perspectiva empresarial y de seguridad en los últimos años definitivamente dieron sus frutos. De repente, todos nos volvimos remotos como el resto del mundo. Desde ese punto de vista, no tuvimos que cambiar drásticamente nuestra forma de trabajar en términos de seguridad. Pero, desde el punto de vista de la supervisión, nuestros objetivos de seguridad y controles operativos se aceleraron o perfeccionaron.

Por ejemplo, se han acelerado algunas iniciativas secundarias. Aceleramos nuestra estrategia de gestión de identidades y accesos para garantizar un acceso seguro y sin fisuras a nuestros usuarios, independientemente del dispositivo o la aplicación que utilicen. También revisamos y ajustamos nuestros algoritmos UBA [análisis del comportamiento del usuario] para que fueran compatibles con la nueva forma de trabajar, a fin de limitar los falsos positivos y ahorrar un tiempo valioso a mi equipo de seguridad.

Usted no quiere quedar enterrado en falsos positivos, especialmente ahora que estábamos supervisando y alertando sobre varios tipos de actividades en las que antes no nos centrábamos del todo, como los inicios de sesión remotos. Desde el punto de vista de la inversión, todo lo que hemos invertido en los últimos años ha dado sus frutos. Y lo que cambiamos fue aumentar el ritmo de ciertas cosas y sacarlas de la reserva o de los atrasos y empezar a moverlas de una manera más rápida.

Se ha hablado mucho de la necesidad de volver a capacitar a los empleados o de contratar a personas con diferentes habilidades en esta nueva era digital. ¿Son los conjuntos de habilidades que busca en su equipo de seguridad diferentes de los que buscaba antes de la pandemia?

Almeida: Los conjuntos de habilidades no han cambiado, per se. Pero sí ha cambiado la contratación de personas fuera de las zonas de desplazamiento. Y no somos solo nosotros: creo que muchas organizaciones se están abriendo, y se les está permitiendo contratar a personas con el conjunto de aptitudes adecuado, que pueden estar completamente a distancia, pero que siguen aportando el mismo valor. Como las organizaciones están ahora acostumbradas a trabajar a distancia, pueden abrir sus horizontes y obtener el conjunto de habilidades de otro estado, por así decirlo. Esto ha abierto las puertas a muchas empresas que intentan cubrir puestos de trabajo y a candidatos que buscan diferentes tipos de empleo.

Una cosa que se ha convertido en lo primero de nuestra lista cuando contratamos candidatos en este entorno de trabajo a distancia es la capacidad de comunicación. Tanto si se trata de habilidades de comunicación escrita como de habilidades de comunicación verbal a través del correo electrónico, el teléfono [o] las videollamadas, se ha convertido en algo importante, especialmente para las nuevas contrataciones, que serán completamente remotas y trabajarán con un gran equipo. La comunicación se vuelve [cada vez más] importante cuando no se puede estar en la misma habitación o en el mismo edificio que los demás.

Usted ha contribuido a instituir un cambio cultural en el ámbito de la ciberseguridad. Y, aunque todavía no hay suficientes mujeres en la tecnología –especialmente en los puestos de dirección–, ¿cree que eso podría cambiar dado que el futuro del trabajo se está transformando? ¿Está la pandemia creando nuevas oportunidades para que más mujeres se unan a la industria, particularmente en STEM?

Almeida: Creo que este trabajo desde casa o desde cualquier lugar que ha surgido debido a la pandemia ayudará a las mujeres a entrar en una industria como la nuestra y a quedarse durante más tiempo. En el pasado, las barreras que he visto se deben al estrés relacionado con este tipo de trabajo: las mujeres o bien no entran en la fuerza de trabajo, o cuando entran en la fuerza de trabajo, no se quedan por mucho tiempo, especialmente si están empezando una familia o algo [similar]. Entonces, les resulta difícil permanecer en un entorno tan estresante.

Ahora, al poder ir desde cualquier momento y lugar, pueden equilibrar mejor su trabajo y su vida. Creo que ha abierto puertas no solo en el sector de la seguridad, sino también en otros sectores. Y espero que más mujeres se incorporen a este campo de la seguridad, pero eso es solo un aspecto de por qué las mujeres no se incorporan; podemos hablar durante horas de otros aspectos de la educación y de cosas que [no] están disponibles en todas partes. Pero este trabajo a distancia aumentará el porcentaje de mujeres.

Nota del editor: Las respuestas se editaron para mejorar la longitud y la claridad.