Kyndryl: La ciberseguridad se trata de gestionar los riesgos eficazmente

Una buena estrategia de ciberseguridad debe empezar siempre por definir cuál es el riesgo que un negocio está dispuesto a tolerar, y esa es una tarea en la que el director de seguridad de TI debe involucrar a las áreas del negocio. Pero, además, es fundamental que, al preparar la estrategia de ciberseguridad, el CISO sepa describir claramente las inversiones y acciones que darán soporte a los esfuerzos de reducción de riesgos del negocio. Esa es la recomendación de Kris Lovejoy, líder de la Práctica Global de Seguridad y Resiliencia de Kyndryl.

“Demasiadas veces he visto fracasar a los CISO porque no tienen claro el valor que aportarán las inversiones en términos de personas, procesos y tecnología. Sin la comprensión explícita, la dirección a menudo espera que las inversiones permitan una protección perfecta. Todos sabemos que eso no es posible”, subraya la experta.

Kris Lovejoy

Eso incluye, por supuesto, la adopción de la inteligencia artificial generativa. Para Kris Lovejoy, la IAgen es una herramienta que puede permitirle a los equipos de seguridad de TI avanzar en su capacidad de enfrentar la avalancha de amenazas actuales, pero utilizarla como un “compañero de confianza” requiere establecer primero límites y gobernanza adecuados.

En entrevista con ComputerWeekly en Español, la especialista en ciberseguridad y privacidad comenta también por qué la simplificación de entornos de TI y la modernización de infraestructuras legadas son necesarias para mejorar la seguridad de TI, así como la importancia de invertir en entrenamientos y ejercicios que fortalezcan la concienciación en los empleados y logren así una cultura de ciberresiliencia empresarial.

Una de las recomendaciones que se hacen a los CIO y CISO es trabajar en simplificar los entornos de TI para mejorar su gestión y seguridad. Pero, ¿cómo empezar a hacerlo? ¿Existen diferentes modelos para conseguirlo? ¿Cuál cree que es la mejor forma de hacerlo?

Kris Lovejoy: Siempre es más fácil acercarse a la simplificación desde la óptica de "los servicios críticos primero". Suponiendo que tiene un conocimiento preciso de los sistemas que dan soporte a las oportunidades críticas de negocio, recomendaría a los CIO y CSO que analizaran los controles de seguridad para determinar si existe la oportunidad de consolidar proveedores y reducir costos, con el objetivo de trasladar el ahorro a la automatización de los controles.

Paralelamente, en el caso de los sistemas que no son críticos, considere opciones para dejar de utilizarlos o, al menos, simplificar radicalmente la infraestructura que soporta su funcionamiento. Independientemente de dónde se encuentre en ese viaje, tenga en cuenta que el éxito depende de una cultura de colaboración y dedicación a la mejora continua. Sin estos ingredientes, cualquier proceso de simplificación fracasará.

Las amenazas y los riesgos para la ciberseguridad pueden provenir de múltiples frentes y evolucionan constantemente. ¿Están preparadas las herramientas basadas en IA para identificarlos con éxito?

Kris Lovejoy: Cada vez más, la IA está mejorando la habilidad de las organizaciones para identificar y detectar posibles amenazas y vulnerabilidades de una forma mucho más rápida y ágil. Con los elevados niveles de datos que llegan diariamente a los equipos de seguridad, darles sentido se ha convertido en un gran reto. Como resultado, las organizaciones han estado utilizando el aprendizaje automático y la IA para filtrar el ruido de una manera más eficaz mediante la utilización de técnicas de automatización y análisis. Vemos la IA generativa como la siguiente evolución de la IA y el aprendizaje automático. Si se implementan las salvaguardas adecuadas, la IA generativa podría dar el siguiente paso para mejorar aún más nuestra capacidad de analizar esas amenazas con mayor rapidez y hacer que el equipo de seguridad sea más eficaz.

¿Cómo puede formar a sus empleados para hacer frente a los ataques amplificados por IA?

Kris Lovejoy: El panorama de la ciberresiliencia se vuelve más complejo cada año. Los actores sofisticados y bien financiados; el aumento de las tasas de éxito de los ataques disruptivos, como el ransomware y los ataques de denegación de servicio; la escasez de habilidades; las restricciones presupuestarias; un creciente patrimonio de dispositivos heredados vulnerables; y las regulaciones cibernéticas cada vez más prescriptivas han hecho que la gestión de la ciberseguridad sea más difícil que nunca.

Aunque las organizaciones pueden tomar las medidas adecuadas para hacer un seguimiento de estas dinámicas cambiantes e implementar salvaguardas sólidas para proteger su negocio, el personal sigue siendo el eslabón más débil. La IA generativa está demostrando ser una tecnología cada vez más eficaz que puede utilizarse para explotar ese eslabón. Para contrarrestar el riesgo, los líderes deben cultivar una cultura empresarial que valore la responsabilidad y la transparencia. Esto implica empoderar a los empleados para que contribuyan activamente a crear un entorno ciberresiliente y hacer hincapié en la importancia de informar sobre problemas de seguridad sin temor a repercusiones.

Desde un punto de vista más táctico, invertir en entrenamientos en ciberseguridad, ejercicios de simulación, pruebas y simulacros cibernéticos es crucial para garantizar que los empleados comprendan la importancia de la formación y retengan la información.

Con el auge de la IA generativa, muchas organizaciones están ansiosas por adaptarse. ¿Cómo pueden afrontar estos desafíos?

Kris Lovejoy: Las organizaciones se están adentrando en terrenos inexplorados, y en gran medida no regulados, cuya ética y responsabilidad están en desarrollo para utilizar la tecnología autónoma. Es importante tener en cuenta estas estrategias y hacerlo de forma sistemática y teniendo en cuenta los riesgos:

• Buscar orientación en las nuevos estándares emergentes sobre IA;
• Prestar atención a la fuente y la integridad de los datos;
• Comenzar el viaje de la IA generativa con un caso de uso: uno de los enfoques más eficaces para utilizar con éxito la IA generativa es la atención al cliente.

Aunque la IA es tremendamente atractiva y bienintencionada, también tiene el potencial de causar estragos si no se guía y gestiona adecuadamente. Por este motivo, deben establecerse desde el principio límites y gobernanza adecuados para que la IA funcione como un compañero de confianza para las empresas. Y es fundamental que estas protecciones logren un equilibrio adecuado entre la gestión de los riesgos y la innovación y el crecimiento sostenidos. 

¿Qué debe tenerse en cuenta al desarrollar una estrategia de ciberseguridad que pueda tener éxito? ¿Cuál es el primer paso que debe dar un CISO? ¿Cómo alcanzar un estado de protección adecuado?

Kris Lovejoy: La ciberseguridad es un proceso de gestión de riesgos. Permite a una organización identificar, protegerse, resistir y recuperarse de los ciberataques, que pueden afectar a las operaciones y los datos empresariales. Una buena estrategia de ciberseguridad empezará siempre por definir la tolerancia al riesgo del negocio: ¿cuánto riesgo está dispuesta a asumir la empresa? ¿Ningún riesgo, riesgo mínimo, riesgo moderado, otro? Esto requiere que los CISO involucren al negocio desde el principio y definan claramente un entendimiento compartido de lo que es bueno. Con este entendimiento, se vuelve posible para un CISO elaborar una estrategia lógica –basada en un marco de riesgos– que le permita describir en términos concretos qué inversiones o acciones van a apoyar los esfuerzos de reducción de riesgos. Luego se vuelve una cuestión de si la gerencia determina que la relación riesgo/beneficio es aceptable.

Demasiadas veces he visto fracasar a los CISO porque no tienen claro el valor que aportarán las inversiones en términos de personas, procesos y tecnología. Sin la comprensión explícita, la dirección a menudo espera que las inversiones permitan una protección perfecta. Todos sabemos que eso no es posible. Mediante la creación de una estrategia basada en el entendimiento común de "lo que es suficientemente bueno", el CISO no se quedará con toda la responsabilidad cuando se produzca la inevitable brecha.

Otra razón importante por la que los CISO fracasan en el desarrollo de estrategias es que intentan asegurar lo que intrínsecamente no se puede asegurar. Hoy en día, la mayoría de las organizaciones tienen una serie de activos heredados que nunca serán seguros para su uso. En estas circunstancias, el CISO debe convertirse en el principal defensor de la modernización a favor de operaciones empresariales más resilientes.

¿Qué relación hay entre la calidad de los datos y la seguridad?

Kris Lovejoy: Existe un adagio: Entran datos malos, salen datos malos. En una época en la que dependemos cada vez más de la IA, debemos reconocer la verdad absoluta de esta afirmación. Los datos fiables (en los que se garantice como mínimo la procedencia y la integridad) son la base de cualquier forma de análisis. Este es un ámbito en el que veo que las organizaciones corren un riesgo importante. Aunque existe un sano debate sobre la ética y la seguridad en torno a los algoritmos de IA, a menudo no tenemos en cuenta la procedencia y la integridad de los datos que utilizamos para alimentar los algoritmos. Es fundamental que nos preguntemos: ¿podemos confiar en que los datos no han sido manipulados? Tenga en cuenta que, una vez que se ha entrenado un algoritmo de IA, es casi imposible volver atrás y "desentrenarlo" eliminando las características que representan los datos erróneos. Piénselo como si estuviera entrenando a un niño. Al igual que no se puede hacer que un niño "deje de ver" lo que ha visto en la televisión, tampoco es fácil hacer que la IA deje de ver los datos con que se le han alimentado.

¿Cómo se logra la resiliencia empresarial? ¿Cree que las empresas, especialmente en América Latina, entienden bien este concepto y lo que implica?

Kris Lovejoy: Kyndryl ha adoptado un enfoque distintivo para abordar la necesidad de los clientes de garantizar la resiliencia de su negocio habilitado digitalmente. Hemos encapsulado el enfoque en lo que denominamos "ciberresiliencia". La definimos como la capacidad de anticiparse, protegerse, resistir y recuperarse de cualquier condición adversa, interrupción o compromiso que afecte a un negocio cibernético. Creemos firmemente que las organizaciones deben ir más allá de un enfoque miope de las amenazas tradicionales a la ciberseguridad, y considerar anticiparse, protegerse, resistirse y recuperarse ante diversas interrupciones de su negocio ciberhabilitado, como ataques de ransomware, huracanes, inundaciones, cortes de energía, pandemias y más. Esto puede lograrse mediante la adopción de un marco de gestión de riesgos cibernéticos que mire a través de la amplia apertura descrita anteriormente.

En América Latina, yo diría que la concienciación es irregular. Aunque esto puede ser una afirmación sobre el comportamiento humano, hemos visto que aquellas organizaciones con una concienciación madura residen en países u operan en sectores que están regulados. Sin regulación, las organizaciones tienden a invertir sólo DESPUÉS de experimentar un incidente. Si observamos el mapa de regulación cibernética de América Latina, resulta fácil predecir qué organizaciones tendrán mejores resultados que otras en caso de sufrir una interrupción o una brecha significativa.