Menta

Blog

Beneficia a tu negocio con la resiliencia tecnológica

El robo de datos de clientes sucede cuando la información se sustrae, ya sea de una compañía grande o pequeña, sin el conocimiento del dueño del sistema. Esto lo puede llevar a cabo una persona o un programa y se usa para apoderarse de datos como números de tarjetas, datos o información de seguridad nacional. Esto puede provocar no solamente daño financiero a una persona, sino a la empresa de donde fueron tomados.

 

La resiliencia tecnológica es un conjunto de prácticas y perspectivas que mitigan el riesgo dentro de los procesos para proteger a las organizaciones de su propia tecnología y a las personas que intenten explotarla. Lo que incluye todas las formas de ciberataques, pero también aplica en errores de proceso dentro de los negocios que ponen datos y recursos en peligro sin ninguna ayuda externa.

 

La digitalización ha irrumpido en el mundo para hacer los procesos más rápidos, comunicación instantánea, análisis de datos y redes sociales. Sin embargo, la tecnología que opera estas innovaciones no es a prueba de balas y los riesgos son proporcionales a la funcionalidad que proveen. A diferencia de los enfoques tradicionales para este problema, la resiliencia no se trata de poner algo que está por debajo, encima de la infraestructura para hacerlo más seguro. Más bien se trata de pensar cómo está construida por sí misma, cómo se maneja y se mantiene a través del tiempo. Las operaciones diarias del negocio son las que determinan la durabilidad de sus recursos y es al interior donde la resiliencia debe ser creada.

 

¿Qué es la ciberseguridad?

 

Cuando se trata del manejo de riesgo tecnológico, generalmente se categoriza como “seguridad“. Ciberseguridad es una palabra muy frecuente en la actualidad, ya que se relaciona con la mitigación del riesgo cibernético. Sin embargo, si se mira de cerca, dicha práctica se ha caracterizado por alejarse de los enfoques tradicionales en esta materia. En otras palabras, la seguridad, en contraste con la resiliencia puede verse como binaria: algo está seguro o no lo está. La resiliencia cibernética, por su parte, conlleva una solución a largo plazo.

 

El riesgo cibernético, se asume como una serie de huecos en la tecnología, que si son resueltos con las piezas correctas, pueden prevenir la explotación. Por ejemplo, ¿hay problemas con una red de acceso no autorizado?, se requiere un sistema de prevención de intrusos ¿Problemas con el malware?, es necesario  un dispositivo anti malware empresarial. Recordemos que en 2016, las compañías alrededor del mundo gastaron cerca de 20 mil millones de dólares en ciberseguridad. Sin embargo, esto no va al fondo del problema, y requiere que sigan adquiriendo software para protegerse.


 

DevSecOps

 

Anteriormente, la entrega de software tenía un proceso distinto a como se hace ahora. Primero, los equipos de desarrollo entregaban su software, verificado únicamente en los entornos de prueba, al equipo de operaciones, quienes llevaban a cabo las implementaciones. En resumen, los primeros se encargaban de entregar a los otros, y éstos eran los responsables a partir de ese momento. Es decir, los equipos operaban de forma independiente y no había mucha comunicación entre ambos. Sin embargo, esto tiene la gran desventaja de que, si hay un problema en producción, es responsabilidad del personal de operaciones u Ops identificarlo y resolverlo. Únicamente si consideraban que deberían involucrar a desarrollo o Devs, lo hacían.

 

Actualmente este proceso ha cambiado. Las nuevas formas implican un trabajo mucho más integrado. DevOps cuenta con desarrolladores y trabaja de forma estrecha con gente de operaciones, lo que implicaría que los desarrolladores trabajen en operación y viceversa. La brecha existente anteriormente se cierra gracias a los siguientes factores:

 

1) Los Ops y devs están perfectamente coordinados y comparten la responsabilidad de la operación.

2) Los Ops proveen los entornos de prueba y preproducción a los devs, garantizando estructura y homogeneidad.

3) Los Ops tienen una estrategia de entrega continua más ágil que permite recuperarse de las fallas más fácilmente.

 

En DevOps no hay validaciones de seguridad ni mecanismos de prevención, como parte del ciclo de vida del software y su operación, ya que la seguridad sigue siendo un área separada. Por ejemplo, si hay un ataque, vulnerabilidad o riesgo de intrusión, se identifica y resuelve aparte, por el área de seguridad, quien involucra a DevOps sólo si hace falta.

 

Por su parte DevSecOps se enfoca en el ciclo de vida del software; su entrega y operación, la conciencia de la seguridad, mecanismos automatizados de validación y prevención, la procuración de homogeneidad en configuración, entre otros. Por esa razón, según Gartner, en 2018 los negocios web invertirán 96 mil millones de dólares en resiliencia tecnológica

 

Por lo anterior, es común que tanto desarrolladores como administradores de sistemas trabajen actualmente en coordinación para alcanzar las metas que el nuevo modelo de negocio exige. Pese a ello y para solventar el problema de la seguridad, DevSecOps sugirió que desarrollo y operaciones trabajen juntos mediante un servicio de resiliencia tecnológica para garantizar un enfoque prioritario de seguridad y construir un sistema exitoso mediante un servicio de resiliencia tecnológica.


 

Resiliencia cibernética

 

DevOps + seguridad = DevSecOps; DevSecOps + cuestiones de negocios = resiliencia cibernética.

 

DevSecOps se enfoca principalmente en la seguridad del ambiente tecnológico, mientras la resiliencia cibernética se trata de proteger el negocio de manera integral. De ahí su vital importancia en los negocios actuales, ya que, las consecuencias de una violación de datos no son sólo técnicas, sino también sociales, financieras y de reputación. Las compañías que confìan en la tecnología de información –un número creciente– deberían incluir riesgo cibernético como una prioridad crítica de sus propios negocios.

 

La tecnología y la innovación seguirán avanzando, y la brecha entre usar resiliencia cibernética y no hacerlo será cada vez mayor, ya que los incidentes relacionados con apropiaciones de datos serán cada vez más numerosos. Los avances tecnológicos no sólo tiene que ver con crear nuevas y mejores herramientas y aplicaciones, sino también con responder a la pregunta ¿Cómo podemos hacerlas más seguras?

La respuesta es que, si las empresas quieren mantenerse al día, operar en escala y actuar en tiempo real, deben adoptar una estrategia de resiliencia cibernética, puesto que, a diferencia de las estrategias de seguridad, la resiliencia traerá beneficios a las operaciones diarias del equipo IT. Recordemos que la resiliencia se enfoca en el propio trabajo y los procesos necesarios para hacerlo más eficiente, sin importar que no se presente un incidente de seguridad o una interrupción. Los procesos tienen mejor visibilidad, documentación, automatización y validación. En otras palabras: le facilita la vida al personal a cargo.

 

¿Qué estamos arriesgando?

 

La exposición de datos y el fraude financiero son conceptos que nos resultan muy familiares. Actualmente de manera regular tenemos noticia de robo de datos y resulta escandaloso debido al volumen de información. Muchos negocios priorizan al cliente, pero tan importante como esto son sus datos, ya sea que los manejen internamente o por terceros. De otra forma, en un futuro no muy lejano dichos clientes optarán por servicios o productos que puedan brindarle una mayor seguridad.

 

Si quieres saber más, solicita una demostración y conoce cómo podemos ayudarte.