Guía del CISO para crear una cultura de ciberseguridad proactiva
Como la mitad del resto de estadounidenses, practiqué deportes competitivos en el instituto y en la universidad como baloncesto, sóftbol, fútbol, golf, lo que se te ocurra, lo he probado. Nunca intenté convertirme en profesional, pero mi amor por el deporte me llevó finalmente a la empresa digital de deportes, Fanatics.
Fanatics se encuentra en un periodo de expansión e hipercrecimiento. Aunque se nos conoce sobre todo por vender ropa con licencia para aficionados al deporte, nuestra misión es más amplia: convertirnos en la principal plataforma digital deportiva mundial. Por ejemplo, ofrecemos un mercado de cromos y objetos de interés, y estamos creando la mayor red de eventos presenciales para aficionados. También estamos ampliando nuestras apuestas deportivas en línea y las apuestas con dinero real (para las que superviso los programas de seguridad de la información).
La innovación constante significa estar preparado para responder a las nuevas amenazas. Los aficionados al deporte son cada vez más el objetivo de los ciberdelincuentes, y el 70 % de las organizaciones deportivas sufren al menos un ataque al año.
Sin embargo, la tecnología por sí sola no protegerá el negocio. Todos, desde la fabricación hasta el desarrollo de aplicaciones, deben practicar una buena ciberhigiene y ayudar a mantener la seguridad de la organización.
En otras palabras, una ciberseguridad sólida es un deporte de equipo. Estas son tres formas clave en las que trabajo para lograr la colaboración de toda la organización.
Empieza con una mentalidad del "sí"
El entrenador del béisbol miembro del Salón de la Fama, Tommy Lasorda, afirmó una vez: "En el béisbol y en los negocios, hay tres tipos de personas. Los que hacen que suceda, los que ven pasar y aquellos que se preguntan qué pasa". Como líder, mi misión es garantizar el éxito y la seguridad de mi organización.
No me quedaré al margen, respondiendo de forma reactiva a las amenazas mientras Fanatics amplía proactivamente nuestro negocio.
La contribución proactiva al éxito de la empresa empieza por tener una mentalidad del "sí". Los profesionales de la seguridad suelen ser vistos como puntos de conflicto herméticos. Somos las personas que decimos "no" sin apenas explicación. Cuando trabajas en varios proyectos, es más fácil decir a los demás: "No, usa lo que ya tienes. No tenemos suficientes recursos para hacer lo que pides". Por desgracia, que te digan "no" es una de las principales razones por las que los elementos de Shadow IT, y cada vez más las API paralelas y la Shadow AI, proliferan en muchas organizaciones. Que te digan "no" también es la razón por la que otros equipos pueden mostrarse menos dispuestos a colaborar proactivamente con la seguridad.
Sin embargo, una mentalidad del "sí" ayuda a que la ciberseguridad pase de ser un centro de costes a un factor de crecimiento.
Así es como mi equipo lo pone en práctica:
1) Suponemos una intención positiva. Cuando alguien quiere probar algo diferente, es importante asumir que tiene buenas intenciones y encontrar un punto medio con ellos. Por ejemplo, imaginemos un escenario en el que un equipo de desarrollo de aplicaciones retrasa una y otra vez la solución de vulnerabilidades de seguridad, alegando plazos ajustados y limitaciones de recursos:
Sin asumir una intención positiva, un equipo de seguridad de la información cree que los desarrolladores son descuidados con la seguridad. Deciden recurrir a la dirección de inmediato, sin intentar primero resolver el problema de forma colaborativa.
En cambio, si se asume una intención positiva, el equipo de seguridad de la información cree que los desarrolladores realmente están priorizando las necesidades empresariales, y quieren conciliar la seguridad con sus resultados. Nos acercamos al equipo de desarrollo y les decimos: "Entendemos que es fundamental que cumplas tus plazos, y sin ponerlos en riesgo, colaboremos para abordar las vulnerabilidades de seguridad".
El segundo enfoque fomenta la colaboración y la confianza, al tiempo que conduce a una solución que cumple tanto los objetivos de seguridad como los empresariales.
Al fin y al cabo, todo se reduce a entender a las personas: ¿qué pueden y qué no pueden hacer con sus tecnologías actuales? ¿Puede la ciberseguridad acelerar su trabajo? ¿Contaremos todas las formas en que algo nuevo podría salir mal, o nos lanzaremos con entusiasmo para garantizar la seguridad del primer festival inmersivo de este tipo para los aficionados al deporte?
2) Agradecemos los comentarios y las críticas. Si Simone Biles piensa que sus entrenadores son la clave para alcanzar todo su potencial, ¡al resto de nosotros también nos vendría bien conocer otras opiniones! Esto incluye escuchar con mente abierta las quejas de los demás. Si quieres que las iniciativas de ciberseguridad sean reconocidas por más personas, agradece sus comentarios. Aprenderás algo útil sobre las áreas de especialización de otros, y tal vez incluso sobre ti mismo.
3) Trabajamos para comprender en detalle la estrategia de la empresa. Si quieres que toda la organización se tome la seguridad en serio, demuestra la seriedad con la que te tomas las prioridades financieras de la empresa. Estoy pendiente de las novedades futuras en las divisiones de producto, ventas, ingeniería, desarrollo y otras áreas. Cuando Fanatics empezó a planificar el lanzamiento de servicios de apuestas deportivas tras la adquisición de la división estadounidense de PointsBet, rápidamente me familiaricé con las implicaciones empresariales y de conformidad, y cambié el enfoque de mi equipo en consecuencia.
Fomenta la confianza a través de la transparencia
Para inculcar la importancia de las prácticas ciberseguras, es importante ser transparente sobre las vulnerabilidades y fortalezas cibernéticas. El concepto de "seguridad por oscuridad", que oculta las vulnerabilidades y los detalles de los mecanismos de seguridad, no es nuevo. Sin embargo, creo que muchos responsables de seguridad tienden a ir demasiado lejos, especialmente cuando se trata de la comunicación interna.
Pongamos como ejemplo la amenaza de los ataques DDoS, que están siempre presentes, pero que pueden alcanzar su punto máximo durante promociones o eventos deportivos importantes. No espero que otros equipos sepan la diferencia entre una inundación HTTP POST y una inundación HTTP GET, pero me parece importante informarles sobre las principales tendencias: ¿Tienden a producirse los ataques en determinadas épocas del año? ¿Dónde se originan? ¿Proceden de competidores o de delincuentes? ¿Qué servicios están siendo blanco de ataques? ¿Cuántos ataques detuvimos?
Los datos y la transparencia ayudan a fomentar el soporte multidisciplinar para nuestras inversiones en ciberseguridad (que incluyen la protección contra DDoS, la gestión de bots, el equilibrio de carga y otros servicios para aplicaciones de Cloudflare). La comunicación periódica basada en métricas también refuerza cómo la seguridad impulsa el crecimiento de la empresa.
En los entornos laborales, es natural que las personas solo se preocupen por las cosas directamente relacionadas con su trabajo. Puede que el equipo encargado de las promociones del Cyber Monday no se preocupe por nuestros proveedores de seguridad, pero sí por el rendimiento y las ventas del sitio web. Si entienden el vínculo entre mi función (proteger nuestra huella digital) y la de ellos (llegar a los clientes en línea), es probable que adopten prácticas seguras.
Comprométete con la inclusión y sé tú mismo
La escasez global de talento en ciberseguridad es tan grave que Gartner prevé que para 2025, "la falta de talento o los fallos humanos serán responsables de más de la mitad de los incidentes cibernéticos importantes".
Si bien la escasez se debe a numerosas razones, para atraer más contrataciones, debemos hacer más para acoger a talentos diversos y no tradicionales. Un estudio reciente de ISC2 sobre la fuerza laboral en ciberseguridad de 2024 señala: "Con la creciente escasez de talento, los equipos cibernéticos deben considerar todos los perfiles para subsanar la carencia".
Hablo mucho con nuestros responsables de selección de personal acerca de mantener una cartera sólida de candidatos diversos. Todo el mundo merece una oportunidad justa en función de sus habilidades, no de su título. Por ejemplo, soy un gran defensor de la contratación en los campus de una gran variedad de facultades y universidades.
Siempre que puedo, también asisto a eventos de contratación externa, asesoro a nuevas graduadas y animo a otras mujeres a considerar una carrera en tecnología deportiva. Por ejemplo, asistir a la celebración Grace Hopper fue una experiencia inspiradora, sobre todo por la diversidad de talentos representados. Fue extraordinario escuchar tantas historias de asistentes que entraron en el campo de la tecnología desde perfiles no técnicos. Un denominador común en sus recorridos fue la presencia de un mentor, alguien que vio su potencial, les animó a explorar la tecnología y les brindó apoyo. Estos mentores desempeñaron un papel fundamental a la hora de ayudar a las personas en su transición a la tecnología, a menudo en distintas fases de sus carreras, demostrando que la pasión y la determinación pueden conducir al éxito a cualquier edad.
Además de diversificar la base de datos de candidatos, también debes retener el talento una vez contratado. Varios estudios han demostrado que la autenticidad y el liderazgo real están relacionados con una mayor satisfacción en el trabajo y una menor rotación. Por desgracia, más de un tercio (36 %) de las mujeres en el sector de la ciberseguridad siguen sintiendo que no pueden ser auténticas en el trabajo.
Intento animar a los demás a que demuestren quiénes son realmente de la siguiente manera:
Compartiendo genuinamente toda mi personalidad
Siendo curiosa y haciendo muchas preguntas
Dedicando tiempo a analizar nuestros altibajos
Pidiendo opiniones sin censura
Destacando constantemente los logros de los demás
Nadie debería sentirse incómodo siendo él mismo en el trabajo. Por eso es tan importante ser honesto e íntegro todos los días.
La ciberseguridad proactiva empieza desde arriba, en la directiva
Ser auténtico, mantener una mentalidad del "sí" y la transparencia ha ayudado a fomentar las sólidas relaciones que tengo con nuestro director financiero, director técnico y otros ejecutivos de Fanatics. Nuestra organización tiene la suerte de contar con numerosos líderes que ven el valor de la seguridad.
Esta cultura vertical de la ciberseguridad es más crucial que nunca. Por ejemplo, a medida que todos los sectores están entrando en una nueva era tanto de experiencias de cliente impulsadas por la IA como de amenazas generadas por la IA, la clave para hacerlo "bien" será una alineación estricta de las políticas y la tecnología.
En última instancia, cuando una organización opera de forma segura con menos conflictos internos, todos tienen más libertad para dedicarse al negocio principal. ¿A quién no le gustaría?
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Descubre cómo gestionar los principales riesgos de ciberseguridad del sector en Prácticas recomendadas de ciberseguridad para las empresas de videojuegos y juegos de azar en línea.
Autor
Ami Dave
CISO, Fanatics
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Tendencias de los ataques de ciberseguridad en aplicaciones deportivas digitales y apuestas en línea
3 recomendaciones para fomentar una cultura de ciberseguridad proactiva
Posicionamiento de la función de seguridad como facilitador empresarial