Las organizaciones tendrán problemas para encontrar y capacitar al talento TI necesario para ser más competitivos, pero un enfoque más cercano es el que enfrentarán los empleados día a día con las nuevas tecnologías y metodologías que surgen día a día.

Un reciente estudio de seguridad de Forrester descubrió que el 82% de las organizaciones tienen problemas para identificar y proteger los dispositivos conectados a la red. Peor aún, la mayoría no tenía claro quién es responsable de administrar los artefactos.

“Los resultados de la encuesta muestran que más de la mitad de los encuestados (54%) declararon tener ansiedad debido a la seguridad de la IoT”, reportó el estudio.

Csaba Krasznay, evangelista de seguridad en Balabit, dijo que, junto con los enlaces débiles tradicionales (léase: usuarios), los CIO deben estar pensando en nuevas amenazas emergentes.

“En 2018, las medidas de seguridad deberían estar más estrechamente alineadas con los usuarios de TI y su identidad. El monitoreo conductual puede detectar incluso a los ciberdelincuentes más inteligentes que acechan detrás de credenciales privilegiadas, al discernir las desviaciones en los comportamientos básicos — incluso sobre la base de rasgos biométricos minuciosos, como la velocidad de tipeo o errores ortográficos comunes”, detalló Krasznay.

Según los números de Gartner, alrededor de dos tercios de los líderes empresariales piensan que sus instituciones necesitan acelerar su transformación digital o perder terreno ante la competencia.

La mayoría de las compañías continuará en el mismo camino hasta que se vean obligadas a hacerlo de otra manera, declaró Merrick Olives, socio gerente de la firma de consultoría en la nube Candid Partners.

“Relacionar el gasto de TI con las capacidades comerciales estratégicas y responder a la pregunta ‘¿Cómo nos hará esto más competitivos?’ Es esencial. Los modelos de financiación basados en flujos de valor en oposición a los fondos basados en proyectos, se vuelven cada vez más efectivos para vincular los objetivos a nivel de juntas directivas con las influencias presupuestarias. Las estructuras de costos y las eficiencias de proceso de la capacidad legacy frente a una ágil capacidad digital son muy diferentes — ágil es menos costoso y mucho más eficiente”.

Las organizaciones que intentan incorporar métodos ágiles a veces terminan cojeando en una especie de modelo híbrido que incorpora prácticas dinámicas pero también métodos de “cascada” más lineales. En resumen, lo peor de ambos mundos.

“Los desarrolladores están codificando hojas de especificaciones determinadas con poca comprensión conceptual de cómo este botón o función se ajusta a la experiencia general del usuario. Se necesita un enfoque disciplinado para llevarlo a cabo, donde la solución a problemas específicos se aborda dentro de una versión determinada”, indicó Murray de Tangoe.

“Cada versión se coordina luego para un conjunto de sprints, de modo que se logre una solución integral que agregue al UX con cada versión y no solo una colección de características solicitadas que puedan o no admitirse entre sí”.

Murray tomó como ejemplo las recientes actualizaciones de Apple iOS, que corrigieron algunos errores e introdujeron otros. “Este problema afecta a empresas grandes y pequeñas”, lo que lleva a mejoras que pueden abordar fallas de seguridad e incluir nuevas características, pero también crear dolores de cabeza bien publicitados para los usuarios.

A medida que se descargan más datos y servicios en la nube, un riesgo potencial es verla como una única entidad pública, advirtió Bask Iyer, CIO de VMware y Dell.

“TI necesita también mirar una nube privada y/o soluciones multi-nube mientras evalúan lo que es mejor para la empresa. Esto garantiza la elección y evita el bloqueo de un solo proveedor. También necesita determinar qué aplicaciones deberían ir a qué nube. Con el aumento de IoT, se necesitan más caballos de potencia en el borde, por lo que TI requiere expandir sus opciones para la nube”, sugirió Iyer.

Para Sánchez, los CIO no pueden transferir la responsabilidad de proteger su información y aplicaciones a la empresa de alojamiento. “Las organizaciones deben definir controles de seguridad para salvaguardar sus datos en la nube de la misma manera que lo harían cuando están en su sitio. Muchas instituciones no aplican estos estándares y suponen automáticamente que la compañía de alojamiento proporciona todas las garantías que requieren”.

Según Larry Lunetta, vicepresidente de la unidad de Hewlett-Packard en Aruba, las pesadillas de seguridad continuarán este año, y la principal preocupación es esconderse a plena vista.

“Los futuros exploits de titularidad cooptarán credenciales legítimas como punto de partida para un ataque que puede tomar días, semanas o incluso meses para comenzar y finalmente causar daño. Estas amenazas en el interior pueden comenzar cuando un usuario hace clic en el archivo adjunto del correo electrónico incorrecto, un empleado disgustado se vuelve pícaro, o como resultado de contraseñas débiles o de intercambio de credenciales entre colegas”, previno Lunetta.

Se necesitarán nuevas técnicas de detección basadas en el comportamiento en 2018 para abordar los futuros ataques.

“Cada vez más, las organizaciones utilizan sistemas de análisis de comportamiento de usuario y Entity Behavior Analytics basados en inteligencia artificial para detectar pequeños cambios en el comportamiento de las personas y los dispositivos conectados a la red que a menudo son indicativos de un ataque de gestación”.