Indy Dhami, socio de KPMG, explica por dónde empezar con la resiliencia cibernética

El cambio de la seguridad de la información tradicional a la resiliencia cibernética no es solo una evolución, es una revolución.  

El enfoque actual de la ciberseguridad pasó de simplemente proteger los activos a garantizar que el negocio pueda continuar frente a amenazas constantes y sofisticadas. Esta mentalidad de resiliencia ayuda a las compañías no solo a defender de las amenazas cibernéticas, sino también a recuperar rápidamente y adaptar a los nuevos desafíos.  

En nuestro último episodio del podcast The Segment: A Zero Trust Leadership, me senté con Indy Dhami, socio de KPMG UK. Analizamos la evolución de la industria en los últimos veinte años, por qué la resiliencia cibernética es más importante que nunca y cómo lograr que las compañías acepten sus iniciativas de seguridad Zero Trust.

Acerca de Indy Dhami, socio de KPMG UK

Con más de dos décadas en la industria de la ciberseguridad, Indy aporta una gran experiencia a su papel como socio de KPMG UK. Su viaje comenzó gestionando TI para una firma de arquitectos a principios de la década de 2000, donde desarrolló un interés en la ciberseguridad.

La carrera de Indy dio un giro cuando ayudó a construir un sistema de gestión de seguridad de la información certificado a nivel mundial. Perfeccionó aún más su experiencia y dirigió proyectos de transformación de seguridad a gran escala en toda Europa y más allá. Antes de unir a KPMG, Indy trabajó con una compañía financiada por el gobierno de Singapur que invertía en compañías cibernéticas.  

En KPMG, Indy es un líder en transformación digital que impulsa estrategias innovadoras para proteger a varios sectores de las amenazas emergentes. Le apasiona la tutoría y el entrenamiento profesional, inspirando un cambio cultural positivo a través de un liderazgo auténtico.  

Resolver el problema de la concienciación sobre la ciberseguridad con resiliencia

Cuando Indy comenzó en ciberseguridad, recuerda la falta de urgencia en torno a los ataques cibernéticos y su potencial para convertir en infracciones catastróficas.  

En un momento, realizó un ejercicio de simulación de crisis con el liderazgo de su compañía, y no creían que pudiera ocurrir un ataque en su organización. "Ese tipo de cosas a menudo nunca se consideraron", explicó Indy.

Aún así, cree que la creciente prevalencia de ataques cibernéticos en las noticias a menudo conduce a la percepción de que son rutinarios, eclipsando su verdadero impacto.  

"Las cosas no se están informando lo suficiente", dijo Indy. "Así que el público en general todavía no tiene ese momento 'ajá' sobre por qué la ciberseguridad es tan importante".

Esta brecha en la conciencia pública hace que la necesidad de resiliencia cibernética sea más importante que nunca. La percepción pública actual de las infracciones y las herramientas tradicionales que empleamos para prevenirlas o detectarlas no es suficiente. Si es imposible detener todas las infracciones, las organizaciones deben estar preparadas de manera proactiva para detener las infracciones cuando ocurran.  

Por dónde empezar con la resiliencia cibernética: apetito y tolerancia al riesgo

Por eso la resiliencia cibernética es tan importante. "En este momento, es posible que vea ataques cibernéticos una, dos, tres veces en las noticias", dijo. "Se volvió más frecuente y la gente está haciendo preguntas más desafiantes al respecto a los líderes de seguridad".

El cambio de la seguridad de la información tradicional a la resiliencia cibernética cambia las reglas del juego. Ya no se trata solo de resolver problemas, se trata de mantener las operaciones durante una crisis.  

"La resiliencia, no solo la resiliencia cibernética, sino la resiliencia operativa, se trata de cómo puedo continuar funcionando incluso cuando suceden todas estas cosas inesperadas", dijo Indy.

Esto subraya la necesidad urgente de infraestructuras que puedan resistir las interrupciones de los ciberataques. A medida que los incidentes cibernéticos se vuelven más frecuentes, los líderes de seguridad se ven presionados a desarrollar estrategias estables de resiliencia.  

Entonces, ¿por dónde pueden empezar las organizaciones? Una estrategia de Zero Trust es una de las mejores maneras de trabajar hacia la resiliencia cibernética. Zero Trust es una estrategia validada a nivel mundial basada en el mantra de "nunca confíes, siempre verifica". Ayuda a las organizaciones a preparar de manera proactiva para las infracciones, con la segmentación de la red, también llamada segmentación de confianza cero (ZTS), en su núcleo.

A medida que construye Zero Trust, Indy recomienda hacer estas dos preguntas:

1. ¿Cuál es su apetito por el riesgo en lo que respecta a la ciberseguridad?

2. ¿Cuáles son los puntos de datos que le permiten medir si está dentro o fuera de ese nivel de tolerancia?

En la experiencia de Indy, esto ayuda a los líderes empresariales a tener más claro lo que más importa en su negocio, lo que necesitan proteger primero y qué tipo de información y herramientas necesitarán para llegar allí.

Tratar la ciberseguridad como un deporte de equipo

Indy también destacó las formas en que los mandatos y pautas gubernamentales de ciberseguridad también pueden ayudar a las organizaciones tanto en el sector gubernamental como en el privado a alcanzar sus objetivos de resiliencia.  

Las directrices federales de EE. UU. , como el Modelo de Madurez de Confianza Cero (ZTMM) de CISA o los mandatos DORA y NIS2 de la UE, ofrecen orientación paso a paso y mejores prácticas para organizaciones de cualquier tamaño o sector.  

Un requisito clave que Indy ve en estos documentos es la visibilidad en tiempo real y de extremo a extremo de los flujos de tráfico de la red y la carga de trabajo.

"Debes comenzar con una muy buena comprensión de cómo interactúan las cosas en tu entorno", explicó. "Pero también, ¿cómo interactúan todos sus proveedores y dependencias ascendentes y descendentes a nivel de sistemas?" Con esta información, los equipos podrán comprender la exposición de su red y luego implementar los controles de seguridad adecuados.

Esta inmersión profunda en la infraestructura de su red significa involucrar a los equipos de toda la organización. Para Indy, la navegación exitosa requiere transformar la seguridad en un "deporte de equipo". Adoptar un enfoque colaborativo fomenta la resiliencia y alinea las iniciativas de ciberseguridad con los objetivos de toda la organización.

Cómo conectar Zero Trust con los objetivos empresariales

Desde la perspectiva de Indy, una estrategia de Zero Trust puede ayudar a los líderes de seguridad a contar una mejor historia sobre cómo la cibernética se alinea con los objetivos comerciales.  

"Se trata de preparar la escena, enmarcarla de la manera correcta y hacer que resuene con los líderes a nivel de junta", explicó Indy.    

Zero Trust es un marco útil para obtener la aceptación cibernética porque saca la seguridad del ámbito de los controles técnicos.  

Indy recomienda que los líderes de seguridad adopten este enfoque cuando defienden las iniciativas y necesidades de su equipo:

• Comience siempre con los objetivos de su negocio: "Elija su estrategia comercial, tome el reporte anual, comprenda lo que la compañía está tratando de hacer y luego superpóngalo con sus planes de seguridad".

• Emplee los principios de Zero Trust como herramienta estratégica: "Explique cómo Zero Trust puede apoyar [a la compañía] empleando sus pilares estratégicos".

• Almacene la tecnología para el final: "Luego, puede comenzar a entrar en los controles tecnológicos necesarios para cumplir con cada uno de estos puntos".

Escuche, suscribir y revise The Segment: A Zero Trust Podcast

¿Quieres saber más? Escuche el episodio completo con Indy en nuestro sitio web, Apple Podcasts, Spotify o donde sea que obtenga sus podcasts. También puede leer una transcripción completa del episodio.

¡Volveremos pronto con más información sobre Zero Trust!