Skip to main content
Póngase en contacto con nosotros
Todos los puntos de vista

Conozca a su enemigo: la visión cibernética de un ex hacker

Greg van der Gaast Greg van der Gaast
Independent Security Strategist

16 de julio de 2024

van der Gaast Chief Technologist, Security, at CDW

Más allá de la recuperación: Más allá de la tecnología

Introducción (1ª parte de una serie de 5)

Bienvenido a una nueva serie de blogs de Hitachi Vantara, en la que espero que escuche ideas únicas por primera vez. Perspectivas que van mucho más allá de la tradicional conversación sobre "recuperación" y que tienen un impacto real en la estrategia y en los resultados finales. Si eres un líder de seguridad progresista, un líder de TI o, de hecho, un líder empresarial, esta serie es para ti. Le aseguro que tocaremos temas que le interesan.

¿Ha pensado en cómo las capacidades de almacenamiento y recuperación pueden ayudarle a agilizar sus operaciones, deshacerse de la deuda técnica, acelerar sus programas informáticos y de seguridad o incluso aumentar su cuenta de resultados?

Esta serie trata menos de la recuperación en el sentido tradicional y más de la maduración de la seguridad, las TI y los procesos empresariales para que su empresa no sólo sea más resistente, sino también más eficaz y rentable. Ah, y nada de jerga tecnológica. Aquí todo son negocios.

Sobre el autor: Greg van Der Gaast

Por eso es un buen momento para presentarme a mí mismo, su anfitrión en este viaje.

Me llamo Greg van der Gaast y, sobre todo, me gusta resolver problemas.

No me refiero a hacer lo que hacen los demás para resolver un problema. Me refiero a pensar realmente en el problema, en el panorama general, en el porqué, y hacer lo mejor posible para lograr el mejor resultado global, independientemente del statu quo.

A lo largo de mi carrera he llegado a conclusiones sorprendentes y he desarrollado ciertos principios. Unos principios que han cambiado las reglas del juego para mí y para las organizaciones que los han aplicado, y de los que espero que tú te beneficies.

Puedo señalar el comienzo de mi carrera en seguridad al ver la película HACKERS. Como motivadora para meterme en esto de la piratería informática, Angelina Jolie no está nada mal. El día de mi18 cumpleaños, empecé a hacer trabajos encubiertos para el Departamento de Defensa de Estados Unidos y más tarde para el FBI. (Había habido un pequeño "esfuerzo de reclutamiento espontáneo" en mi casa después de que robara algunos datos de pruebas, tras las pruebas subterráneas de cinco bombas atómicas, de una instalación de armas nucleares).

Decir que se me daban bien la tecnología y la ciberseguridad sería quedarse corto, y pasé a ganarme bastante bien la vida implementando todo tipo de tecnología de seguridad de vanguardia para varias grandes organizaciones.

Realización: Enfoque centrado en la empresa

Y entonces me di cuenta. Una empresa, una organización, no es un ordenador.

Yo era muy bueno en tecnología de seguridad, pero en realidad estaba haciendo un trabajo terrible en la consecución efectiva del resultado de que la organización fuera más segura. Y a pesar de todas las fanfarronadas de los círculos de seguridad sobre la "protección" de la empresa, probablemente le estaba haciendo más mal que bien en términos de los costes en los que estaba incurriendo y la limitada sensación de seguridad que estaba generando en el mundo real (por no mencionar la potencialmente falsa).

Tampoco estaba solo. El sector de la seguridad en su conjunto parecía ir por mal camino. Si se preguntan a qué me refiero, basta con echar un vistazo a las estadísticas sobre el creciente coste de las infracciones a pesar de que cada año se baten récords de gasto en seguridad. Y mientras el sector celebraba su éxito por ser cada vez más importante y las organizaciones gastaban cada vez más en personal, productos y servicios de seguridad, lo cierto es que el panorama seguía empeorando, como demuestran las estadísticas.

Vea nuestro seminario web:Prepárese y protéjase frente a las ciberamenazas y el ransomware

Deconstruir el statu quo

Esa constatación, y una década de pensar en cómo resolver los problemas subyacentes en diversas funciones, desde auditor, CISO y tecnólogo jefe para el mayor VAR del mundo, me han alejado bastante del statu quo de la seguridad en busca de resultados mejores y más sostenibles. De maneras que, como resulta, tienen bastantes otras ventajas, como la generación de ahorros operativos significativos y la creación de nuevas oportunidades para el negocio.

Uno de los cambios más importantes ha sido el cambio de mentalidad, de una mentalidad tecnológica a una mentalidad empresarial. Es decir, pensar en la mejor manera de lograr el resultado ideal de la seguridad, como un negocio en su conjunto, y no solo como una función tecnológica.

Me gusta preguntar a los expertos en seguridad por qué se dedicaron a la ciberseguridad. ¿Fue porque les gustaba optimizar los resultados para la empresa o porque les gustaba trabajar con tecnología? La respuesta sincera suele ser porque les interesa la tecnología.

Este enfoque de la seguridad centrado casi exclusivamente en la tecnología no ha sido bueno para las empresas. Nos impide considerar un panorama más amplio con mejores resultados. Los costes aumentan, el gasto relativo crece, pero la frecuencia y el impacto de las infracciones no hacen más que aumentar. También es insostenible.

No me malinterprete, todas las partes de la empresa aprovechan la tecnología. Ventas, marketing, jurídico, etc. Pero el objetivo de esos departamentos suele centrarse en el resultado para la empresa, no en la tecnología que utilizan para conseguirlo.

Vea nuestro seminario web:Ciberresiliencia y estrategias de mitigación del ransomware

La seguridad como factor de negocio

Esto me ha llevado a buscar la forma de lograr los resultados de la seguridad al tiempo que se maximizan todas las sinergias y oportunidades posibles, incluidas las empresariales. El objetivo de mi enfoque ha sido ayudar a los clientes a "resolver los problemas empresariales para que dejen de tener problemas de seguridad".

He tenido el privilegio de poder asesorar sobre este tema a una serie de organizaciones que van desde universidades a Google, e incluso al consejo asesor de MasterCard.

Pero, ¿qué tiene esto que ver con Hitachi Vantara, o incluso con el almacenamiento y la recuperación en general?

En lo fundamental, nada.

Pero los cambios que deben producirse para que realmente avancemos en la reducción del riesgo (en lugar de gestionarlo cada vez más) y ofrezcamos un valor tangible a las empresas serían casi imposibles sin él. Es decir, el almacenamiento y la recuperación permiten y aceleran de forma masiva una transición que permite a las empresas ser más resistentes de forma inherente, así como más ágiles y rentables.

Y cuando digo que las capacidades de almacenamiento y recuperación pueden hacernos más "inherentemente resistentes", lo que quiero decir con inherentemente es que nuestras organizaciones no se vengan abajo en primer lugar. Puede sonar extraño, aprovechar las capacidades de recuperación de tal forma que sea menos probable que necesites recuperarte, pero es algo que esperamos que tenga mucho sentido al final de esta serie.

Repensar la seguridad

De momento, a modo de adelanto, te dejo con algunas preguntas. ¿Has pensado en:

  • ¿Cómo una recuperación más rápida disminuye eficazmente los valores de riesgo al reducir la interrupción de los incidentes? ¿Cómo se podrían reasignar los recursos que antes se destinaban a mitigar esos riesgos?
  • ¿En qué medida una recuperación fiable puede permitirle reorientar los recursos de sus riesgos hacia la resolución de los problemas de TI y de procesos empresariales que los están introduciendo?
  • ¿Cómo esta capacidad para abordar las causas de raíz puede reducir de forma sostenible sus costes OpEx de seguridad a medida que se crean cada vez menos problemas en primer lugar?
  • Es probable que los problemas de calidad que causan sus problemas de seguridad también tengan otros costes no relacionados con la seguridad, lo que significa que ahorrará dinero a la empresa si los aborda, ¿ en lugar de gastar cantidades cada vez mayores gestionando los riesgos?
  • ¿Cómo puede tener efectivamente una copia de su entorno en las copias de seguridad y aprovecharla para realizar pruebas y crear prototipos rápidos de cambios para impulsar la eficiencia y eliminar la deuda técnica?
  • ¿Ha pensado en buscar modelos financieros que muestren cómo los enfoques de seguridad de calidad [por oposición a los de gestión de riesgos] tienen un beneficio neto para la empresa antes incluso de considerar el riesgo arbitrario?

Más información

Estos son sólo algunos de los conceptos que exploraremos en esta serie, así que permanezca atento para saber más.

Por ahora, me gustaría dar las gracias a Hitachi Vantara por darme la oportunidad de compartir con ustedes, y espero que nos acompañen en la próxima entrega, en la que analizaremos el espacio de la seguridad, por qué nos cuesta progresar y cómo podemos cambiar las cosas en beneficio de la empresa.

    Greg van der Gaast

    Greg van der Gaast

    Greg van der Gaast empezó su carrera como hacker adolescente y agente encubierto del FBI y el Departamento de Defensa, pero ha progresado hasta convertirse en una de las voces más estratégicas y orientadas a los negocios del sector, con ideas que invitan a la reflexión y que a menudo se oponen al statu quo.
    Es un conferenciante habitual sobre estrategia de seguridad, autor de Rethinking Security y What We Call Security, antiguo CISO y actual Director General de Sequoia Consulting, que ayuda a las organizaciones a solucionar problemas empresariales para que tengan menos problemas de seguridad.

    Prev La nube híbrida se perfila como la clave para liberar el poder de la IA generativa Next Conozca a su enemigo: Perspectivas cibernéticas de un ex hacker - Parte 2
    Current Time 0:00
    Duration 0:00
    Loaded: 0%
    Stream Type LIVE
    Remaining Time 0:00
     
    1x
      • Chapters
      • descriptions off, selected
      • subtitles off, selected