OpiniónInfraestructuras

Cómo la transformación de la red y la seguridad cambia el departamento de TI

Por Neil Thacker, CISO EMEA de Netskope.

Neil Thacker, Netskope.
Neil Thacker, Netskope.

Si usted es un profesional de redes o de seguridad, un CIO, un CISO u otro responsable de TI, lo más probable es que esté trabajando actualmente en la transformación de la red y de la seguridad, o, cuanto menos, planificándolo.

A este respecto, un reciente estudio de investigación muestra que un 99,5% de las organizaciones europeas con más de 5.000 empleados están haciendo exactamente eso: más de la mitad están inmersas en la transformación, ya sea trabajando en ella o preparándose para iniciarla en el próximo año, y el 79% ya ha conseguido ahorrar costes como resultado de ésta. Sin embargo, saber con certeza cómo están llevando a cabo dicha evolución es más complicado, porque el estudio indica una división entre los responsables de TI sobre la mejor estrategia a adoptar.

Unificación de disciplinas

Una de las grandes preguntas a la que pretende responder en este estudio es: "¿quién está a cargo de la transformación de la red y la seguridad?" Los datos muestran que casi un tercio de los CIOs europeos están simplificando por completo el reto de la asignación de proyectos, mediante la convergencia de sus equipos de trabajo. Esto supone un gran cambio organizativo para la mayoría, pero también parece una respuesta muy sensata. Los CIOs que están planeando este movimiento explican que es un paso necesario porque "nuestro uso de la nube provoca que la separación de los departamentos no ayude". 

Estos equipos humanos convergentes evitarán los problemas previstos por el 28% de los responsables de TI, que esperan que los departamentos de redes y seguridad compitan por la propiedad de los proyectos.  Sin embargo, los datos de una investigación realizada a principios de 2021 indican que el 54% de los CIOs europeos entiende que la falta de colaboración entre las áreas especializadas impide que su organización aproveche las ventajas de la transformación digital. También, ese mismo informe revela que el 44% de los profesionales europeos de redes y seguridad describen la relación entre ambos departamentos en términos muy negativos: "combativa", "disfuncional", "gélida" o "irrelevante". Por tanto, esta integración interdepartamental es una forma proactiva de evitar la ineficacia y las disputas.

El 28% de las organizaciones que ya han trasladado al menos parte de su seguridad a la nube informaron de que habían realizado cambios en la estructura o la dotación de personal del departamento de redes, y el 26% comunicó los mismos cambios en su departamento de seguridad.

Las tecnologías elegidas y la distribución de las tareas

El servicio de acceso seguro en el borde (SASE), el servicio de seguridad en el borde (SSE) y el acceso a la red basado en confianza cero (ZTNA) son tres de las grandes siglas en juego en la transformación de la red y la seguridad. SASE es un marco que replantea la seguridad y las redes para adaptarse a los requisitos y riesgos de las organizaciones nativas en la nube. Dentro de una arquitectura SASE, SSE consolida las tecnologías de seguridad, mientras que ZTNA es un modelo de acceso que requiere una visibilidad granular y contextual de los usuarios, las aplicaciones y los datos para determinar los permisos.

Para aquellos departamentos de redes y seguridad que son independientes, los responsables de TI buscan la colaboración para impulsar los grandes proyectos de transformación.  La propiedad de SASE, SSE y ZTNA no es consistente, ya que algunos CIOs y CISOs consideran que son responsabilidades del departamento de redes y otros se las dan al de seguridad para encargarse de ellas.

En concreto, y según el reciente estudio “Navegando por el cambio: El impacto operativo de la transformación de la red y la seguridad”, sobre transformación de la red y de la seguridad, el 28% de los CIOs confirma que SASE es propiedad del departamento de redes, mientras que sólo el 18% se la asigna al de seguridad y el 31% confirma que es compartida. Respecto a SSE (a menudo referido como los elementos de SASE operados por el departamento de seguridad) un 18% le otorga su competencia a seguridad, el 30% a redes y el 33% opinan que debe ser compartida.

El acceso a la red de basado en confianza cero (ZTNA) también es responsabilidad del área de la red (37% de la red, 21% de la seguridad, 23% compartida) mientras el viejo campo de batalla de la pasarela web aún no está resuelto: el 23% de los CIOs entienden que SWG es asunto del departamento de seguridad, mientras que el 28% lo identifica con el de redes y el 27% aboga por compartirlo.

Dos patrones

La investigación también ahonda en las líneas de jerarquía para identificar cómo trabajan los CIOs y los CISOs con los departamentos. El 67% de los departamentos de TI europeos reportan tanto al CIO como al CISO, ya sea directamente o a través de líneas indirectas de subordinación simultáneas. Sin embargo, el 27% de las organizaciones encuestadas no cuentan con un CISO en su organización; la cifra más alta se da en Alemania (31%) y la más baja en Reino Unido (22%).

Talento y contratación

El talento y la contratación de personal para la ciberseguridad es un tema de debate constante en los medios de comunicación, y el estudio también indaga sobre las perspectivas de los CIOs al respecto, con dos conclusiones principales. El 28% de las organizaciones están incrementando o esperan ampliar su departamento de seguridad para dar servicio a un cometido más amplio debido al uso de la nube por parte de la organización. Por su parte, el 46% de las empresas reconocen estar teniendo problemas para encontrar candidatos adecuados o prevén dificultades en el futuro.

Por eso, y ante la cuestión de dónde es posible buscar personal para ampliar los equipos humanos de seguridad en el futuro, la respuesta más común (44%) es que los CIOs buscarán candidatos con habilidades y experiencia reales en la nube/SaaS/IaaS. La segunda opción, mucho más creativa ante el desafío propuesto, refleja que un 38% de los responsables de TI tienen intención de buscar a estos candidatos fuera de los mercados de TI para formarles de nuevo, mientras que el 31% de las organizaciones trasladará el reto de la contratación a los proveedores, con la posibilidad de externalizar también su departamento de seguridad. Por último, el 30% se decantaría por reubicar al personal de redes, del servicio de helpdesk o de otros departamentos internos, para aleccionarles según sea necesario.

Estamos atravesando un periodo de gran agitación en materia de seguridad y redes.  Los responsables de TI europeos están afrontando el reto con creatividad y están demostrando que no tienen miedo a realizar grandes cambios.  Los proveedores pueden ayudar en algunas áreas específicas, proporcionando ejemplos de mejores prácticas y casos de uso de sus primeros clientes, y apoyando evaluaciones detalladas del coste total de propiedad que tengan en cuenta el impacto y el aporte positivo de las tecnologías en todo el espectro de las redes y la seguridad.

 

Computing 816