Una variedad de problemas de personal y tecnología adherente le están dando sudores fríos a los profesionales de TI
CIO
Cuando los CIO no están siendo abrumados por los datos, se preguntan quién los está asegurando. Están lidiando con la presión de recortar costos al tratar de mantenerse ágiles ya que enfrentan dificultades con los contratistas y los desafíos de mover información y servicios a la nube. Mientras tanto, surgen nuevas amenazas que requieren una respuesta en evolución.
Desde encontrar profesionales de TI calificados hasta evitar que abandonen el barco, una variedad de problemas de personal y tecnología adherente le están dando sudores fríos a los profesionales de TI.
Con una serie de nuevas inquietudes en 2018 — viejas esperas — ¿y dónde deberían estar más centrados los CIO? Se recopiló información de los expertos, el C-suite, los reclutadores y los que están en las trincheras para identificar las preocupaciones más importantes de la actualidad y cómo enfrentarlas.
Seguridad IoT
Un reciente estudio de seguridad de Forrester descubrió que el 82% de las organizaciones tienen problemas para identificar y proteger los dispositivos conectados a la red. Peor aún, la mayoría no tenía claro quién es responsable de administrar los artefactos.
“Los resultados de la encuesta muestran que más de la mitad de los encuestados (54%) declararon tener ansiedad debido a la seguridad de la IoT”, reportó el estudio.
Csaba Krasznay, evangelista de seguridad en Balabit, dijo que, junto con los enlaces débiles tradicionales (léase: usuarios), los CIO deben estar pensando en nuevas amenazas emergentes.
“En 2018, las medidas de seguridad deberían estar más estrechamente alineadas con los usuarios de TI y su identidad. El monitoreo conductual puede detectar incluso a los ciberdelincuentes más inteligentes que acechan detrás de credenciales privilegiadas, al discernir las desviaciones en los comportamientos básicos — incluso sobre la base de rasgos biométricos minuciosos, como la velocidad de tipeo o errores ortográficos comunes”, detalló Krasznay.
Reentrenamiento
Alrededor del 40% de los trabajadores de TI dicen que no están recibiendo la capacitación que necesitan para ser efectivos en sus labores, según una encuesta reciente de CompTIA.
“Muchas empresas creen que mantenerse al día con la tecnología es responsabilidad del empleado individual. Eso podría haber sido cierto en los años 80 y 90, pero en el siglo XXI, la complejidad de las plataformas creció enormemente. Capacitar en el trabajo y aprender a trabajar con nuevos marcos es extremadamente difícil cuando los funcionarios también tienen proyectos y productos a entregar”, explicó Viktor Andonov de DataArt Bulgaria.
Según Todd Thibodeaux, presidente y CEO de CompTIA, la mayoría de las organizaciones tienen dificultades para encontrar personal técnico calificado. Entrenarlos en el reloj se siente igual de desalentador.
“Las buenas noticias para los empleadores es que a la mayoría de los profesionales de TI les gusta lo que hacen. Sus trabajos les proporcionan un sentido de logro personal. Sus habilidades y talentos son muy útiles. Ven oportunidades para crecer y desarrollarse en sus carreras, y en general están satisfechos con su compensación y beneficios”, agregó Thibodeaux.
Mientras que el personal de TI puede disfrutar de su trabajo, el reentrenamiento ayuda a mantenerlo de esa manera.
“Los profesionales de TI desean más recursos para la capacitación y el desarrollo, y más orientación sobre la trayectoria profesional y oportunidades de promoción laboral. También están interesados en tener acceso a más herramientas y participar con más tecnologías y aplicaciones. Y les gustaría tener la oportunidad de trabajar en nuevas iniciativas tecnológicas”.
No es un problema nuevo para 2017, señaló Thibodeaux, pero es continuo. “Después de todo, el tiempo reservado para la capacitación del personal es el tiempo que le restan a las horas facturables o al trabajo real”. También está la antigua pregunta: ‘¿Qué pasa si entreno y certifico a alguien y se van?’ Pero cuando se trata de tecnología y las personas a las que les pagan para implementarlo, la pregunta que deberían hacerse es: ‘¿Qué pasa si no entreno a alguien y se quedan?’”.
Sobrecarga de datos
Para Mike Sánchez, CISO de United Data Technologies, los métodos actuales para analizar cifras con frecuencia no muestran el impacto real en los negocios.
“Los ejecutivos y los miembros de la junta deberían poder tomar decisiones sobre la mejor manera de asignar recursos y dólares de inversión en estrategias de remediación que pueden reducir los gastos operativos, o la verdadera exposición al riesgo de una compañía, o ambas cosas”, indicó Sánchez.
“Hay demasiados datos y la gente no sabe a qué deberían seguir en términos de mejorar su postura general de ciberseguridad. Las métricas de rendimiento clave deberían contar la historia en un formato de tablero simple”.
Brecha de habilidades
La buena noticia es que la cantidad de ofertas de trabajo en TI continúa en aumento. ¿Lo malo? No hay suficientes trabajadores con habilidades necesarias para llenarlos, particularmente en roles de seguridad.
“Nuestro último análisis de los datos de empleos de una variedad de fuentes muestra que en el Q3 de 2017, los empleadores de EE. UU. publicaron vacantes para casi 604,000 empleos de TI. Con respecto a los trabajos de seguridad cibernética, hemos logrado un progreso gradual para cerrar la brecha durante el año pasado, pero no tanto como se necesita hacer”, mencionó Thibodeaux de CompTIA.
Las empresas tendrán que tomar algunas decisiones difíciles sobre cómo llenar las faltantes de personal y qué debe hacerse internamente.
“¿Qué funciones podrían ser candidatas para subcontratar a un proveedor de soluciones tecnológicas?. Muchas organizaciones consideran que contratar a un socio tecnológico para algunas tareas rutinarias y continuas puede liberar a los equipos de tecnología interna para que se centren en actividades que son más avanzadas y estratégicas para la empresa”, especificó Thibodeaux.
Meerah Rajavel, CIO de la firma de seguridad cibernética Forcepoint, aseguró que la brecha de habilidades no va a desaparecer pronto.
“Vemos que muchas compañías no están preparadas para lidiar con nuevas amenazas de ciberseguridad como el ransomware o el espionaje industrial. Cualquier corrección del curso debe incluir una preparación adecuada del talento de abajo hacia arriba, y una capacitación más amplia sobre la seguridad de la fuerza de trabajo, que debe ser experiencial y justo a tiempo en lugar de simplemente cumplimiento”, admitió Rajavel.
Innovación y transformación digital
Según los números de Gartner, alrededor de dos tercios de los líderes empresariales piensan que sus instituciones necesitan acelerar su transformación digital o perder terreno ante la competencia.
La mayoría de las compañías continuará en el mismo camino hasta que se vean obligadas a hacerlo de otra manera, declaró Merrick Olives, socio gerente de la firma de consultoría en la nube Candid Partners.
“Relacionar el gasto de TI con las capacidades comerciales estratégicas y responder a la pregunta ‘¿Cómo nos hará esto más competitivos?’ Es esencial. Los modelos de financiación basados en flujos de valor en oposición a los fondos basados en proyectos, se vuelven cada vez más efectivos para vincular los objetivos a nivel de juntas directivas con las influencias presupuestarias. Las estructuras de costos y las eficiencias de proceso de la capacidad legacy frente a una ágil capacidad digital son muy diferentes — ágil es menos costoso y mucho más eficiente”.
Apretando presupuestos
Junto con el escepticismo de los altos mandos, casi la mitad de los encuestados de TI y de la línea de negocio dijeron que los presupuestos eran una barrera para reforzar la seguridad de la IoT, según un informe de noviembre de 2017 de Forester.
Thibodeaux argumentó que los riesgos van más allá de las amenazas de seguridad.
“Todo se reduce a la cuestión de si la entidad quiere crecer y prosperar o si sus competidores la dejan atrás. A medida que las empresas se vuelven más digitales, la tecnología pasa de las sombras de fondo al centro de la escena, donde se convierte en el principal impulsor para cumplir los objetivos a largo plazo”, añadió Thibodeaux.
“Profesionales de TI calificados, capacitados y certificados son esenciales para que las inversiones en tecnología rindan sus frutos. Tienen la experiencia para conectar y la arquitectura de TI con los objetivos corporativos generales y pueden proporcionar la orientación que los responsables de la toma de decisiones necesitan para evaluar las compensaciones involucradas al seleccionar dispositivos, aplicaciones o modelos operativos”.
Encontrando nuevas fuentes de ingresos
Según Ian Murray, vicepresidente de la firma de software de gestión de gastos de telecomunicaciones Tangoe, si bien el panorama empresarial siempre está evolucionando, la premisa básica de obtener un beneficio es la misma.
“El proceso para encontrar y explotar oportunidades de ingresos no ha cambiado fundamentalmente — encontrar un problema que podamos resolver que sea común, frecuente y que la gente pague por resolver”, señaló Murray.
Lo que ha cambiado es el énfasis en la generación de ingresos directos que aterriza en el regazo del CIO, afirmó Mike Fuhrman, director de producto del proveedor híbrido de infraestructura de TI Peak 10 + ViaWest.
“Tal vez soy de la vieja escuela, pero no creo que el CIO deba preocuparse por generar ingresos directamente. Estoy empezando a ver que esto se presenta más y más entre mis compañeros. Para seguir siendo relevante como CIO, muchos están trabajando para tratar de autoproducirse. Si bien hay beneficios al pensar de esa manera, creo que también puede ser una receta para desenfocar al equipo y a la sala de juntas”, dedujo Fuhrman.
“Cuando se trata de oportunidades generadoras de ingresos, el lugar al que pertenece el CIO es centrarse en esos proyectos y digitalizar el negocio en una plataforma automatizada a escala. Necesitamos mantenernos enfocados en sacar los costos del negocio y escalar desde una perspectiva de ir al mercado. Así es como un CIO debe centrarse en los ingresos”.
Actualizando sistemas legales
La firma de personal Robert Half creó este verano un reporte que encontró que casi la cuarta parte de los CIO estaban más preocupados con la actualización de los sistemas heredados para mejorar la eficiencia.
“Esta es una gran preocupación, particularmente entre varias industrias en las que todavía se utilizan una gran cantidad de sistemas obsoletos o al final de su vida útil para almacenar datos o aplicaciones de misión crítica. Estos sistemas ya no son compatibles con sus respectivos fabricantes y, por lo tanto, ya no pueden ser actualizados con la última versión, lo que los deja vulnerables a los aprovechamientos. Estas plataformas pueden estar interconectadas a otras redes, lo que permite que las debilidades se extiendan hacia afuera e incluyan esos sistemas interconectados en los ataques”, explicó Sánchez de United Data Technologies.
Escasez de agilidad
Las organizaciones que intentan incorporar métodos ágiles a veces terminan cojeando en una especie de modelo híbrido que incorpora prácticas dinámicas pero también métodos de “cascada” más lineales. En resumen, lo peor de ambos mundos.
“Los desarrolladores están codificando hojas de especificaciones determinadas con poca comprensión conceptual de cómo este botón o función se ajusta a la experiencia general del usuario. Se necesita un enfoque disciplinado para llevarlo a cabo, donde la solución a problemas específicos se aborda dentro de una versión determinada”, indicó Murray de Tangoe.
“Cada versión se coordina luego para un conjunto de sprints, de modo que se logre una solución integral que agregue al UX con cada versión y no solo una colección de características solicitadas que puedan o no admitirse entre sí”.
Murray tomó como ejemplo las recientes actualizaciones de Apple iOS, que corrigieron algunos errores e introdujeron otros. “Este problema afecta a empresas grandes y pequeñas”, lo que lleva a mejoras que pueden abordar fallas de seguridad e incluir nuevas características, pero también crear dolores de cabeza bien publicitados para los usuarios.
Riesgos del outsourcing
La brecha de habilidades llevará a muchos entes a buscar ayuda externa. Pero estas respuestas a veces necesarias pueden generar problemas de confiabilidad y seguridad.
“Nuestro objetivo principal es cumplir con las promesas que le hacemos a cada cliente. Desarrollas tu reputación y tu negocio en este punto crítico. Al subcontratar su trabajo, la calidad del producto a veces está a merced de la empresa a la que subcontrató. Dada la naturaleza sensible de los proyectos que administramos, utilizamos evaluaciones estrictas de terceros proveedores para evaluar a los socios en el caso de que un proyecto nos exija considerar la subcontratación de algunas o todas las tareas requeridas”, mencionó Sánchez.
Además de los problemas de calidad, la tercerización abre infiltraciones de seguridad que son bien conocidas. “Las amenazas específicas para los CIO, que deberían estar en primer lugar, son la información privilegiada y el contratista”, dijo French Caldwell, jefe de evangelización de MetricStream y ex asesor de ciberseguridad de la Casa Blanca.
“Hasta que nos alejemos de las contraseñas de credenciales, los humanos continuaremos siendo la mayor amenaza”.
Errores de moverse a la nube
A medida que se descargan más datos y servicios en la nube, un riesgo potencial es verla como una única entidad pública, advirtió Bask Iyer, CIO de VMware y Dell.
“TI necesita también mirar una nube privada y/o soluciones multi-nube mientras evalúan lo que es mejor para la empresa. Esto garantiza la elección y evita el bloqueo de un solo proveedor. También necesita determinar qué aplicaciones deberían ir a qué nube. Con el aumento de IoT, se necesitan más caballos de potencia en el borde, por lo que TI requiere expandir sus opciones para la nube”, sugirió Iyer.
Para Sánchez, los CIO no pueden transferir la responsabilidad de proteger su información y aplicaciones a la empresa de alojamiento. “Las organizaciones deben definir controles de seguridad para salvaguardar sus datos en la nube de la misma manera que lo harían cuando están en su sitio. Muchas instituciones no aplican estos estándares y suponen automáticamente que la compañía de alojamiento proporciona todas las garantías que requieren”.
Múltiples vulnerabilidades de seguridad
Según Larry Lunetta, vicepresidente de la unidad de Hewlett-Packard en Aruba, las pesadillas de seguridad continuarán este año, y la principal preocupación es esconderse a plena vista.
“Los futuros exploits de titularidad cooptarán credenciales legítimas como punto de partida para un ataque que puede tomar días, semanas o incluso meses para comenzar y finalmente causar daño. Estas amenazas en el interior pueden comenzar cuando un usuario hace clic en el archivo adjunto del correo electrónico incorrecto, un empleado disgustado se vuelve pícaro, o como resultado de contraseñas débiles o de intercambio de credenciales entre colegas”, previno Lunetta.
Se necesitarán nuevas técnicas de detección basadas en el comportamiento en 2018 para abordar los futuros ataques.
“Cada vez más, las organizaciones utilizan sistemas de análisis de comportamiento de usuario y Entity Behavior Analytics basados en inteligencia artificial para detectar pequeños cambios en el comportamiento de las personas y los dispositivos conectados a la red que a menudo son indicativos de un ataque de gestación”.
Comments