La experiencia del cliente es el enfoque comercial más importante para las empresas en la actualidad. Y es la rapidez de poder ofrecer esta experiencia lo que distingue a las empresas de éxito. La entrega rápida de productos y servicios seguros, innovadores y de calidad es el gran diferenciador para atraer y retener clientes y responder a las demandas del mercado.
Hoy en día, casi independientemente del tamaño de la empresa o del sector del mercado, esto depende de que los equipos de tecnología de una organización (TI, seguridad y usuarios) estén alineados y trabajando juntos. Si esta relación no funciona; si los desarrolladores están encadenados en su creatividad; si las aplicaciones filtran datos del cliente; y si la infraestructura y las plataformas no son resistentes, la amenaza empresarial es muy real. Puede causar daños a la reputación, problemas legales y de cumplimiento, desmotivado personal y desafíos de retención e incapacidad para competir.
La seguridad, en particular, debe cumplir y alinearse con el resto del negocio. Las organizaciones modernas y distribuidas ahora necesitan que la seguridad se ‘coloque en todas partes’, no solo incorporada, sino construido de manera diferente. Creado para el sprint acelerado posterior a COVID-19 hacia la transformación digital que también ha expandido rápidamente el panorama de amenazas.
Sin embargo, la medida en que la relación entre la seguridad, el desarrollador y los equipos de TI necesita mejorar es significativa. Según nuestra nueva investigación con Forrester , el 61% de los equipos de TI y el 52% de los desarrolladores consideran actualmente la seguridad como un obstáculo para su innovación, mientras que solo uno de cada cinco desarrolladores incluye qué políticas de seguridad se espera que cumplan. Los líderes senior están más enfocados ahora en el desarrollo y las relaciones de seguridad, pero uno de cada tres todavía no colabora de manera efectiva o no avanza para fortalecerlos.
¿Dónde está la desconexión? ¿Por qué persisten las relaciones negativas y dónde se ubica la seguridad en este escenario? ¿Qué debe cambiar para garantizar que la seguridad prevalezca en toda la empresa, para impulsar la innovación, el control y, en última instancia, el éxito del cliente?
Cambiar la conversación
La falta de objetivos comunes entre la seguridad, la TI y los desarrolladores ha sido un problema durante mucho tiempo, exacerbado por la complejidad potencial del mundo de las aplicaciones modernas de múltiples nubes de hoy. Nuestro estudio reciente revela que no todos los equipos están alineados con los clientes, y que la prioridad número uno para los equipos de seguridad y TI es la eficiencia operativa (considerado la más importante por el 52% de ambos grupos de encuestados). Por el contrario, los equipos de desarrollo priorizan la mejora de la experiencia del usuario (50%), que es solo el cuarto para los equipos de TI y seguridad, mientras que la prevención de violaciones de seguridad es el segundo para TI y la seguridad , pero solo el quinto para los desarrolladores.
Esta de alineación es quizás comprensible: los desarrolladores ofrecen a estar un poco aislados, ya que su prioridad es el cliente final. Su éxito, por lo general, se basa en la creación de una aplicación atractiva, lo más rápido posible, para posicionar el negocio como el primero en el mercado: crear la próxima gran cosa y hacerlo antes que nadie. Una vez que hay un producto que funciona, su seguridad se convierte en un foco de atención. Esto ahora se acepta como demasiado tarde.
Pero incluso esto plantea más preguntas de las que responde, principalmente la cuestión de un lenguaje común. El ‘usuario’ de un desarrollador, por ejemplo, es el cliente final, de donde provienen los ingresos, mientras que el usuario de TI y seguridad se considera tradicionalmente interno. Y lo que es más importante, “seguridad” significa cosas significativamente diferentes para estos tres equipos. Para los desarrolladores, es la seguridad del código de la aplicación (errores de código) y el soporte de protocolos de comunicación seguros (HTTPS en todas partes); para TI es la seguridad de la infraestructura y el desarrollo del ciclo de vida; para la empresa, la seguridad significa la seguridad del personal, el edificio en el que trabajan y la protección de los datos. Por lo tanto, no es solo que las prioridades estén desalineadas, es que la terminología fundamental con la que incluso se habla de estas prioridades, no se traduce en todos los equipos.
Problema de percepción de la seguridad
Luego está la percepción de seguridad, que todavía se considera una barrera para los desarrolladores y la TI en las organizaciones. Para muchos, todavía no está lo suficientemente integrado en el negocio, ni en términos de personas ni de tecnología. Esto da como resultado que más de una cuarta parte de los desarrolladores no participan en absoluto en las decisiones de políticas de seguridad, a pesar de que muchas de ellas tienen un gran impacto en sus funciones.
Necesitamos pasar de esto a un escenario en el que la seguridad como tecnología se conciba de manera diferente. Está ahí para respaldar la marca, generar confianza entre empleados y clientes y optimizar la entrega de aplicaciones. Está ahí para eliminar la falsa elección entre innovación y control.
Por lo tanto, en lugar del momento de desarrollo de la aplicación de ‘seguridad en el último momento’ mencionado anteriormente, donde se considera que la función se abalanza para corregir brechas y fugas o ‘interponerse en el camino’ de la innovación, se necesita una mayor colaboración. Esto puede ayudar a que la seguridad se vuelva omnipresente pero invisible dentro de la organización. Ya no debe considerarse una especialización, sino estar arraigada en el ciclo de vida de la innovación desde el principio. Y, lo que es más importante, debe reconocerse como parte de la experiencia del cliente. Después de todo, puede tener un automóvil hermoso que ofrece un rendimiento fantástico, se ve increíble y es rentable, pero si los frenos no funcionan, no es adecuado para su propósito.
Un camino a seguir
Cuando se trata de realizar este cambio, debe comenzar desde arriba. ¿Quién es el principal responsable de la toma de decisiones en seguridad, TI y desarrolladores? La realidad es que esto varía enormemente; diferentes líneas jerárquicas, diferentes líneas de negocio, diferentes niveles de representación a nivel de directorio. La seguridad siempre estuvo alineada con la TI. Pero, ¿deberíamos ver un cambio en sus prioridades hacia los desarrolladores, pasando de los cortafuegos a la creación de aplicaciones seguras, ya que este último se convierte en un impulso estratégico de la innovación empresarial? Actualmente es un salvaje oeste de propiedad, lo que alimenta la falta de alineación estratégica entre estos equipos.
Alinear las prioridades, bajo la responsabilidad de un solo asiento en la mesa, un Oficial de Transformación Digital o similar, será vital para unir a los equipos en visión, estrategia y ejecución. Fomentará el intercambio y la alineación de los KPI. Y ayudará a empoderar a estos equipos para que vendan colectivamente dentro de la empresa, obtengan financiación, convenzan a sus clientes internos de que se comprometan con productos y soluciones y cambien la dinámica de respuesta al cambio a impulsarlo de manera proactiva.
Esto ayudará a impulsar un cambio cultural. No es simplemente un proceso educativo, de unir a los equipos en términos de lenguaje y comprensión; es un cambio en el que los equipos están unidos en pos de una prioridad común: el enfoque en el cliente. Los principios de algo como la Gestión de la calidad total (TQM) pueden ayudar a que esto sea real: un enfoque sistemático para lograr el éxito a largo plazo a través de la satisfacción del cliente. La TQM comienza con el enfoque en el cliente y luego avanza a través de principios que incluyen la participación total de los empleados, el pensamiento de procesos, la mejora continua, la toma de decisiones basada en hechos y las comunicaciones. La función de seguridad en particular podría alinearse más aquí, para garantizar que esté mejor integrada en el ciclo de vida del desarrollo que impulsa el negocio.
Hacia un estado futuro
La buena noticia es que se reconoce que las prioridades y el compromiso compartidos del equipo son el camino a seguir. Más de la mitad (53%) de los encuestados espera que los equipos de seguridad y desarrollo se unifiquen dentro de dos o tres años, y aquellos que creen que los obstáculos impiden esta unificación se reducirán del 49% al 28% en los próximos años . El 42% espera que la seguridad se incorpora más en el proceso de desarrollo en dos o tres años, y existe un reconocimiento más amplio de que la alineación entre equipos permite a las empresas reducir los silos de los equipos (71%), crear aplicaciones más seguras (70%) y aumentar la agilidad para adoptar nuevos flujos de trabajo y tecnologías (66%).
También se reconoce que la seguridad es mucho más que una póliza de seguro. Puede capacitar a los equipos de desarrollo para que logren sus objetivos de la manera más segura y exitosa, en el lugar de obstaculizar la innovación y crear obstáculos de seguridad que sortear.
Continuar y acelerar este debe ser una prioridad para los líderes del progreso empresarial. Las relaciones entre estos tres equipos tienen un gran impacto en las organizaciones y su alineación ofrece aplicaciones más resistentes, mayor capacidad de respuesta a las condiciones del mercado y cumplimiento continuo. Sí, la seguridad necesita repensar sus procesos para abarcar aún más a los equipos que apoya. Pero TI, seguridad y desarrolladores deben unirse en apoyo de un “estado futuro”; uno donde el enfoque en el cliente, impulsado por un enfoque sistemático y propiedad senior, une a los equipos de tecnología y los capacita para impulsar el negocio.
Fuente:
Selección del editor. (2021u, 29 de octubre). Reducir la brecha entre “TI, seguridad y desarrollador” para ofrecer innovación a gran velocidad. Recuperado 3 de noviembre de 2021, de https://www.information-age.com/bridging-divide-between-it-security-developers-123497497/