Indy Dhami, socio de KPMG, explica por dónde empezar con la resiliencia cibernética

El cambio de InfoSec tradicional a la resiliencia cibernética no es solo una evolución, es una revolución.

El enfoque actual en ciberseguridad ha pasado de simplemente proteger los activos a garantizar que el negocio pueda continuar frente a amenazas constantes y sofisticadas. Esta mentalidad de resiliencia ayuda a las empresas no solo a defenderse de las amenazas cibernéticas, sino también a repuntar rápidamente y adaptarse a los nuevos desafíos.

En nuestro último episodio del podcast The Segment: A Zero Trust Leadership, me senté con Indy Dhami, socia de KPMG UK. Despusimos la evolución de la industria en los últimos veinte años, por qué la resiliencia cibernética es más importante que nunca y cómo obtener la aceptación de las empresas en sus iniciativas de seguridad Zero Trust.

Acerca de Indy Dhami, socia de KPMG UK

Con más de dos décadas en la industria de la ciberseguridad, Indy aporta una gran experiencia a su papel como socio en KPMG UK. Su viaje comenzó a administrar TI para una firma de arquitectos a principios de la década de 2000, donde desarrolló un interés por la ciberseguridad.

La carrera de Indy dio un giro cuando ayudó a construir un sistema de administración de seguridad de la información certificado a nivel mundial. Además, perfeccionó su experiencia y dirigió proyectos de transformación de seguridad a gran escala en Europa y más allá. Antes de unirse a KPMG, Indy trabajó con una empresa financiada por el gobierno de Singapur que invertía en empresas cibernéticas.

En KPMG, Indy es líder en transformación digital que impulsa estrategias innovadoras para proteger a diversos sectores de las amenazas emergentes. Es un apasionado de la tutoría y el coaching profesional, inspirando un cambio cultural positivo a través del liderazgo auténtico.

Resolver el problema de concientización de la ciberseguridad con resiliencia

Cuando Indy comenzó en ciberseguridad, recuerda una falta de urgencia en torno a los ciberataques y su potencial para convertirse en brechas catastróficas.

En un momento dado, realizó un ejercicio de simulación de crisis con el liderazgo de su empresa, y ellos no creían que pudiera ocurrir un ataque en su organización. “Ese tipo de cosas a menudo nunca se consideraron”, explicó Indy.

Aun así, cree que la creciente prevalencia de ciberataques en las noticias a menudo lleva a una percepción de que son rutinarios, eclipsando su verdadero impacto.

“Las cosas no se están reportando lo suficiente”, dijo Indy. “Entonces el público en general todavía no tiene ese momento 'aha' sobre por qué la ciberseguridad es tan importante”.

Esta brecha en la conciencia pública hace que sea necesario ciberresiliencia más importante que nunca. La percepción pública actual de las brechas y las herramientas tradicionales que hemos utilizado para prevenirlas o detectarlas no es suficiente. Si es imposible detener cada violación, entonces las organizaciones deben estar preparadas de manera proactiva para detener las brechas cuando ocurren.

Por dónde empezar con la resiliencia cibernética: Apetito de riesgo y tolerancia

Por eso la resiliencia cibernética es tan importante. “Ahora mismo, es posible que veas ciberataques una, dos, tres veces en las noticias”, dijo. “Se ha vuelto más frecuente y la gente está haciendo preguntas más desafiantes a los líderes de seguridad”.

El cambio de la seguridad de la información tradicional a la resiliencia cibernética es un cambio radical. Ya no se trata solo de resolver problemas, sino de mantener las operaciones durante una crisis.

“La resiliencia, no solo la resiliencia cibernética, sino la resiliencia operativa, tiene que ver con cómo puedo continuar funcionando incluso cuando todas estas cosas inesperadas están sucediendo”, dijo Indy.

Esto subraya la necesidad urgente de infraestructuras que puedan resistir las interrupciones de los ataques cibernéticos. A medida que los incidentes cibernéticos se vuelven más frecuentes, los líderes de seguridad se ven presionados para desarrollar estrategias sólidas de resiliencia.

Entonces, ¿dónde pueden comenzar las organizaciones? A Estrategia Zero Trust es una de las mejores maneras de trabajar hacia la resiliencia cibernética. Zero Trust es una estrategia validada globalmente basada en el mantra de “nunca confiar, siempre verificar”. Ayuda a las organizaciones a prepararse proactivamente para las brechas, con segmentación de red, también llamada Segmentación de confianza cero (ZTS), en su núcleo.

Mientras construye Zero Trust, Indy recomienda hacer estas dos preguntas:

1. ¿Cuál es su apetito por el riesgo cuando se trata de ciberseguridad?

2. ¿Cuáles son los puntos de datos que le permiten medir si está dentro o fuera de ese nivel de tolerancia?

En la experiencia de Indy, esto ayuda a los líderes empresariales a tener más claridad sobre lo que más importa en sus negocios, qué necesitan proteger primero y qué tipo de información y herramientas necesitarán para llegar allí.

Tratar la ciberseguridad como un deporte de equipo

Indy también destacó las formas en que los mandatos y directrices gubernamentales de ciberseguridad también pueden ayudar a las organizaciones tanto del sector público como del privado a alcanzar sus objetivos de resiliencia.

Directrices federales de Estados Unidos como Modelo de Madurez de Confianza Cero (ZTMM) de CISA o de la UE Mandatos DORA y NIS2 ofrecer orientación paso a paso y mejores prácticas para organizaciones de cualquier tamaño o industria.

Un requisito clave que Indy ve en estos documentos es la visibilidad end-to-end en tiempo real de los flujos de tráfico de la red y de la carga de trabajo.

“Necesitas comenzar con una comprensión realmente buena de cómo interactúan las cosas en tu entorno”, explicó. “Pero también, ¿cómo interactúan todos sus proveedores y dependencias ascendentes y descendentes a nivel de sistemas?” Con esta información, los equipos podrán comprender la exposición de su red y luego poner en marcha los controles de seguridad adecuados.

Esta inmersión profunda en la infraestructura de su red significa involucrar a los equipos de toda la organización. Para Indy, la navegación exitosa requiere transformar la seguridad en un “deporte de equipo”. La adopción de un enfoque colaborativo fomenta la resiliencia y alinea las iniciativas de ciberseguridad con los objetivos de toda la organización.

Cómo conectar Zero Trust con los objetivos del negocio

Desde la perspectiva de Indy, una estrategia de confianza cero puede ayudar a los líderes de seguridad a contar una mejor historia sobre cómo la ciberseguridad se está alineando con los objetivos del negocio.

“Se trata de establecer la escena, enmarcarlo de la manera correcta y hacer que resuene con los líderes a nivel de junta”, explicó Indy.

Zero Trust es un marco útil para obtener Cyber Buy-in porque elimina la seguridad del ámbito de los controles técnicos.

Indy recomienda que los líderes de seguridad tomen este enfoque al abogar por las iniciativas y necesidades de su equipo:

• Comience siempre con los objetivos de su negocio: “Elija su estrategia de negocio, recoja el informe anual, comprenda lo que el negocio está tratando de hacer y luego superponga con sus planes de seguridad”.

• Utilice los principios de confianza cero como herramienta estratégica: “Explique cómo Zero Trust puede apoyar [a la empresa] utilizando sus pilares estratégicos”.

• Guarde la tecnología para el final: “Entonces, puedes comenzar a entrar en los controles tecnológicos necesarios para cumplir con cada uno de estos puntos”.

Escucha, suscríbete y revisa The Segment: A Zero Trust Podcast

¿Quieres saber más? Escucha el episodio completo con Indy en nuestro sitio web, Podcasts de Apple, Spotify, o donde sea que obtenga sus podcasts. También puedes leer una transcripción completa del episodio.

¡Volveremos pronto con más información de Zero Trust!