COMENTARIO
En el mundo de la ciberseguridad, ninguna empresa es inmune a interrupciones e infracciones. Recientemente, CrowdStrike, líder en seguridad de terminales, experimentó una interrupción que afectó a muchos usuarios. Si bien los detalles del análisis de causa raíz todavía están surgiendo, sospecho que hay una alta probabilidad de que el problema surja de una falla en el respeto del proceso -en particular, código que puede no haber sido sometido a pruebas adecuadasrevisiones de seguridad o gobernanza antes de la implementación.
Por qué el proceso es importante
El resultado de cualquier proceso empresarial se predice mediante el cumplimiento del proceso. En otras palabras, un proceso nunca será predecible (o máximamente efectivo) si no se sigue. Esto suena como una tautología, pero existe la idea errónea de que el desarrollo de software es de alguna manera la excepción a esta regla.
Estos procesos incluyen pasos clave como revisión de código, controles de seguridad y pruebas de aceptación del usuario. Cuando personas bien intencionadas ignoran el proceso, normalmente intentando trabajar rápidamente, el riesgo de errores y vulnerabilidades se dispara.
A menudo hablamos con líderes técnicos que admiten que tienen muy pocos controles de procesos. Directores de seguridad de la información (CISO) que desconocen que los cambios clave en el código no han sido sujetos a análisis de seguridad o Directores de información (CIO) cuyos equipos no conocen los cambios de arquitectura.
Peor aún, cuando los líderes piensan que sus equipos están siguiendo en gran medida su proceso, a menudo encontramos que una auditoría rápida de los sistemas de registro muestra que ese no es el caso.
Si nuestras sospechas resultan correctas, la interrupción de CrowdStrike nos recuerda que incluso las empresas más avanzadas y respetadas pueden fracasar cuando falla el cumplimiento de los procesos. En muchos casos, estos fracasos pueden atribuirse a una falta de visibilidad y rendición de cuentas en el proceso mismo.
El problema con los procesos es que pueden parecer un impuesto a la productividad hasta que es demasiado tarde. En nuestro mundo financiarizado, el riesgo de fracaso o violación no se cuenta en un balance. La deuda técnica es real, pero no es rastreada por la Junta de Normas de Contabilidad Financiera ni por los principios de contabilidad generalmente aceptados.
Con el tiempo, la mejora de procesos conduce a una mayor eficiencia y productividad, pero gestionar el cambio puede ser difícil y puede resultar especialmente difícil saber por dónde empezar y qué cambio de proceso priorizar.
Cómo evitar futuros incidentes
Garantizar el cumplimiento y la visibilidad de los procesos puede mejorar significativamente la seguridad, la confiabilidad y el rendimiento general de una organización, evitando costosas interrupciones y manteniendo la confianza del cliente.
Pasos clave para garantizar que se siga el proceso
1. Visibilidad del proceso de un extremo a otro: La visibilidad completa de cada paso de los procesos comerciales es esencial. Esta transparencia garantiza que todas las actividades, desde el desarrollo del código hasta la implementación, sean monitoreadas y registradas, lo que facilita la identificación y resolución de problemas potenciales antes de que se agraven.
2. Controles de cumplimiento automatizados: Automatizar las comprobaciones de cumplimiento para garantizar que se completen todas las revisiones y aprobaciones necesarias antes de enviar cualquier código reduce el riesgo de error humano y garantiza que todo el código cumpla con los estándares de seguridad y gobernanza requeridos.
3. Auditoría e informes en tiempo real: Las capacidades de auditoría e informes en tiempo real permiten a las organizaciones monitorear continuamente sus procesos y generar informes detallados. Esta funcionalidad permite identificar rápidamente las desviaciones del proceso establecido y tomar acciones correctivas rápidamente.
4. Gestión proactiva de riesgos: Las herramientas avanzadas de análisis y gestión de riesgos pueden ayudar a las organizaciones a identificar y mitigar los riesgos de forma proactiva. Al analizar tendencias y datos históricos, es posible predecir problemas potenciales y sugerir medidas preventivas, minimizando así el impacto de las interrupciones.
Conclusión
La reciente interrupción de CrowdStrike resalta la importancia crítica de seguir los procesos y marcos de gobernanza establecidos. Mientras continuamos navegando por las complejidades del panorama digital, recuerde que los procesos sólidos y la gobernanza eficaz son las piedras angulares del éxito. Al centrarse en el cumplimiento y la visibilidad de los procesos, las organizaciones pueden prevenir incidentes futuros como la interrupción de CrowdStrike, garantizando que su negocio sea resiliente y seguro.