La entrevista de seguridad: gestionar la mentalidad del ‘no’

Sharp Europe vende dispositivos, electrodomésticos y equipos electrónicos tanto a particulares como a empresas. Sus ofertas comerciales ahora se han ampliado con servicios administrados y servicios de soporte de TI. Matt Riley es el responsable de seguridad de la información y protección de datos de la empresa. Tiene responsabilidades tanto en la seguridad interna de Sharp como en las oportunidades comerciales.

Dentro del negocio europeo, Riley desempeña un papel de dos partes. El primero es un rol más tradicional del tipo del oficial de protección de datos, que se superpone al mundo de la seguridad de la información y garantiza que la empresa opere de una manera que considere no solo los riesgos de protección de datos sino también los riesgos de seguridad de la información.

La otra parte de su función dentro de las empresas del Reino Unido es buscar oportunidades y amenazas potenciales. Esto cubre a Sharp internamente, ayudando a sus clientes comerciales a resolver problemas complejos relacionados con regulaciones y tecnología.

Por ejemplo, cuando el Reino Unido abandonó la Unión Europea, adoptó el Reglamento General de Protección de Datos (GDPR) en su totalidad, lo que, como señala Riley, ha significado que las empresas puedan continuar operando con flujos de datos hacia y desde la UE sin demasiados cambios. .

Pero, dice: “Es probable que el Reino Unido se aleje de cosas como el RGPD, lo que genera más incertidumbre. Parte de mi función es comprender ese nivel de incertidumbre y luego ayudar a respaldar a Sharp internamente”.

Al observar los riesgos y oportunidades tecnológicos, muchos líderes empresariales quieren capitalizar las oportunidades que la IA generativa (GenAI) tiene para ofrecer. Pero desde la perspectiva del cumplimiento normativo, Riley peca de cauteloso. “Hay tantos riesgos en torno a la GenAI que no se comprenden bien”, advierte.

Más contenido para leer:  InterDigital se adjudica cinco proyectos emblemáticos 6G de Horizon Europe

Riley publicó recientemente un artículo en LinkedIn explorando los riesgos de la tecnología, dada la facilidad de uso de ChatGPT.

“Necesitamos empezar a trazar algunas líneas aquí. Necesitamos empezar a educar a la gente sobre algunas de las diferencias fundamentales reales con los modelos de IA, para que al menos la gente pueda tomar una decisión informada”, afirma.

Si bien los líderes empresariales querrán ver los beneficios de GenAI, también querrán utilizarla de forma segura, añade.

Ganar corazones y mentes

Como casi todos los líderes de seguridad de TI, Riley a menudo se encuentra en conversaciones difíciles con colegas de negocios sobre lo que pueden y no pueden hacer desde una perspectiva de seguridad cibernética.

“Mi enfoque”, dice, “es que la respuesta nunca es ‘no’. No se ganan corazones y mentes con un tema realmente importante diciendo ‘no’ todo el tiempo”.

Refiriéndose a una investigación del gobierno del Reino Unido, Riley dice que las empresas ven la seguridad cibernética y la seguridad de TI como una alta prioridad: “Sabemos que el nivel de preocupación por la seguridad cibernética está creciendo. Pero en comparación con hace 10 años, ahora hay mucha más conciencia de por qué es importante”.

Para Riley, un desafío para los profesionales de la ciberseguridad es que el nivel de conocimiento en torno a la ciberseguridad es relativamente bajo. Los responsables de la toma de decisiones empresariales no son expertos en ciberseguridad. “Simplemente decir ‘no’ significa que estamos poniendo barreras”, añade.

Riley dice que utiliza la narración cuando maneja conversaciones difíciles con colegas de negocios sobre los riesgos cibernéticos asociados con iniciativas o proyectos que quieren impulsar. Dice: “Se trata de hacer que el riesgo sea identificable para la persona con la que estás hablando”.

Más contenido para leer:  Need for ‘significant’ public and private investment in UK infrastructure

Dado que la seguridad de TI utiliza mucha terminología técnica, convencer a las personas significa brindarles una manera de comprender los riesgos en un contexto que puedan comprender. “Tengo un hermoso ejemplo con el equipo de liderazgo de Sharp”, dice, donde los responsables de la toma de decisiones empresariales pudieron tomar una decisión informada sobre si contratar o no un nuevo proveedor de equipos de red inalámbrica.

Matt Riley

“Nosotros, como empresa, y todas las empresas, deberíamos tener un nivel real de debida diligencia en la cadena de suministro”

Matt Riley, Sharp Europa

“Fue una propuesta realmente buena”, dice. “Todos estaban muy entusiasmados de que fuera una gran idea. Entonces, tomé las medidas necesarias para revisar la empresa. Necesitábamos comprender cómo protegerían nuestros datos”.

Después de la debida diligencia, Riley dice que se sentó con el equipo de liderazgo y preguntó quién le gustaría participar a nivel de la junta directiva para patrocinar al proveedor de TI en cuestión. “Entonces dije que había algunas advertencias. Ellos [the wireless equipment supplier] “No nos darán acuerdos de nivel de servicio, no nos darán tiempo de actividad, no nos darán ningún tipo de garantía de que su producto cumple con nuestros requisitos mínimos de seguridad”.

Riley dice que después de esta conversación, nadie estaba dispuesto a ser patrocinador ejecutivo. “No dije ‘no’, pero los llevé a una decisión informada y de todos modos llegaron a esa conclusión”, añade.

Entre las crecientes áreas de preocupación para los jefes de seguridad de TI se encuentra la cadena de suministro como un punto potencial de falla y debilidad de la seguridad cibernética. Riley espera que las cadenas de suministro sigan creciendo continuamente de manera exponencial en los próximos años. Hacer frente a este tipo de ataques requiere un cambio cultural, lo que siempre resulta difícil.

Más contenido para leer:  La implementación de Wi-Fi 6 / 6E se difundirá en 2022

“Nosotros, como empresa, y todas las empresas, deberíamos tener un nivel real de debida diligencia en la cadena de suministro”, afirma. “Pero debemos adoptar un enfoque basado en el riesgo porque no vivimos en un mundo de blanco y negro: vivimos en un espectro gris de lo que es seguro y lo que no lo es”.

En este contexto, dice que los líderes de seguridad de TI deben asegurarse de haber implementado controles adecuados para ayudar a proteger el negocio.

Escuche el podcast aquí >>

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales