En el contexto de la vorágine que supone la transformación digital como pilar fundamental del plan España Digital 2025, Ricardo Hernández, country manager para España y Portugal de Vectra AI, reflexiona sobre cómo los CISO deberían enfrentarse a la metodología Agile IT.
Según plantea Hernández, los CIO están siendo arrastrados actualmente en dos direcciones diferentes. En primer lugar, las partes interesadas orientadas al negocio “piden a gritos experiencias más grandes, más audaces y mejores para los clientes y los empleados”. En el otro lado, las partes interesadas orientadas al riesgo están tirando del CIO en otra dirección. “Los CISO están en esta categoría. Entienden el atractivo de la entrega a alta velocidad, pero ven el negocio desde un ángulo diferente. Observan cómo sus compañeros tecnólogos aceptan el concepto de agilidad como la respuesta a los problemas de todos. La función tecnológica puede ofrecer más autonomía tanto a sí misma como a los usuarios de la empresa, desplegando código reducido y otras herramientas para aliviar la carga de los codificadores de la trastienda y liberar a los desarrolladores más capacitados para mejorar aspectos más técnicos de la pila”, argumenta Hernández.
Para el experto el papel de CISO es claro. “Aunque aprecie el encanto de este paradigma de «moverse rápido, fallar rápido», el CISO debe seguir oponiéndose operativamente. El desarrollo de software que se lleva a cabo en un entorno de «carrera hasta el final» puede ser excelente para las métricas de tiempo de comercialización y la productividad. Incluso puede ser crítico para las empresas más pequeñas. Pero el CISO de hoy debe juzgar estas prácticas frente a las tendencias recientes. Los entornos de TI que protegen han sufrido cambios drásticos en su topología. La red corporativa se define ahora por múltiples dominios. Y los puntos finales están dispersos en instalaciones controladas, en entornos de terceros no controlados y en los hogares de los empleados. Cuando se trata de «Agile IT», seguir como antes es, para la mentalidad del CISO, un accidente a punto de ocurrir”.
Por lo tanto, según expone Hernández, el director de seguridad debe estructurar un mensaje que conecte con otras partes interesadas y les haga pensar en el riesgo en cada paso de su ciclo de entrega. “Mientras los CIOs ceden ante los directores de marketing y los ejecutivos de la junta de dirección, los CISO deben ser la voz de la razón, igualmente apasionados por los riesgos de la «transformación en todas partes», desde el servicio de asistencia hasta el centro de datos”, apunta el experto, para el que “el mayor atractivo de la metodología Agile en TI, como medio para que las empresas ocupen su lugar en las visiones económicas, hace que la tarea del CISO sea aún más difícil, pero dadas las recientes ciberamenazas, el dogma Agile en el campo de las TI debe implementarse con la debida precaución”.
Para Hernández, la clave está en el tempo. Considera que los proyectos Agile tienen, sin duda, su lugar en la empresa actual. Pero la clave está en pensar a largo plazo, “el éxito sostenible, a diferencia de una serie de arriesgadas victorias rápidas, requiere una acción metódica y decidida. Muchos de los que rodean al CISO pueden poner los ojos en blanco ante la sugerencia de que «la lentitud y la constancia ganan la carrera», pero si los directores de seguridad exponen tenazmente las costosas alternativas, pueden, con el tiempo, ganarse los corazones y las mentes”.
