Artículo
Por qué los líderes del sector seguridad deben priorizar una excelente experiencia de cliente
by Chris Peake
Nota del editor: El ecosistema de la tecnología de la información está en constante evolución. Siempre habrá malos actores; por eso, es crucial que las organizaciones sepan que los datos que confían en las plataformas de software como servicio (SaaS) estén protegidos. En este artículo, Chris Peake, vicepresidente de Seguridad de la Información (CISO) de Smartsheet, nos explica por qué la transparencia de las prácticas de seguridad es crucial para generar y mantener la confianza con los clientes que necesitan plataformas de grado empresarial para administrar su trabajo.
Después de graduarme de la universidad en 1997, comencé a trabajar como coordinador de misiones médicas en Operación Sonrisa, la organización sin fines de lucro que facilita las cirugías de labio leporino y paladar hendido en todo el mundo. Puesto que la mayoría de las organizaciones sin fines de lucro no tienen un presupuesto muy alto, mi trabajo secundario allí estaba centrado en la TI. Creaba bases de datos, mantenía sistemas y capacitaba al personal sobre cómo usar todas estas herramientas.
Ayudé a implementar algunos de los primeros eventos de telemedicina en Operación Sonrisa para conectar médicos de diferentes países para consultas y cirugías en directo. Estos eventos eran una demostración del increíble poder que tiene la tecnología y, pensándolo bien, cuán crítico es para los profesionales de seguridad proteger a las personas que la usan, especialmente los datos personales o confidenciales.
Durante toda mi carrera, siempre tuve algo muy claro: los líderes de seguridad y sus equipos deben comprometerse a brindar una experiencia de cliente excelente. Y este punto de vista centrado en el cliente debe estar impulsado por un compromiso con la privacidad de los datos, ganarse la confianza de las personas y mantenerla, la transparencia respecto de las pruebas de seguridad y aportar a una comunidad de seguridad de la información más amplia.
La evolución de la protección de datos
Durante años de investigación y experiencia en el trabajo, aprendí que no puedes ganarte la confianza sin transparencia cuando estás manipulando datos del cliente. Por ejemplo, a mediados de los noventa, antes de que la banca en línea se hiciera popular, muchas personas dudaban de si dejar de usar la banca tradicional. En el pasado, ibas a la sucursal en persona, completabas un talón de depósito, hacías la transacción con una persona física o un cajero automático y seguías con tu día.
Para preparar a las personas para la alternativa en línea, los bancos tuvieron que asegurarles (y reafirmarles) a los clientes que sus transacciones eran seguras y fáciles de rastrear desde la computadora de su casa. Asimismo, al adoptar una plataforma SaaS, entregas una gran responsabilidad del sistema y de los datos al proveedor.
Las organizaciones a nivel de empresa que usan una plataforma para administrar el trabajo tienen que saber que pueden confiar en que su proveedor protegerá sus datos. Además, como profesionales de seguridad, la protección también significa no mirar los detalles específicos de los datos que los clientes agregan a nuestras plataformas SaaS.
Ganarse la confianza del cliente y mantenerla
En Smartsheet, estamos comprometidos con ganarnos la confianza de nuestros clientes y mantenerla. Como parte de ese compromiso constante, seguimos mejorando nuestro programa de seguridad de grado empresarial. Cumpliremos o superaremos los estándares de seguridad empresariales para garantizar que Smartsheet esté listo para usar en lo que respecta a seguridad de datos, privacidad y gobernanza.
Nuestro objetivo a largo plazo es poder dar rienda suelta al potencial de Smartsheet para que los clientes puedan trabajar con datos con niveles de confidencialidad diferentes y, a la vez, tener la seguridad de que los datos están correctamente protegidos.
Si bien es un gran punto de partida, lo básico es que ofrezca certificaciones de cumplimiento, información de privacidad y seguridad, y todo lo demás que figure en su sitio web corporativo. Por eso creamos el Trust Center de Smartsheet.
Sin embargo, cuando yo o alguien de mi equipo de expertos de seguridad hablamos con los clientes directamente, podemos conocer de manera más detallada los procedimientos operativos y los procesos estándares de su empresa, los controles que tienen o que no tienen instaurados y, además, ser francos sobre los casos que pueden ser o no ser prácticos para nuestro servicio, desde una perspectiva de seguridad de la información. En mi experiencia, este nivel de franqueza ayuda a crear una confianza mutua con nuestros clientes, que es la base de una relación duradera.
Lo segundo que genera confianza es recordarles a las personas que nuestro compromiso con mejorar nuestro programa de seguridad es constante. En mi opinión, el objetivo de ir mejorando de a poco es no tener una línea de llegada. Siempre estás evolucionando para poder adaptarte al panorama de las amenazas de seguridad que cambia constantemente. Mi equipo siempre está creando nuevas formas de mejorar los controles de seguridad y productos al tiempo que aprovechan la tecnología de punta que seguirá haciendo que la plataforma de Smartsheet sea segura.
Transparencia respecto de las pruebas de seguridad
La transparencia es una ruta de doble vía; por un lado, queremos conversar con los clientes para poder comprender sus requisitos y necesidades, incorporarlos y actuar en consecuencia. Por el otro, ellos confían en que sus datos estarán seguros en nuestra plataforma y que no podemos compartir (ni lo haremos) sus datos o información.
Cuando daba charlas a los profesionales de seguridad, les pedía que levantaran la mano si usaban un servicio basado en la nube. Casi todos levantaban la mano. Luego, les preguntaba si confiaban en ese servicio y, casi todos, bajaban la mano. A partir de allí, tuve clarísimo que los profesionales de seguridad tenían que saber si confiaban o no confiaban en un proveedor de servicio.
El entorno de la aplicación de Smartsheet está en constante mejora, para que podamos implementar continuamente pruebas de seguridad repetitivas, pero integrales a todos los niveles: hardware, redes, sistema individual, servicio y aplicación. Esto es obligatorio para cualquier empresa íntegra que ofrezca una plataforma SaaS de grado empresarial.
A nivel de la aplicación, realizamos pruebas de penetración internas y externas completas de manera regular. Llevamos a cabo revisiones del código a nivel de la aplicación, como parte de nuestro proceso de desarrollo, en el que hacemos comprobaciones de escaneo activas antes de implementar el código.
Luego, hacemos revisiones de pares y participamos en un programa de recompensas por errores, en el que permitimos que investigadores externos miren nuestros entornos e informen los errores. Solucionamos los errores o las vulnerabilidades que quedan al descubierto al llevar a cabo esos procesos. Desde una perspectiva de seguridad, tenemos en cuenta diferentes direcciones desde donde puede venir un ataque para estar seguros de estar preparados.
Contribuir a la comunidad de la seguridad de la información
La tecnología de la información es un ecosistema. Computación en la nube, centros de datos locales, redes, sistemas telefónicos, sistemas digitales; en la actualidad, todo está relacionado.
Por este motivo, en Smartsheet, queremos asociarnos con organizaciones y otros proveedores de SaaS para trabajar en los desafíos comunes que todos enfrentamos. Desde un punto de vista de producto, nos asociamos con otras ofertas de software de grado empresarial, como Salesforce y Google. Estas empresas han hecho lo suyo para asegurarse de que sus plataformas estén, hasta donde ellos saben, protegidas.
Como líder de un espacio de gestión de trabajo colaborativo (CWM), Smartsheet también se conecta con toda la comunidad de seguridad de la información. En 2018, Smartsheet se unió al Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG) porque es esencial escuchar a nuestros pares y trabajar con ellos para crear estándares de la industria, documentación y brindar asesoramiento.
Pero esto va mucho más allá, ya que organizaciones de todos los tamaños del sector usan Smartsheet todos los días. Tenemos una oportunidad única de escuchar a nuestros clientes de todos los sectores, comprender verdaderamente los desafíos de seguridad y privacidad de datos que enfrentan y ofrecer consejos a otros proveedores de SaaS sobre este tema. Este nivel de alineación y uso compartido del conocimiento respecto de las mejores prácticas beneficia a todos nuestros clientes.
Al participar con organizaciones que pertenecen a grupos como el M3AAWG, también podemos ayudar a guiar a la próxima generación de expertos en tecnología y a los negocios emergentes que ya estén trabajando en su gran idea. Ya que la mayoría (¡aunque no todas!) las grandes organizaciones suelen ser menos ágiles y más lentas para cambiar, adoptar e innovar, es importante que las empresas en crecimiento que quieren escalar y los estudiantes conozcan las mejores prácticas para los protocolos y procesos de seguridad.
Eventualmente, la próxima ola de empresas madurarán y los estudiantes de tecnología empezarán a trabajar en ellas y guiarán nuestro futuro de colaboración. Los profesionales en seguridad tienen la oportunidad de enseñar a la próxima generación, pero también de aprender de ella, cómo crear y mantener la confianza de los futuros clientes.
Suscríbase al Boletín de TI de Smartsheet para leer consejos, estrategias e ideas centradas en ayudar a los profesionales de TI a mejorar sus negocios.
Para obtener más información sobre las políticas de Smartsheet sobre seguridad de la información, cumplimiento y gobernanza, y protección de datos, visite nuestro Trust Center.
