Siempre me han apasionado los productos nuevos e innovadores. Debido al panorama de amenazas en constante cambio, la demanda de innovación de productos de ciberseguridad es prácticamente infinita. Por ello,este campo ha sido tan apasionante para mí durante los últimos 5 años. Diría incluso que los propios ciberdelincuentes se encuentran entre los principales innovadores: cada vez que se desarrollan nuevas herramientas para detenerlos, ellos desarrollan rápidamente nuevas tácticas para sortear esas defensas.
Como director de seguridad de la información de una empresa que ayuda a guiar a los viajeros a nuevos destinos, he tenido la oportunidad de trabajar con algunas empresas innovadoras en sus propios recorridos. Me encanta ayudar a las startups a madurar sus productos y su estrategia de producto y, la verdad, ser mentor también me ayuda a descubrir nuevas formas de proteger mi organización.
Nunca he pretendido ser un mentor. Sin embargo, al ocupar un puesto destacado en KAYAK, han acudido a mí solicitándome consejo (¡quizá lo harán aún más después de leer esta historia!). Como director de seguridad de la información, es fácil caer en la trampa de pensar: "No tengo tiempo para esto". En realidad, ninguno vamos sobrados de tiempo, pero dedico tiempo a la tutoría porque creo que sirve a un bien mayor y ayuda a impulsar la innovación continua en ciberseguridad.
Todos sabemos que las startups son fundamentales para el ecosistema de la ciberseguridad (y para los ecosistemas de innovación en general). Su crecimiento beneficia a todas las empresas e impulsa la creación de nuevos puestos de trabajo y el crecimiento económico. Es un círculo virtuoso: como comprador de servicios tecnológicos, quiero que las startups de ciberseguridad con buenas ideas prosperen y consigan más clientes, para que estos, a su vez, puedan invertir más en mejorar sus productos. Si la empresa es viable financieramente antes, los productos también mejoran antes. (Las empresas tecnológicas ya existentes no siempre muestran la misma urgencia).
También hay un componente personal. Me encanta trabajar con jóvenes y nuevas empresas con pasión y verlos crecer. Es similar a criar un hijo. Dado que me apasionan las ideas nuevas y encontrar formas de mejorar los productos, decidí que valía la pena dedicar parte de mi tiempo a ayudar a algunas de estas empresas.
No hay nada malo con las grandes empresas, pero para ellas el riesgo que implica probar cosas nuevas es mucho mayor que para las empresas más pequeñas. Por ello, les resulta más difícil innovar. Las empresas más grandes tienden a proteger lo que ya tienen, en lugar de intentar descubrir la próxima novedad, o simplemente compran la siguiente gran idea y se expanden mediante adquisiciones. Las empresas más pequeñas ofrecen más oportunidades de innovación, porque pueden asumir más riesgos y hay menos obstáculos burocráticos que sortear.
Pero las startups afrontan grandes desafíos. Necesitan algo más que una buena idea. Definir un mercado para una amplia base de clientes (o entrar en una categoría de mercado ya afianzada) implica algo más que resolver un único problema para un solo cliente. Las startups suelen tener dificultades para hacer avanzar sus ideas, y aquí es donde entran en juego los mentores.
La mayoría de nosotros disponemos de poco tiempo, así que es necesario priorizar cómo y a quién asesorar. Antes de lanzarme a una relación de tutoría, me planeo tres preguntas:
¿Tienen una visión clara de lo que aporta su producto y de cómo esperan hacerlo crecer con el tiempo?
¿Están entusiasmados con esa visión?
¿La empresa es de un sector que me interesa y me apasiona?
Hay muchas oportunidades para que las nuevas startups crezcan y creen un producto que algún día me plantearía utilizar para nuestra empresa. Por ejemplo, en estos momentos veo mucha innovación en torno a la gestión de identidad y acceso, las redes Zero Trust y la microsegmentación de red, y tengo un interés personal en los proyectos relacionados con estos ámbitos.Comprobar cómo la tutoría marca la diferencia en el destino de una empresa es algo especial. En un caso, entablé una relación con una empresa de seguridad que estaba abordando el problema de cómo incorporar y proteger con seguridad las identidades de los contratistas independientes. Su visión inicial despertó mi interés, y empezamos nuestras conversaciones compartiendo ideas. Durante tres años, les proporcioné periódicamente mi opinión sobre ideas de productos, señalando los fallos o problemas que encontraba en sus planes y ayudando a ofrecer soluciones alternativas. Su producto acabó evolucionando hasta convertirse en una solución de detección y respuesta de amenazas de identidad (ITDR).
En cada fase, profundicé en los detalles de aquello que intentaban conseguir y en lo que necesitaban mejorar, incluida su relación señal/ruido (hablaremos sobre ello más adelante). Aunque no puedo llevarme todo el mérito, nuestro trabajo dio sus frutos: una empresa de la lista Fortune 100 adquirió la startup, y todavía les proporciono asesoramiento de vez en cuando.
Todas estas interacciones me han ofrecido nuevas perspectivas que puedo aportar para impulsar la innovación en mi organización.
La tutoría adoptará distintas formas en función de tu "ancho de banda personal" y de las necesidades del tutelado. Algunas empresas podrían requerir asesoramiento continuo. Otras, en cambio, solo una o dos reuniones para ponerlas en el buen camino. Depende mucho de en qué punto de su evolución se encuentre la startup: si solo dispone de una idea, un prototipo de una solución o un producto completo. En cualquier caso, las circunstancias deberían funcionar para todos los implicados.
Al igual que no hay dos empresas iguales, tampoco hay dos relaciones de tutoría iguales. Dicho esto, en los últimos años he recomendado algunas áreas de interés para las empresas de ciberseguridad:
Elevada relación señal/ruido. Uno de los mayores problemas de las herramientas de seguridad es todo el ruido que pueden generar. Con una elevada relación señal/ruido, los usuarios deberán dedicar muchos recursos humanos al seguimiento de cada notificación, lo que supone un riesgo de fatiga de alertas y de no detectar las alertas críticas.Que puedas lanzar una alerta no significa que debas hacerlo. ¿La alerta es eficaz y valiosa? ¿O sólo supone más trabajo? Son preguntas básicas, porque si hay demasiadas alertas la gente tiende a ignorarlas. No se trata sólo de la cantidad, sino también de la calidad de las alertas. Quieres que las señales esenciales que envíes sean sencillas, de modo que su análisis requiera poco tiempo y esfuerzo.
Facilidad de implementación. Muchas empresas complican demasiado la implantación de su producto. Todo el mundo te dirá que la implementación solo lleva 15 minutos, pero nunca es así. Observo que muchas empresas cometen el error de esperar que los humanos se sienten delante de una interfaz gráfica de usuario durante horas para configurar su producto. Eso es ineficaz, sobre todo a gran escala. Las empresas deben centrarse en utilizar la API y la automatización para la configuración, sin duda, pero también para el uso continuado.
Cumplimiento de la normativa SOC2 o ISO 27001. Sé que no soy el único cuando admito que me interesa más la tecnología que el cumplimiento. Sin embargo, el cumplimiento de una de estas normativas es fundamental para las empresas en la nube que manejan datos confidenciales. Es la única forma de ganarse la confianza de los clientes empresariales, y el cumplimiento debe formar parte de la conversación desde el principio.
Aunque no soy comercial, a menudo soy el comprador objetivo. Presiono a las startups para que definan su propuesta de valor. Puede ser un gran desafío, pero si su tesis me interesa a mí, creo que interesará a otros directores de seguridad de la información.
La tutoría no es una relación unidireccional. Claro que ofrezco orientación, pero yo también me beneficio del proceso. Cuando descubro una nueva perspectiva sobre la seguridad, también hay una posible oportunidad de mejorar los procesos de mi organización.
Siempre hay algo más que aprender, y algunas de las mejores ideas surgen de nuevas conversaciones. Por ejemplo, al orientar a la empresa ITDR, descubrí que la duración de mi sesión de IAM no era la que yo creía, y pude corregirlo.
Soy un adicto a la información. El estímulo intelectual que me ofrecen las conversaciones con personas a las que les entusiasman los mismos temas que a mí me aporta nueva energía. Por eso me levanto por la mañana y disfruto ayudando a otros líderes a avanzar. También hay un sentimiento de orgullo en contribuir al éxito de otra persona.
Los fundadores crean e innovan porque es lo que les gusta hacer. Pero dirigir una empresa no es tan sencillo como subirse a una bicicleta, y muchas startups siguen fracasando. La tutoría ofrece un empujón adicional a estas empresas, dándoles la oportunidad de llevar sus ideas al mundo.
KAYAK cuenta con un estricto programa de cumplimiento y ética. Trabajar con proveedores presenta el riesgo de crear un conflicto de intereses si creo que el producto es adecuado para KAYAK. Personalmente, he mitigado este riesgo cumplimentando las declaraciones de divulgación exigidas por KAYAK y dejando que mi equipo tome las decisiones finales sobre si un producto es adecuado para nuestra empresa.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Tom Parker
Vicepresidente de TI y director de seguridad de la información, KAYAK
Después de leer este artículo podrás entender:
La tutoría sirve a un bien mayor y ayuda a impulsar la innovación continua en ciberseguridad.
Las startups suelen tener dificultades para hacer avanzar sus ideas, y aquí es donde entran en juego los mentores.
La tutoría ofrece a los mentores la oportunidad de mejorar los procesos en su propia organización.
Cómo aprendí a dejar de preocuparme y aceptar la conformidad
La fatiga en la supervisión de la seguridad pone en riesgo a las organizaciones