Sharp Europe vende dispositivos electrónicos, electrodomésticos y equipos tanto a particulares como a empresas. Su oferta comercial se ha ampliado ahora con servicios gestionados y servicios de soporte de TI. Matt Riley es el responsable de protección de datos y seguridad de la información de la empresa. Tiene responsabilidades tanto en la seguridad de Sharp a nivel interno como en las oportunidades comerciales. Dentro del negocio europeo, Riley tiene un papel doble. El primero es un papel de responsable de protección de datos más tradicional, que se superpone al mundo de la seguridad de la información y garantiza que la empresa funcione de una manera en la que no solo tenga en cuenta los riesgos de protección de datos sino también los riesgos de seguridad de la información. La otra parte de su papel dentro del negocio del Reino Unido es analizar las posibles oportunidades y amenazas. Esto cubre a Sharp internamente, ayudando a sus clientes comerciales a abordar cuestiones complejas relacionadas con las regulaciones y la tecnología. Por ejemplo, cuando el Reino Unido abandonó la Unión Europea, adoptó el Reglamento General de Protección de Datos (RGPD) en su totalidad, lo que, como señala Riley, ha significado que las empresas pueden seguir operando con flujos de datos hacia y desde la UE sin demasiados cambios. Pero, dice: «Es probable que el Reino Unido se aleje de cosas como el RGPD, lo que genera más incertidumbre. Parte de mi función es comprender ese nivel de incertidumbre y luego ayudar a respaldar a Sharp internamente”. Al observar los riesgos y las oportunidades tecnológicas, muchos líderes empresariales quieren aprovechar las oportunidades que ofrece la IA generativa (GenAI). Pero desde una perspectiva de cumplimiento normativo, Riley se equivoca por el lado de la precaución. “Hay tantos riesgos en torno a GenAI que se comprenden mal”, advierte. Riley publicó recientemente un artículo en LinkedIn que explora los riesgos de la tecnología, dada la facilidad de uso de ChatGPT. “Necesitamos comenzar a trazar algunas líneas aquí. Necesitamos comenzar a educar a las personas sobre algunas de las diferencias fundamentales reales con los modelos de IA, para que al menos las personas puedan tomar una decisión informada”, dice. Si bien los líderes empresariales querrán ver los beneficios de GenAI, también quieren usarlo de una manera segura, agrega. Ganarse los corazones y las mentes Como casi todos los líderes de seguridad de TI, Riley a menudo se encuentra en conversaciones difíciles con colegas de negocios sobre lo que pueden y no pueden hacer desde una perspectiva de ciberseguridad. “Mi enfoque”, dice, “es que la respuesta nunca es ‘no’. No se ganan los corazones y las mentes en un tema realmente importante diciendo «no» todo el tiempo». En referencia a una investigación del gobierno del Reino Unido, Riley dice que las empresas consideran la seguridad cibernética y la seguridad de TI como una alta prioridad: «Sabemos que el nivel de preocupación por la seguridad cibernética está creciendo. Pero en comparación con hace 10 años, ahora hay mucha más conciencia de por qué es importante». Para Riley, un desafío para los profesionales de la seguridad cibernética es que el nivel de conocimiento sobre seguridad cibernética es relativamente bajo. Los tomadores de decisiones empresariales no son expertos en seguridad cibernética. «Simplemente decir ‘no’ significa poner barreras», agrega. Riley dice que usa la narración de historias cuando maneja conversaciones difíciles con colegas de negocios sobre riesgos cibernéticos asociados con iniciativas o proyectos que quieren impulsar. Dice: «Se trata de hacer que el riesgo sea comprensible para la persona con la que estás hablando». Dado que la seguridad de TI utiliza mucha terminología técnica, convencer a las personas significa proporcionarles una forma de comprender los riesgos en un contexto que puedan entender. “Tengo un ejemplo estupendo con el equipo directivo de Sharp”, afirma, donde los responsables de la toma de decisiones empresariales pudieron tomar una decisión informada sobre si contratar a un nuevo proveedor de equipos de redes inalámbricas. “Nosotros, como empresa, y todas las empresas, deberíamos tener un nivel real de diligencia debida sobre la cadena de suministro”. Matt Riley, Sharp Europe “Fue una propuesta realmente muy buena”, afirma. “Todos estaban muy convencidos de que era una gran idea. Así que tomé las medidas necesarias para evaluar la empresa. Necesitábamos entender cómo protegerían nuestros datos”. Después de la diligencia debida, Riley dice que se sentó con el equipo directivo y preguntó a quién le gustaría participar a nivel de la junta directiva para patrocinar al proveedor de TI en cuestión. “Luego les dije que había algunas salvedades. [the wireless equipment supplier] “No nos darán acuerdos de nivel de servicio, no nos darán tiempo de actividad, no nos darán ningún tipo de garantía de que su producto cumpla con nuestros requisitos mínimos de seguridad”. Riley dice que después de esta conversación, nadie estaba dispuesto a ser el patrocinador ejecutivo. “No dije ‘no’, pero los llevé a una decisión informada a la que llegaron de todos modos”, agrega. Entre las áreas de creciente preocupación para los jefes de seguridad de TI está la cadena de suministro como un punto potencial de falla y debilidad de seguridad cibernética. Riley espera que las cadenas de suministro sigan creciendo continuamente de manera exponencial en los próximos años. Hacer frente a estos ataques requiere un cambio cultural, que siempre es difícil. “Nosotros como empresa, y todas las empresas, deberíamos tener un nivel real de diligencia debida sobre la cadena de suministro”, dice. “Pero debemos adoptar un enfoque basado en el riesgo porque no vivimos en un mundo de blanco y negro: vivimos en un espectro gris de lo que es seguro y lo que no es seguro”. En este contexto, dice que los líderes de seguridad de TI deben asegurarse de haber implementado controles adecuados para ayudar a proteger el negocio. Escuche el podcast aquí >>