La importancia de usar Six Sigma en la seguridad empresarial

Las amenazas a la seguridad evolucionan continuamente. Desde ciberdelincuentes que apuntan a activos digitales a través de una brecha de seguridad hasta intentar ejecutar un ciberataque con planes para extorsionar a la organización, la importancia de mantener segura su infraestructura de seguridad digital es más vital ahora que nunca. Para fortalecer su integridad, las organizaciones deben comenzar a utilizar Six Sigma para todos los niveles de su seguridad.

¿Cómo se alinean Six Sigma y la seguridad?

Primero, es importante entender qué es exactamente Six Sigma. En su forma más básica, Six Sigma se puede definir como técnicas de gestión destinadas a mejorar los procesos comerciales al reducir el riesgo de error. Pero, ¿cómo se alinea eso con la seguridad? Bueno, nuevamente, en su contexto más básico, la seguridad de los datos se implementa para mantener la seguridad de los activos digitales de una organización.

Dado que existen protocolos y procesos de seguridad de datos, tendría sentido utilizar Six Sigma para mejorar esos procesos para reducir el riesgo de amenazas de seguridad en todas las capacidades. Al implementar una de las principales metodologías de Six Sigma, DMAIC, las personas pueden desglosar los procesos de seguridad para determinar los puntos débiles. A partir de ahí, pueden tomar medidas proactivas para reducir las ventanas de amenazas y mantener sus datos seguros.

Recomendado para usted: 7 excelentes maneras de proteger su negocio después de una violación de datos.

DMAIC, Seis Sigma y Seguridad

La metodología Six Sigma, DMAIC, se utiliza principalmente para optimizar los procesos comerciales actuales. El método DMAIC se divide en cinco pasos: Definir, Medir, Analizar, Mejorar y Controlar. Los datos son un componente esencial de las operaciones comerciales, y estos cinco pasos se pueden aplicar a cualquier proceso de seguridad de datos que ya esté implementado. Al implementar el método DMAIC en las prácticas y protocolos de seguridad de datos, la organización puede comprender mejor los motivos detrás de lo que se hace a nivel organizacional con respecto a la seguridad de datos, identificar cualquier punto débil y mitigar los riesgos generales.

Definir el problema y los objetivos del proyecto.

Antes de que pueda resolver algo, primero debe identificar el problema. A veces, estos problemas serán reactivos, por ejemplo, la organización sufrió una brecha de seguridad y ahora está tratando de fortalecer su seguridad digital para evitar futuras brechas. O algunas organizaciones pueden estar tomando medidas proactivas para cerrar las vulnerabilidades de seguridad encontradas durante una evaluación de riesgos de seguridad. Estos problemas pueden ser tan granulares como un solo proceso o una descripción general completa de los procesos de seguridad de datos en su conjunto.

Si la organización aún no ha utilizado Six Sigma en sus prácticas de seguridad de datos, se recomienda una descripción general completa. A medida que la empresa avanza en cada uno de los cinco pasos, es posible que surjan problemas adicionales. Estos son a menudo más específicos para protocolos y procesos individuales. Cuando esto sucede, se pueden establecer objetivos de proyecto específicos para cada uno.

Una vez que se ha identificado el problema general, se deben establecer las metas del proyecto. No se puede definir el éxito sin un objetivo final en mente.

Medir los diversos aspectos del proceso actual en detalle.

Esto requiere un análisis en profundidad que a menudo comienza con el mapeo inicial del proceso. En aras de la consistencia, digamos que esta es una organización que recién comienza a implementar Six Sigma en sus procesos de seguridad de datos. Cuando la organización comienza el mapeo de procesos, el estilo del mapa puede comenzar con un diagrama de flujo básico para observar los procedimientos de seguridad.

A medida que se mapean estos procesos, las personas que desarrollan el mapa deben comprender cómo fluye el proceso de principio a fin. Además, los miembros del personal deben comprender el razonamiento detrás del proceso actual. Puede haber casos en los que un proceso diferente, al pie de la letra, tenga más sentido; sin embargo, sin discutir la lógica detrás de los protocolos actuales, pueden ocurrir cambios que reduzcan la eficiencia y la eficacia.

Para utilizar completamente esta metodología de Six Sigma, las partes deben tener un conocimiento completo y profundo de los procesos, sus flujos, por qué funcionan de la manera en que lo hacen y cómo se pueden optimizar.

Te puede interesar: Documentos y Protocolos que Tu Negocio Necesita para la Ciberseguridad.

Analizar los datos para encontrar los defectos de raíz en un proceso.

En este punto, ha identificado los problemas y objetivos y ha obtenido una comprensión completa de los procedimientos con el uso del mapeo de procesos. Ahora, debe agregar datos para encontrar los defectos de raíz en el proceso. Aquellos que participan en DMAIC para optimizar los procesos de seguridad probablemente tendrán una idea general sobre cuál es el problema raíz.

En ocasiones, es posible que las organizaciones ya tengan una comprensión precisa de cuáles son los defectos dentro de sus sistemas, pero no saben cómo abordarlos. Por ejemplo, pueden ser plenamente conscientes de que sus sistemas operativos están desactualizados o de que necesitan agregar un enfoque en capas a su pila de seguridad existente. El uso de DMAIC permite a los responsables de la toma de decisiones clave de la organización comprender completamente por qué está presente este problema y qué procesos deben tenerse en cuenta antes de que puedan llevarse a cabo las implementaciones.

La recopilación de datos para determinar qué amenazas se plantean, cómo se pueden mitigar y, como resultado, la probabilidad de que la integridad de la infraestructura de seguridad se vea comprometida, son elementos clave de esta fase. Yendo un paso más allá, es importante que todas las partes relevantes entiendan los datos que se han agregado, así como la mejor manera de avanzar.

Al recopilar estos datos, no solo se determinan los problemas de raíz, sino que las personas estarán mejor equipadas para encontrar las soluciones para mejorar el proceso.

Mejorar el proceso

Teniendo en cuenta los objetivos a largo plazo, así como los datos agregados en el paso anterior, las personas ahora pueden considerar soluciones para los defectos de raíz. Este podría ser el uso de IA en ciberseguridad, pasando a un enfoque de autenticación de múltiples factores (MFA) o cifrado de datos. En última instancia, dependerá de los problemas, metas y defectos fundamentales definidos por la empresa.

Los tomadores de decisiones deben tener en cuenta varias cosas al mejorar sus procesos, como la experiencia del empleado. Comprensiblemente, la seguridad no debe verse comprometida. Solo porque la autenticación de dos factores puede parecer inconveniente, no debe descartarse. Sin embargo, cuando se modifican los procesos, es importante tener en cuenta a todos los empleados involucrados. Además, los responsables de la toma de decisiones deben considerar los precios y las posibles integraciones con el software actual.

Para lograr que todos los empleados participen en los cambios que los afectarán directamente, es vital educarlos sobre el razonamiento detrás del cambio. Por ejemplo, si se implementa MFA, puede afectar su acceso o el proceso básico de inicio de sesión. Si los empleados sienten los puntos débiles de esto sin entender por qué, se resistirán, encontrarán soluciones alternativas y todo el proceso se verá socavado. Sin embargo, si los miembros del personal son conscientes de que este nuevo proceso aumenta la seguridad de los datos, reduce el riesgo de una filtración de datos, mejora la reputación de la organización en su conjunto y tiene un impacto en el dólar inferior, lo que a su vez puede afectar sus salarios, implementarán estos cambios. ¿Por qué? Porque ahora entienden lo que hay para ellos.

Si la empresa pierde siete cifras debido a un ataque de malware que detiene la productividad y los ingresos, sus bonos de fin de año se ven afectados. O si los daños a la reputación tienen un impacto a largo plazo en la empresa después de una violación de datos, pueden ser necesarios despidos. Estos ejemplos pueden parecer extremos, pero considere esto. El 99,9 % de las empresas en Estados Unidos son pequeñas empresas, y cuando una pequeña empresa sufre un ataque cibernético, el 60 % cierra sus puertas dentro de los seis meses posteriores al incidente. Sabiendo esto, estos ejemplos ya no parecen demasiado extremos.

Hay varias cosas a considerar al implementar un nuevo proceso y/o software, como la experiencia del usuario, el precio y la integración potencial con las soluciones existentes.

Controlar cómo se realiza el proceso en el futuro.

Después de completar los primeros cuatro pasos de DMAIC, la fase final, y quizás la más importante, es implementar políticas para garantizar que el nuevo proceso se ejecute no solo ahora, sino también en el futuro. La realidad es que se ha realizado una auditoría completa de todo el proceso de seguridad de datos. La organización ahora conoce sus fortalezas y debilidades, y tiene un plan y procesos para mitigar los riesgos. Esto en general refuerza la integridad de la infraestructura de seguridad. Si no existen políticas para mantener estos nuevos procesos, la organización se encontrará en una posición comprometida demasiado pronto.

Será importante crear políticas para garantizar que no solo se lleven a cabo los procesos, sino que los empleados se adhieran a estos nuevos protocolos de seguridad. Al incorporar a todos los miembros del personal a los nuevos procesos de la manera más rápida y eficiente posible, se mitigarán las vulnerabilidades de seguridad. Esto por sí solo reduce el riesgo de ser víctima de amenazas de ciberseguridad que, si se ejecutan, afectarán significativamente los ingresos de la empresa debido a la pérdida de productividad, el tiempo de inactividad, los costos de restauración, los daños a la reputación y más.

Establecer políticas para garantizar que los nuevos procesos se implementen tanto en la actualidad como en el futuro es el elemento final del proceso DMAIC.

También te puede interesar: 12 tipos de seguridad para endpoints que toda empresa debe conocer.

Conclusión

Se ha demostrado que Six Sigma es una metodología eficaz para mejorar las prácticas comerciales en todos los departamentos en una multitud de sectores. La implementación de este mismo enfoque al revisar y mejorar las prácticas de seguridad no solo reforzará la integridad de la infraestructura de seguridad, sino que también producirá una reducción inmediata de los riesgos para el presupuesto más bajo de la organización.

Este artículo está escrito por Aaron Smith. Aaron es un estratega y consultor de contenido con sede en Los Ángeles que brinda apoyo a las empresas STEM y las empresas de consultoría de transformación digital. Cubre los desarrollos de la industria y ayuda a las empresas a conectarse con los clientes. En su tiempo libre, a Aaron le gusta nadar, bailar swing y leer novelas de ciencia ficción.