Networking y seguridad: Cómo impulsar la colaboración

0
132

Cuando Tim Callahan llegó a Aflac hace cuatro años para asumir el rol de CISO, la seguridad empresarial de este gigante de los seguros estaba integrada en el equipo de infraestructura.

Una de sus primeras solicitudes para el CIO: Permítame extraer la seguridad a su propio grupo. Callahan admite que el cambio de cultura no fue fácil, pero cree que la demarcación realmente ha llevado a una mejor colaboración.

«El networking y la seguridad son roles distintos, y mezclarlos como un solo grupo es peligroso», afirma. «En nuestra industria altamente regulada, tenemos que mostrar la separación de funciones».

Defender un equipo de seguridad cerrado no es fácil para los líderes de seguridad que se encuentran entre un grupo de profesionales de seguridad calificados cada vez más reducido. La firma de analistas ESG descubrió que, del 2014 al 2018, el porcentaje de interrogados en una encuesta global sobre el estado de TI, señaló que la escasez en las habilidades de ciberseguridad en su organización aumentó a más del doble, de 23% a 51%.

Sin embargo, Callahan sostiene que puede reestructurarse exitosamente en dos equipos siempre y cuando se comuniquen claramente los objetivos de cada equipo, junto con los roles y responsabilidades que desempeñan los miembros del equipo; y siempre que esté dispuesto a utilizar la innovación y la automatización para complementar los recursos humanos.

En Aflac, la seguridad es responsable de monitorear el ambiente, informar a la organización de ataques y vulnerabilidades, y crear estándares y protocolos. «Determinamos el riesgo a través de un sólido programa de administración de vulnerabilidades, y luego establecemos prioridades para el proceso de reparación que debe seguir el equipo de la red», señala Callahan. «Tener líneas claras fomenta el respeto por la profesión de los demás y crea un ambiente más saludable en general».

El equipo de seguridad de Aflac utiliza una Matriz de asignación de responsabilidad, que registra qué participantes son responsables, con quiénes se debe coordinar,  y/o deben estar informados en las diferentes etapas del ciclo de vida del proyecto. No obstante, esto solo funciona si la seguridad es vista como una parte esencial de todo esfuerzo de TI, no como una idea de último momento, según Callahan.

«Nos trajeron en una etapa temprana del ciclo de desarrollo del equipo de networking para asegurarnos de que el código creado sea realmente seguro», comenta. «No nos estamos enterando justo después de la producción, lo que haría que tengamos que decidir entre dejar que suceda como

‘inseguro’ o nos acusen de detener el progreso».

¿Por qué mantener la seguridad separada del networking?
Chris Calvert, cofundador de Respond Software, una herramienta de automatización que utiliza la inteligencia artificial para simular las reacciones de un analista de seguridad, señala que es importante que la seguridad no se pierda en la confusión de TI.

«Algunos de los centros de operaciones de seguridad que construí incluían la seguridad con TI, y la seguridad terminaba siendo expulsada», señala Calvert, quien ha pasado casi dos décadas construyendo centros de operaciones de seguridad para grandes empresas, como IBM, Shell Oil, Sony, y Walmart. Encontró que los equipos de seguridad generalmente son ruidosos y pueden animarse en sus discusiones sobre cómo detener a los malos. Por el contrario, los centros de operaciones de red son más silenciosos y se centran en las luces verdes y rojas de la pantalla.

Si las compañías deciden separar al equipo de seguridad, también deben considerar la estructura informativa de liderazgo, según Johna Till Johnson, CEO y fundadora de Nemertes Research. Basándonos en la investigación de Nemertes sobre 625 organizaciones exitosas, las empresas con las métricas operacionales de seguridad más exitosas son aquellas en las que el CISO informa al CEO, CFO o al director ejecutivo legal, pero no al CIO. «El trabajo del CISO es traducir con precisión el riesgo técnico en riesgo legal», afirma Johnson. Esto puede enturbiarse cuando «el CIO tiene el encargo de construir la tecnología; y el CISO, de decidir si vale la pena el riesgo».

Esa también es la filosofía de Callahan. Él está en línea directa con el abogado general, quien informa al CEO. «Esa es una estructura muy importante», anota. «[El CIO y yo] somos socios, no estamos en una relación subordinada».

«La ubicación conjunta podría no funcionar, pero la comunicación sí lo hace», añade Calvert. «Los directores de TI y los líderes de seguridad deben modelar la relación cercana que desean de sus equipos, porque si no se llevan bien, los equipos tampoco lo harán», afirma.

Establecer la seguridad como un campo propio, aparte de TI, también permite que Callahan defienda con más fuerza su propio presupuesto, logrando una transformación y actualización de la tecnología bien financiadas.

¿Por qué integrar equipos de networking y seguridad?
Ed Rodden, CIO del fabricante mundial de alimentos SugarCreek, dice que la tecnología, como las redes definidas por software, está difuminando tanto los límites de la seguridad y el networking, que las compañías no se beneficiarían por separar los equipos.

Un equipo de 20 personas se encarga de todas las necesidades de infraestructura (red, almacenamiento y seguridad) de la empresa familiar de rápido crecimiento, de 800 millones de dólares. Rodden acredita la virtualización, incluido NSX de VMware, la plataforma SDN en el centro de datos que tiene controles de red y seguridad en el mismo software, para fomentar un entorno unificado. Tratar de administrar dicha tecnología con equipos dispares sería una pesadilla, señala.

La colaboración ruidosa que describe Calvert sucede en SugarCreek, pero está entre los cuatro líderes de TI más importantes. «Periódicamente, nos encerramos en una habitación y analizamos metódicamente todos los puntos de egreso en la red, llevando a cabo una revisión completa a un nivel muy detallado de nuestra postura de seguridad», indica Rodden. «Esto nos obliga a llegar a un consenso sobre la seguridad y el networking.»

El ritmo al que el propietario le gusta moverse, también juega un papel importante en la decisión de Rodden de mantener bajo control. «Recibimos un correo electrónico informando que la compañía ha adquirido un edificio para realizar las operaciones, y tenemos que instalar la infraestructura y la tecnología inalámbrica en dos meses, sin dejar tiempo para la burocracia que acompaña a las personas con responsabilidades específicas», comenta.

«Cuando los miembros del equipo de seguridad están tan inmersos en su nicho, no entienden cómo se construyen las cosas y, por lo tanto, tampoco cómo asegurarlas mejor», anota Jacob Lehmann, director gerente de Friedman CyZen, un servicio de consultoría de ciberseguridad.

Además, añade que a medida que las organizaciones se adentran en la nube, necesitan que las redes y la seguridad estén bien integradas para establecer políticas claras y hacer que se cumplan.

«Pasarse a la nube no resuelve el riesgo; en muchos casos lo incrementa», afirma Lehmann, agregando que los equipos deben poder cuantificar ese riesgo antes de tomar una decisión. «Cuanto mejor entiendan los riesgos, mejor podrán establecer prioridades».

Reduciendo la brecha entre la seguridad y las redes
Las organizaciones que dividen los equipos de networking y de seguridad aún pueden mantenerlos cerca a través de la educación y la capacitación.

«La seguridad puede albergar campamentos de entrenamiento sobre codificación segura, almuerzos sobre los fundamentos básicos de la seguridad, y más», señala Johnson, dando a los equipos de seguridad la oportunidad de impartir su conocimiento especializado. Además, cuando los dos equipos necesiten ayuda, ya estarán familiarizados entre sí.

Calvert dice que la seguridad también podría aprender de los equipos de networking, incluyendo principios como ITIL: «Es valioso que seguridad aprenda el lenguaje de las redes».

Sandra Gittlen, Network World