Cuando Heráclito decía que la única constante era el cambio, no era consciente de que sus palabras resonarían más que nunca 2.500 años después. De hecho, el ritmo de cambio no ha hecho más que coger velocidad. Teniendo en cuenta que las empresas gastan cada vez más en transformación digital –alrededor de 6 billones de dólares en los próximos cuatro años según Eileen Smith, de IDC–, el ritmo de cambio que afectará a los equipos de TI también crecerá. Precisamente, para los equipos de seguridad que trabajan en estos entornos, mantenerse al tanto del cambio puede ser complicado. Hay varias tendencias en el trabajo que pueden afectar a la seguridad, y todas pueden surgir en cualquier momento:
- Los negocios son más globales. Las empresas están buscando más allá de sus propios mercados y fronteras nacionales oportunidades de crecimiento en una etapa más temprana de su desarrollo. En lugar de tardar años en estar en condiciones de expandirse a escala mundial, las empresas pueden vender en todo el mundo mucho antes gracias a Internet. Esto, a su vez, favorece un desarrollo más rápido de las oficinas locales que están más cerca de los clientes.
- Los negocios son más dinámicos. Junto con el crecimiento orgánico, las fusiones y adquisiciones para ampliar negocio y la expansión del mercado pueden ayudar a extenderse en nuevos mercados. Cada una de ellas puede conducir a cambios fundamentales en la TI que afectarán a la seguridad.
- La TI también es más dinámica. Apoyar la transformación digital implica nuevos enfoques. Los planes de transformación digital se basan en la adopción de enfoques más ágiles de la TI, como cloud computing y contenedores, pero estos movimientos también tienen que mantenerse seguros a lo largo del tiempo.
Con una TI más efímera y en evolución constante, la seguridad tiene que ir un paso por delante para poder liderar todo este cambio.
Acercándose a las vulnerabilidades
Para manejar todo esto de manera más efectiva, hay que mirar más allá. En lugar de ser los guardianes y los dueños de la gestión de riesgos, los departamentos de seguridad tienen que incorporar sus mejores prácticas en todas las etapas del ciclo de vida del desarrollo de software. Esto puede ayudar a los desarrolladores, probadores y equipos de operaciones a garantizar que cualquier cambio que se realice pueda ser rastreado y comprobado en busca de posibles vulnerabilidades.
El primer elemento que hay que considerar aquí es de carácter técnico. Siempre que se encuentre cualquier vulnerabilidad en los activos de TI de la organización –ya sean activos más permanentes como PC y servidores, los que están en la nube, o efímeros como contenedores que pueden ser lanzados y tumbados automáticamente en función de los niveles de demanda–, esa vulnerabilidad tendrá que ser marcada para ser investigada. Disponer de una lista de activos completa y continuamente actualizada es el punto de partida más eficaz para todas las operaciones, ya sean internas, externas o repartidas por varios países.
El gran volumen de problemas que podrían surgir hace que la priorización sea más importante que nunca. Aunque podría ser sencillo decir que todos los activos de todas partes deberían ser parcheados y actualizados, la realidad es que podría no ser práctico tratar todas las vulnerabilidades de la misma manera. Algunas cuestiones son increíblemente arriesgadas y están muy extendidas, y por lo tanto necesitan una atención urgente; otras son tan especializadas y difíciles de explotar que se pueden poner al final de la cola. En medio, habrá muchas amenazas que deberán ser analizadas y comprendidas en su contexto, así como configuraciones erróneas que pueden generar inseguridad.
Para trabajar en estas vulnerabilidades, los equipos de seguridad y los ingenieros de software deben examinar los niveles de riesgo asociados con los problemas que se descubren, lo extendidos que están esos problemas y lo difícil que son de explotar. Estas medidas pueden utilizarse después para crear perfiles de riesgo y enfoques personalizados para la organización, que muestren qué problemas deben tener prioridad en función de las necesidades específicas. Esto puede crear un flujo de trabajo que los equipos pueden seguir, proporcionando información a las personas en función de sus propios requisitos de eficiencia operativa.
Los datos correspondientes también pueden utilizarse para informar a los equipos de gestión sobre los niveles de riesgo en un momento dado, así como para demostrar dónde pueden necesitarse recursos adicionales. Sobre la base de esta comprensión, se puede pensar en la respuesta más allá de las fases de detección y gestión de la vulnerabilidad. Esto puede utilizarse luego para automatizar algunos de los pasos involucrados en el manejo de las vulnerabilidades a medida que se descubren, mejorando aún más esos flujos de trabajo.
Para las empresas con servicios de rápido crecimiento, o que tienen múltiples unidades de negocio en todo el mundo, este nivel de conocimiento puede ser particularmente valioso. No todas las ubicaciones tendrán especialistas en tecnología –algunas pueden ser pequeñas ubicaciones con una decena de personal, mientras que otras pueden ser grandes oficinas con cientos o miles de personas–. No obstante, cada ubicación y unidad de negocio tendrá sus propios activos y prioridades en materia de tecnología de la información; el seguimiento eficaz de estos y su seguridad se basarán en datos adecuados que se mantendrán continuamente actualizados.
Cambiar o estar obligado a cambiar
El segundo elemento a considerar aquí es el proceso. Típicamente, la seguridad ha sido un departamento dentro de IT que ha tenido sus propios objetivos para cumplir en torno a la gestión de riesgos y mantener los datos seguros. Con más compañías pasando por iniciativas de transformación digital, este enfoque de silo ya no es viable.
La seguridad debería estar integrada en todos los nuevos procesos de ingeniería de software para que sea un estándar de facto
Para los equipos de seguridad acostumbrados a actuar como guardianes y árbitros de cómo deberían funcionar las cosas, esta es una mentalidad muy diferente. Se basa en la colaboración y en la comprensión de cómo alcanzar los objetivos de forma conjunta, de modo que todos los elementos del ciclo de vida del desarrollo de software incluyan la seguridad como norma. Para lograrlo, los equipos de seguridad tienen que trabajar para que sus herramientas y enfoques adoptados se incorporen a los flujos de trabajo y procesos que utilizan los desarrolladores, los probadores y los equipos de operaciones.
Al hacer que la exploración de seguridad y la información sobre las vulnerabilidades estén disponibles antes, cualquier problema puede ser marcado para su corrección y programado rápidamente. Esto significa que los desarrolladores son los propietarios de cualquier error o problema de configuración que pueda causar problemas de seguridad en el software, en lugar de que sea un problema entre departamentos que lleve a estancamientos o a tiempos más largos entre la detección y la reparación. Para completar el círculo, los equipos de seguridad también pueden utilizar las mejores prácticas como los puntos de referencia del Centro de Seguridad en Internet (CIS), de modo que todas las actividades puedan ser validadas a lo largo del tiempo.
Incorporar la seguridad a la forma en que se produce el software significa que cambiará la forma en que los equipos de seguridad colaboran con otros departamentos
Ello supone más debates en las primeras etapas del proceso, una mayor comprensión de las exigencias que se plantean a los equipos participantes y más trabajo para que la seguridad forme parte de esos procesos de la manera más fácil posible.
Sin embargo, los cambios resultantes harán más fácil mantener segura la TI en evolución, sean cuales sean las nuevas demandas que se hagan. Facilita el seguimiento y la respuesta a las vulnerabilidades en función de las elecciones tecnológicas específicas y el perfil de riesgo. Y facilita que los equipos de seguridad sean líderes en estos tiempos de cambio, en lugar de luchar por mantenerse al día con las decisiones que otros han tomado.
Mientras que el cambio puede ser constante, nuestro enfoque del cambio es el que decidimos que sea. Para la seguridad, liderar el cambio es más efectivo que ser forzado a seguirlo.