¿Cómo reestructurar el área de seguridad de tu empresa?

Hoy tuve una grata llamada, una persona que trabajó conmigo hace muchos años, mi mano derecha en una travesía en el mundo financiero enfrentando el rol de CISO. Algo que me llena de orgullo es que ahora ella ocupa ese rol que algún momento fue mío y que espero logre obtener grandes resultados y como siempre vaya más allá de lo que cree que puede lograr.

Lo más gratificante de todo es que aún después de tanto tiempo me llama para pedir un favor: "quiero reestructurar el área de seguridad y necesito un marco de referencia".

Son esas preguntas que despiertan el consultor que hay en mí, ese que alguna vez, antes de enfrentarme al mundo del emprendimiento, creía conocer y sentirme un referente.

La respuesta no es sencilla, no existe la receta o la norma para establecer cómo estructurar un área. Menos en seguridad, que aún encuentro empresas que contratan consultorías para resolver el gran dilema de a quién debe reportar el CISO.

Pero tampoco es algo imposible, la estructura de una organización debe soportar una estrategia, de allí se debe partir.

Hemos visto cómo las organizaciones han evolucionado, todas vienen en procesos de transformación mediante tecnología, explotando al máximo tres grandes avances del mundo: los datos como elemento fundamental para la toma de decisiones; la nube como capacidad de elasticidad y eficiencias de recursos tecnológicos y la automatización, transformar toda tarea repetitiva que realiza una persona en una tarea que ejecute y se controle a través de tecnología.

Y la ciberseguridad debe transformarse para apoyar a las organizaciones en estos procesos, comprender los procesos ágiles de DevOps, y aportar en ese mundo constante de evolución y transformación de los productos o servicios que la organización ofrece.

Después de mucho transmitir estos conceptos de cómo la operación puede aportar a la estrategia y la estrategia retroalimenta la operación de CiberSeguridad mediante un análisis continuo, en 2018 Gartner publica el modelo CARTA (Continuously Adaptative Risk and Trust Assessment).

Pero el gráfico solo muestra que Ciberseguridad se integra fácilmente en el ciclo DevOps de las organizaciones, pero no resuelve el tema de la estructura. Para ello vuelvo a la necesidad de la estrategia, y dejó algunas premisas que debemos tener en cuenta para incluirlas en nuestros procesos de planeación:

1. Orientado a los Objetivos de Negocio: La mejor forma de entender esta premisa es el ejemplo de los frenos de un fórmula 1. Los frenos no son para reducir la velocidad, sino para lograr hacer la mejor vuelta.

2. Agilidad: Debemos ser ágiles en la detección de ataques y vulnerabilidades y aún más en la
respuesta.

3. Adaptables: Tanto la arquitectura de ciberseguridad, como los procesos de detección y el modelo de seguridad debe relacionarse para que fácilmente podamos enfrentar los retos de ciberseguridad a los que nos enfrentamos.

4. DataDriven: La visibilidad y las decisiones deben tomarse mediante la generación de
inteligencia y explotación de datos.

Para ellos hay 4 grandes grupos de trabajo que se vienen estructurando dentro de las áreas de
Ciberseguridad:

1. RedTeam: Equipo dedicado a tener visibilidad de la superficie de ataque de la organización, identificando los activos, servicios, aplicaciones, identidades que se relaciones con la organización y sus vulnerabilidades y efectividad de control.

2. Threat Hunters: Equipo dedicado a detección y respuesta de anomalías e incidentes.

3. SecDevOps: Equipo dedicado a automatizar tareas operativas de seguridad, integración de la arquitectura de seguridad con los procesos de atención y respuesta.

4. Data Scientist: Equipo que apoya la generación de inteligencia mediante el desarrollo de modelos de aprendizaje de máquina para la detección de patrones, tendencias, anomalías, etc.

Atrás quedaron las funciones de arquitectos de seguridad, responsables de políticas y directrices, custodios de control que solo se dedican a configurar reglas en herramientas. La analítica, la automatización y la seguridad adaptativa son la prioridad en estos procesos de transformación digital de las empresas.