[05/12/2016] Con frecuencia, la situación determina qué enfoque adoptar en un nuevo trabajo. ¿La compañía acaba de tener una experiencia humillante con una intrusión y robo de datos? ¿No tenían un CSO previamente y esa es la razón por la cual están buscando ayuda con la seguridad para bloquear su red?
Si durante la entrevista de trabajo hubo una súplica directa de ayuda, la mayoría de los nuevos contratados ingresan dispuestos a tomar acción rápidamente y obtener el control. Pero en la mayoría de contextos, los CSO que fueron entrevistados dijeron que existe un periodo de tiempo general para examinar la cultura de la compañía, y de esta manera obtener una noción de qué es lo que se necesita hacer.
"Lo primero que se necesita es revisar el estado actual de la política de seguridad de la información. Llegar a conocer este documento íntimamente, así como las lecciones aprendidas cuando se crea uno, es un instrumento para ser exitoso. Para hacer esto, debe reunirse con los líderes del área, con los accionistas y ejecutivos de negocios para descubrir su contexto e historia. Mis accionistas principales en Bugcrowd son los grupos de TI e ingeniería, por lo que entrar en confianza con ellos fue la prioridad #1”, señala Jason Haddix, líder de seguridad y confianza en Bugcrowd.
Desde aquí, él comenzó a notar las iniciativas "suspendidas”, la política incompleta y las responsabilidades fragmentadas. Una vez que adquirió el conocimiento de cómo estaba configurada la compañía, creó un plan para abordar los problemas cada 30, 60 y 90 días. En Bugcrowd, las victorias rápidas se identificaron en relación a la activación del negocio y a la arquitectura de la seguridad.
"Pueden existir niveles variados de responsabilidad en el rol de un CISO, pero uno nunca podría negar que siempre existen más cosas porhacer”, anota. "Una vez que tiene su plan de batalla y ha revisado el presupuesto, etcétera, haga una demostración de sus reportes directos e infórmeles de sus planes. Sea honesto y transparente respecto a las prioridades y comprométase donde sea necesario, pero finalmente divida estos planes en metas trimestrales como organización”.
Haddix anota que los próximos pasos son desplegar iniciativas de una manera estructurada. Al trabajar en una compañía nueva, su rol en Bugcrowd es intensivo en la habilitación del negocio, en la arquitectura de seguridad y en auditorías y cumplimiento normativo. Otros roles trabajarán con mayor cercanía a la gestión del riesgo y a las operaciones de seguridad.
Álvaro Hoyos adoptó un enfoque bastante similar al de Haddix en lo que respecta a reunir a las tropas cuando llegó al puesto de chief information security officer en OneLogin. "Me acerqué a todo el personal para presentarme, describirles en qué consistía mi rol, y qué es lo que queríamos lograr a corto plazo. El rol de CISO aún sigue siendo algo poco común y ha estado evolucionando en estos últimos años. Este rol trabaja con todos los departamentos y va a contratar a varios miembros del equipo para recibir ayuda conforme va desplegando diversos proyectos; además, será responsable de mejorar la cultura de seguridad en su compañía, lo que probablemente es uno de los elementos más difíciles de su lista de pendientes. En consecuencia, es crítico conseguir el apoyo de la organización desde el inicio, debido a que el personal fuera de su propio equipo estará en el camino crítico de muchas de sus actividades y su éxito estará ligado a ellos”.
El siguiente paso fue asegurar un inventario de activos de información. Afirma que saber lo que se le ha encomendado asegurar, es uno de los primeros pasos que necesita dar para establecer un marco de trabajo fundamental en el que se basará para construir. Esto requiere reunirse con los dueños de la información y conocer bien todos los datos que vienen y van desde y hacia afuera de la organización. Parte de conocer los datos es determinar qué cumplimiento normativo y requerimientos legales debe realizar, para que pueda construir un apropiado programa de seguridad que sea proporcional a los riesgos (y más importante aún) para que pueda concentrarse en sus recursos de manera eficiente y así hacerse cargo de ellos.
Hoyos resaltó que la seguridad de los datos es una estrategia continua. "Un programa de seguridad es un viaje continuo. Una vez que conoce el terreno, necesita determinar cómo mantendrá y hará crecer ese programa de manera efectiva. Una vez que determina en qué lineamientos de trabajo basará su programa, tendrá que desarrollar una estrategia para lo que necesite enfrentar de manera realista a corto y largo plazo”, afirmó.
Un paso clave en este proceso es realizar una evaluación de los riesgos para utilizar como guía que le ayuda a dar prioridad a aquello que tendrá que enfrentar. Esto es especialmente útil cuando se consigue el financiamiento de la administración, y se define cuáles serán sus necesidades presupuestales.
"Conocer lo que va a enfrentar en el corto plazo, es igual de importante que ser capaz de planear a largo plazo”, indicó.
Conocer el riesgo
"Como CSO, todo comienza y termina con el riesgo -al final del día, uno tiene que entender el riesgo, cómo manejarlo y cómo mitigarlo”, sostuvo Malcolm Harkins, jefe oficial de seguridad y confianza en Cylance.
"Específicamente, existen dos campos de batalla que debemos enfrentar: Uno que es externo y uno interno. El campo de batalla externo está conformado por los factores y agentes de amenaza de los cuales leemos en la prensa diariamente; y el campo de batalla interno está conformado por los presupuestos, la burocracia y los comportamientos”, comenta.
Harkins señala que es un enfoque de evaluación con dos patas, y los CSO necesitan entender cuáles son los riesgos y controles externamente, y cómo construir relaciones, empatía e influencia internamente.
Dawn-Marie Hutchinson, directora ejecutiva de la oficina del CSIO de Optiv, también tomó el enfoque cauteloso se estableció inicialmente.
"Me reuní con cada líder de las divisiones de TI para entender cuáles eran sus preocupaciones sobre la seguridad de los datos y qué datos era almacenados, procesados o transmitidos debido a su decisión. Los primeros 30 días se emplearon solo en aprender el diseño general de TI; cosas como de qué manera se movían los datos y adquirir sus perspectivas en cuanto a seguridad. Los primeros meses del puesto se trataron solo de aprender sobre la compañía, la cultura y el negocio”, afirma.
Ella no cree que el personal de seguridad deba ser responsable de entrar a todas las áreas restantes para decirles cómo hacer su trabajo. En lugar de esto, el equipo de seguridad debería aconsejar a la administración sobre los riesgos de la información y la tecnología.
"Adopté el nuevo puesto con esa mentalidad y conduje mi propia evaluación sobre dónde se encontraba la organización en relación a otras. En retrospectiva, entender cuáles fueron los riesgos en relación a otras quizás sea un buen ejercicio de benchmarking, pero no se alinea con el negocio o su tolerancia al riesgo. En lugar de identificar las áreas de mejora relativas a otras organizaciones, hubiese querido poder comunicar mejor cómo estos riesgos podrían impactar sobre las metas de negocio de la organización”, señala la ejecutiva.
Había bastantes proyectos "en marcha” cuando ella llegó y la organización de TI era bastante ágil. El negocio triunfaba en cuanto a ser una organización de TI que se movía velozmente, pero eso conlleva un mayor riesgo para la confidencialidad de los datos y para la disponibilidad del sistema.
El primer día empieza en la entrevista
Dave Mahon, CSO de CenturyLink, afirma que lo que uno hace el primer día de trabajo, comienza cuando uno está en la entrevista para obtener el puesto. Uno primero empieza a evaluar a la organización y a los equipos que liderará. "Use el proceso de la entrevista de trabajo para empezar la evaluación de la organización. Céntrese en cuáles son los problemas más significativos”, indica. "Pregunte, 'Por qué me están contratando', y, 'Qué será necesario para tener éxito en esta organización, y otras preguntas que comienzan a desarrollar lo que usted hará si es que se le elige para esta posición'”.
Empezar desde la palabra inicio
Para ayudar a darle prioridad a su tiempo cuando se unió como CSO a Sungard AS, Shawn Burke creó una lista de los 10 puntos más relevantes.
- Aprenda sobre el negocio y la cultura
- Realice una evaluación del estado actual y el presupuesto
- Revise las políticas/procedimientos/guías
- Establezca o elimine Juntas o Consejos de Revisión
- Desarrolle y finalice el plan de seguridad
- Cree puestos de equipo e interfuncionales
- Asigne la propiedad de las tareas
- Cree un marco de trabajo para gestionar la iniciativa global
- Desarrolle métricas y sistemas de reporte
- Eduque y aconseje respecto a temas de la gestión del riesgo
Shawn Burke, Global CSO de Sungard AS, secunda las declaraciones de Mahon. "Definitivamente, uno tiene que empezar a investigar sobre el negocio antes de su primer día en el trabajo. Para ayudarme a darle prioridad a mi tiempo cuando me uní a la compañía, hice una lista de los 10 puntos más importantes (ver barra lateral). La lista incluía de todo, desde entender la cultura y el negocio, hasta evaluar el estado actual de las tecnologías, requerimientos, políticas, procedimientos y mucho más. En mi opinión, la responsabilidad de la seguridad es el tema más importante a abarcar. Un CSO nuevo nunca debería asumir que todo lo fundamental está listo, y descubrir quién es propietario de la disciplina de la seguridad para todos los sistemas”.
Una vez que está en el trabajo, las cosas más inmediatas que uno debe hacer incluyen reunirse con su nuevo jefe y desarrollar un mapa guía para evaluar la compañía. Después, reúnase con otros líderes clave de la organización y obtenga su evaluación de lo que necesita hacerse desde sus perspectivas. "Algo clave para su éxito será entender por completo la estrategia corporativa aprobada por el directorio, CEO y otros miembros del equipo de liderazgo. Recuerde, su trabajo como CSO es permitir el logro de esos objetivos”, afirma Mahon.
Una vez que tenga la estrategia y las perspectivas de los otros líderes, inicie la evaluación táctica de los equipos que liderará. Evalúe el talento, revise los logros de los últimos tres años e iniciativas futuras desarrolladas por esos equipos, y después pregúntese si estos logros e iniciativas están respaldando la estrategia corporativa.
"Cuando se reúna con sus equipos, hágales saber quién es, qué es lo que valora, que usted no quiera nada de política y que respeta a las personas directas. Cuando evalúe a los equipos, busque a aquellos que tengan la voluntad y la capacidad para estar en la organización de un CSO”, señala.
Después de haber completado su evaluación, anote en un papel lo que logrará dentro de 30 a 90 días y, en el primer año, comience a desarrollar objetivos a largo plazo.
Stan Black, CSO de Citrix, advierte que la esperanza no es una estrategia. Frecuentemente, se contrata a los CSO porque la seguridad es percibida como un importante riesgo de negocios. Un indicador clave de este riesgo potencial es el título o rol del administrador de contratación. Las compañías con riesgo de seguridad material no deberían contratar a un CSO para que éste reporte al CIO, afirma.
La mejor manera de mitigar el riesgo es proporcionar un plan de 100 días resaltando qué personas, procesos y tecnologías se necesitan para administrar el riesgo de seguridad de una compañía. "Si la compañía que está contratando no puede internalizar, aplicar y comprometerse con el plan, no acepte el trabajo”, afirma.
Transforme la seguridad en algo que permita generar ganancias en lugar de ser un problema. En el mundo actual, los productos y servicios no son aceptables o de buena calidad, si no son seguros. Éste frecuentemente es un concepto desconocido que requiere equipos interfuncionales que incluyen al ámbito Legal, Ventas, Marketing, Relaciones Públicas, Auditoría Interna, R&D y BoD para convertir de manera efectiva a la seguridad en algo que permitirá hacer negocios, añadió.
La perspectiva de un proveedor vs. un no proveedor
Gunter Ollmann, CSO de Vectra Networks, dio la respuesta del primer día desde dos perspectivas: proveedor y no proveedor.
Desde la perspectiva de un CSO que no es proveedor:
- Mida la línea base actual de la organización. Use servicios de escaneo de vulnerabilidades para obtener ese conocimiento inicial y compare con las políticas que se piensa que están funcionando. Obtener esa línea base, ayuda a definir la escala y a identificar las áreas problemáticas principales que tienen que enfrentarse. Más adelante, comparar el progreso con esa línea base es invaluable para mostrar el progreso al equipo ejecutivo y generar confianza en general.
- Identificación y reuniones con todos los grupos de interés para escucharlos definir -con sus propias palabras- los riesgos y amenazas claves, presentes dentro de sus esferas de influencia. Esto permite adecuar los mensajes y cazar los problemas comunes que pueden ser solucionados para crear motivación y un respaldo más amplio a los cambios en la seguridad.
Desde la perspectiva de un proveedor:
- Revisión de la adherencia a SDLC y evaluación de la madurez de los equipos de ingeniería y gestión de producto. Una auditoría punto por punto de los procesos de desarrollo en comparación con la metodología y estructura de SDLC -buscar debilidades y construir un plan de priorización.
- Línea base de la seguridad del producto. Tanto desde la perspectiva de codificación de un software como del refuerzo de un despliegue. Entender y ser capaz de responder "qué riesgos introduzco a la red de un cliente” es clave.
Ryan Francis, CSO (EE.UU.)