Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo estructurar el crecimiento de su organización de seguridad

[11/11/2019] En el lapso de seis meses en el 2017, el CISO Eric Schlesinger observó a su compañía Polaris Alpha aumentar de 150 empleados a 1.500 trabajadores después de que tres compañías se fusionaron y tres más fueron adquiridas. Schlesinger enfrentó varios desafíos desalentadores, comenzando por ser un objetivo principal para los ataques cibernéticos, puesto que la compañía proporciona soluciones de misión a los clientes de defensa, inteligencia y seguridad, incluyendo al gobierno federal. 

"Parte de esa rápida integración de TI conlleva riesgos inherentes. Cuando pasa tan rápido, a veces la seguridad no se mantiene al ritmo de TI necesariamente, afirma Schlesinger. ¿Cómo podría tomar seis compañías diferentes, con seis redes y equipos de seguridad diferentes, y crear una función de seguridad única y dedicada que podría asociarse e incrementarse a medida que la red Polaris Alpha se expandía?

Como la mayoría de las pequeñas y medianas empresas, las compañías adquiridas se habían basado en inversiones en herramientas para su ciberseguridad. Pero integrar múltiples herramientas de seis compañías no iba a funcionar.

"Nos dimos cuenta desde el principio que las herramientas eran solo parte de la inversión, pero no las que impulsaban nuestra seguridad, afirma Schlesinger. "Debía basarse en las personas, las metodologías, la fuerza laboral y los procesos que nos permitirían crecer de 500 a 1.500 personas, y ahora a las 15 mil personas que tenemos hoy después de haber sido adquiridos por Parsons en mayo del 2019.

Necesita una estrategia

Schlesinger pasó los primeros meses estudiando las nuevas organizaciones. ¿Tenía las personas adecuadas? ¿Cuáles fueron las herramientas que estaban allí que podrían reutilizarse?

Luego, el equipo de seguridad de red integrado de la compañía adoptó un modelo estándar del Departamento de Defensa (DoD)/Agencia de Sistemas de Información de Defensa (DISA) de los Estados Unidos y lo aplicó a los procesos utilizados por la compañía para defender su red corporativa. "Crea una estructura de la fuerza de trabajo que es muy clara en cuanto a la forma en que debe funcionar ese ecosistema, y da a los individuos un propósito claramente definido, y procedimientos y flujos de trabajo claramente definidos, afirma.

Si bien esta megafusión representa un caso extremo de crecimiento de una organización de seguridad, la mayoría de las organizaciones aún necesitan la capacidad de aumentar la seguridad rápidamente, y no solo debido a las fusiones y adquisiciones, la nueva innovación empresarial o las nuevas formas de interactuar con los clientes.

"Estamos en un mundo muy interconectado, con una vasta superficie de ataque, creciente y en constante cambio, lo que hace que el alcance y la escala de lo que uno está tratando de hacer -desde un punto de vista cibernético-sea cada vez mayor, afirma Emily Mossburg, líder en asesoría de riesgo cibernético e implementación, y directora en Deloitte Risk y Financial Advisory.

Los consultores de seguridad y CISO ofrecen los siguientes consejos para organizar su operación de seguridad para el crecimiento.

1. Cree un "ritmo de batalla

La adopción del modelo del DoD creó un "ritmo de batalla para el equipo de Schlesinger, y cambió su trabajo de reactivo a proactivo. El centro de operaciones de seguridad (SOC, por sus siglas en inglés) conjunto ahora tiene cuatro "cuadrantes: proteger, detectar, responder y sostener, con dos defensores de red a tiempo completo asignados a cada uno.

En el cuadrante Proteger, los analistas manejan evaluaciones de riesgos y gestión de vulnerabilidades.

Los analistas del equipo Detectar buscan indicadores de peligros, a través de alertas o mediante la verificación manual de registros, buscando algo fuera de lo común.

"En los primeros 15 minutos, si creen que es algo más grande y que necesita una respuesta, lo envían al equipo Respuesta, afirma Schlesinger. El objetivo es mover rápidamente hacia arriba el riesgo en la cadena de seguridad. De esta manera, el equipo Detectar puede continuar buscando problemas adicionales -ya que los intrusos a menudo usan un evento más pequeño como una táctica de distracción, desviando la atención de los compromisos mayores mientras el equipo de seguridad está ocupado. Los analistas responden y luego toman todas las medidas necesarias para detener la amenaza.

"Hacer que la función de detección sea correcta -para encontrarla, documentarla y moverla- es crítico, afirma. "Si no lo estamos haciendo bien, no estamos cerrando nuestras brechas de seguridad.

Finalmente, los ingenieros del equipo de Sostener soportan esas tres funciones y aseguran que todas las herramientas e infraestructura sean mantenidas y permanezcan en funcionamiento.

Por supuesto, se están utilizando todas las herramientas de seguridad tradicionales (protección de terminales, detección y prevención de intrusiones, prevención de pérdida de datos, firewalls tradicionales) pero la inversión más crítica que realizó Schlesinger fue en su herramienta de gestión de incidentes y eventos de seguridad (SIEM, por sus siglas en inglés). "Es un simple panel de datos unificado, pues estamos recolectando todos esos registros e ingestándolos, tomando decisiones sobre si tenemos un punto de compromiso y si necesitamos responder a él o no.

Parsons adquirió Polaris Alpha en mayo, y el nuevo modelo de defensa de red se está adoptando como parte de la estructura de la fuerza laboral dentro del equipo de seguridad corporativa de Parsons. "La red de Parsons es 10 veces más grande que la de Polaris Alpha, pero al tener sólidos procesos y metodología, además de las herramientas adecuadas, no necesito duplicar o triplicar el tamaño del equipo, afirma Schlesinger.

2. Reduzca las herramientas

Kevin Richards fue el líder global de estrategia de seguridad de Accenture cuando ayudó a reorganizar e incrementar las operaciones de seguridad en una compañía farmacéutica que adquirió una segunda farmacéutica, (la cual, a su vez, derivaba de una tercera farmacéutica y seguía vinculada con algunos de sus servicios).

La complejidad es el enemigo de la buena seguridad, afirma Richards, quien ahora es director gerente y jefe global de ciberriesgo en Marsh LLC. "Todos estuvimos de acuerdo en que no podemos tener tres SIEM y cuatro antivirus y tres productos de gestión de identidad diferentes, pero cada organización tenía sus propias preferencias de proveedor. "Queríamos algo común, global, simple, así que cuando reducimos a dos o tres productos de la competencia, nos metimos en una habitación y tuvimos que elegir.

El equipo combinado eliminó casi el 60% de las herramientas de seguridad que usaban. Un beneficio adicional: la reducción en herramientas liberó más de un millón de dólares de licencias múltiples y redundantes, afirma Richards.

3. Reutilizar las personas

Como parte de la adquisición, la matriz farmacéutica creó una nueva jerarquía que se alinearía mejor con el nuevo negocio, que creó muchas nuevas áreas y regiones de productos. También le dio a Richards la oportunidad de renovar el equipo de seguridad para el futuro -sin perder personal de ciberseguridad, excepto uno de los dos CISO.

"Todos se asimilaron, pero no estaban necesariamente en el mismo papel, afirma Richards. Por ejemplo, "No necesitábamos dos jefes de SecOps, por lo que uno asumió un rol de arquitectura y otro asumió un rol más operativo.

También crearon algunos roles nuevos, incluyendo un líder de ciberinnovación "que juega con las nuevas tecnologías, y descubre cómo podríamos aprovechar las de nuestra nueva construcción, afirma Richards.

En la industria farmacéutica, a medida que la compañía expande su presencia globalmente, también crearon una nueva posición en torno a las relaciones gubernamentales y regulatorias "para tener un mejor control de todos los nuevos requisitos de regulación de privacidad y protección de datos en todo el mundo.

4. Considere el outsourcing

A menudo, la creciente amplitud y alcance de la ciberseguridad pueden superar las capacidades de muchas organizaciones. Esas compañías deberían considerar nuevos canales para cerrar las brechas de seguridad, incluidos los proveedores de seguridad de terceros, afirma Mossburg.

"Al igual que muchas organizaciones decidieron que no querían mantener todas sus redes e infraestructura necesariamente, creo que estamos comenzando a ver ese mismo despertar en torno al ámbito cibernético, afirma Mossburg. El uso de contratistas, o el outsourcing de capacidades completas, pueden ser más eficientes y, a menudo, pueden ofrecer un nivel de servicio más alto.

Una encuesta de Deloitte del 2019 sobre el futuro de la ciberseguridad muestra que las organizaciones están dispuestas a confiar en terceros para ayudar a abordar las brechas de seguridad. Casi dos tercios de los CISO (65%) recurrieron al outsourcing para el 21-30% de sus operaciones cibernéticas. Las principales funciones del outsourcing de ciberseguridad incluyen funciones de gestión de vulnerabilidades como reducción de superficie de ataque, búsqueda de amenazas e inteligencia de amenazas, capacitación y concienciación, así como detección de amenazas internas y seguridad de aplicaciones.

Según el informe, muchas organizaciones necesitan un poco de ayuda en muchos lugares. Para desarrollar un programa de ciberseguridad completo, las organizaciones deben asociarse estrechamente con proveedores, asociaciones industriales, agencias gubernamentales, instituciones académicas, investigadores y otros socios comerciales.

5. Involucre a toda la organización

Para detectar y detener los ciberataques a medida que crecen, la organización de seguridad necesita que el resto de la empresa les ayude. "No puede funcionar por sí solo, afirma Mossburg. "Educar, capacitar y generar conciencia, y cierto nivel de responsabilidad, relacionado con estos riesgos fuera de los límites de la organización de seguridad.

Todos estos pasos requieren una relación saludable entre la seguridad y el negocio, afirma Schlesinger. "A veces hay que aislar al equipo porque se trata de información confidencial, pero somos una organización de servicio al cliente. No queremos ser el 'área de prevención de negocios', simplemente diciendo que no, sino educando a las personas y apoyando las necesidades del negocio, afirma Schlesinger. "Las herramientas van y vienen. Invierta en las personas.