Personas, Tecnología y seguridad

Estoy en el negocio de detectar ataques y entender la naturaleza de los mismos para que la gente pueda detenerlos. Si tuviera que agrupar los desafíos que las empresas enfrentan para conseguir la seguridad, el primero y más grande sería la falta de personal especializado disponible. El segundo sería una pobre implementación tecnológica y el tercer lugar sería una mediocre ejecución de la TI. Y créanme, todos ellos están relacionados.
La falta de personal especializado en TI es solo el hecho de que no hay suficientes personas que hacen el trabajo que se requiere. Las reservas de mano de obra simplemente no crecen lo suficientemente rápido. En gran medida se debe a que la gente no tiene las oportunidades para entrar en el negocio y aprender de forma práctica. O, son mal manejados por personas sin experiencia en esas tecnologías, por lo que terminará desperdiciando su inversión en seguridad.

“Con cada cambio de la base de código de un producto, existe la posibilidad de que existan problemas y vulnerabilidades en la seguridad.”

Otra parte de ello es que el departamento de TI entienda lo que el negocio necesita y lidere la organización por el camino que los llevará hacia allí. Mucho de esto se reduce a la comunicación. La seguridad se trata de la comunicación de “especies internas” que trabajan en la empresa, o sea entre los nerds de seguridad o talento realmente técnico, que es el personal que entiende los procesos regulares de las TI y la gente que entiende de qué se trata el negocio.
La gente que construye, opera sistemas y se supone que ayuda a la empresa, con frecuencia no tiene idea de lo que hace la compañía. Pero la gente que está en el negocio tampoco entiende lo que hace el departamento de TI. El personal de TI como los desarrolladores o administradores de sistemas, implementan o cambian servicios sin ninguna consideración por las implicaciones en cuanto a la seguridad, lo que da paso a vulnerabilidades en el sistema. Por regla general, es necesario que haya alguien, como analistas de negocios o líderes de TI, quienes pueden descifrar cómo cruzar los límites entre el TI y los procesos de negocio.

“Los administradores de la seguridad necesitan mostrar a la empresa y a los líderes del departamento de TI, el valor de las cargas fraccionadas, de las versiones más frecuentes y de la estandarización.”

La tecnología implementada de forma mediocre es también un problema. En muchas organizaciones, el departamento de TI trabaja de manera pobre por la falta de integración entre sus funciones y la tendencia a hacer cosas que son demasiado grandes. Por ejemplo, los productos normalmente tienen actualizaciones una vez al año o quizá una vez al trimestre. Estas actualizaciones de producto incluyen características y correcciones de errores, lo que implica muchos cambios. Con cada cambio de la base de código de un producto, existe la posibilidad de que existan problemas y vulnerabilidades en la seguridad.
La solución es crear versiones más frecuentes y con menos cosas en cada versión. El DevOps (Desarrollo de Operaciones) es una estrategia que se usa cada vez más para crear un mayor número de versiones y reducir el costo del ciclo de la misma versión. Puede generar más versiones con más frecuencia y reducir la cantidad de cambios cada una, y los resultados son más fáciles de arreglar.
Netflix lo hace maravillosamente. Es una organización sofisticada y madura cuando se trata de DevOps. Entonces, tiene a gran parte del mundo de cabeza, y aun así trata de hacer las cosas como si tuviera la esperanza de que los servidores centrales regresaran. Para romper este ciclo, los administradores de seguridad necesitan mostrarle a la empresa y a los líderes del departamento de TI, el valor de las cargas fraccionadas, de las versiones más frecuentes y de la estandarización. Una manera de hacer esto es introducir a estos líderes en el mundo de los foros especializados, donde puedan comparar apuntes y ver qué otro mundo es posible.
El último problema son los programas de seguridad mal ejecutados. Existe la necesidad de mantener las tecnologías después de su implementación. Por ejemplo: tenemos muchos clientes que invierten grandes cantidades en la compra e instalación de herramientas de seguridad, como firewalls. Desafortunadamente, estas empresas hacen grandes gastos en seguridad, pero no mantienen o continúan con el desarrollo de esas tecnologías. Estas herramientas “se echan a perder”, dejando a la organización incapaz de responder cuando surjan las amenazas, y de integrar los sistemas de TI de manera segura.

“Entonces, tiene a gran parte del mundo de cabeza, y aun así trata de hacer las cosas como si tuviera la esperanza de que los servidores centrales regresaran.”

Las organizaciones necesitan simplificar sus operaciones y sus ambientes de TI. Necesitan reducir la variedad y diversidad de sistemas y herramientas para que haya menos cambios, que sean más fáciles de manejar. Los firewalls pueden reducir la cantidad de ruido, solo con simplificar y normalizar la cantidad de tráfico en la red que entra y sale de la misma. También pueden reducir los tipos de tráfico que pasan a través del perímetro de la red. Entre menos cosas pasen a través de la red y entre más se estandarice las interfaces de programación de aplicaciones, menor será el tiempo que usted dedique a pensar en ello y su superficie de ataque será más limitada.

Autor: Peter Schawacker
Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.

Peter Schawacker lidera el Centro de Excelencia para Soluciones de Inteligencia en Seguridad de Optiv Security. Desde finales de los 90’s, ha sido analista, ingeniero, evangelista de la tecnología y gerente en el campo de la seguridad de la información. Es también un experto en la práctica de tecnologías e inteligencia en seguridad. Ha dado paso a la creación de centros de operaciones de seguridad para empresas pertenecientes a las 500 de Fortune, tanto del sector industrial como gubernamental. Peter es un pionero en la aplicación de prácticas en el desarrollo del software Agile para la seguridad de productos.