Los profesionales de la seguridad no somos conocidos por nuestra ligereza. Es cierto que a menudo combatimos incidentes graves con consecuencias potencialmente profundas para la organización y nuestras perspectivas profesionales. Pero nuestras relaciones con los demás suelen caracterizarse más por la vigilancia y el cumplimiento que por el compromiso y el apoyo.
Esto tiene que cambiar. Y debe empezar por el CISO.
El mundo ha cambiado
¿Por qué a muchos empleados no les gustan sus colegas de la función de ciberseguridad? Porque la primera y a menudo única experiencia de interacción con la seguridad es que les digan que están haciendo algo mal y que les costará trabajo resolverlo. Esa no es la base de una relación de trabajo productiva.
Parte del problema se debe a que la seguridad funciona con cierto retraso con respecto al resto de la organización. Los CISO suelen gravitar en torno a la gente de infraestructuras y redes, que también están lejos de donde está la acción. Esto hace que la seguridad sea reactiva y refuerza nuestra reputación de función policial. Cuando los CISO adoptan esa postura, tienden a confiar demasiado en los procesos equivocados.
Lo cierto es que las organizaciones modernas son ágiles y se rigen por las características y los productos. Las cosas suceden más rápido. Hay más equipos implicados que utilizan herramientas intuitivas para apoyar el desarrollo y la implantación rápidos. Es un mundo que no está controlado por los mismos procesos en los que se basa la seguridad.
Ven a la fiesta
¿Cómo pueden los CISO resolver esta tensión? En primer lugar, reconociendo que estos procesos han cambiado, que DevOps está aquí y que el mundo de TI que les rodea es ahora fundamentalmente diferente. Los días en que los proyectos monolíticos se ponían delante de la seguridad para su aprobación están contados. Los proyectos son más numerosos y fluidos. Esto exige que los responsables de seguridad se impliquen más en el día a día de la creación y el lanzamiento de los equipos. En el pasado, la lista de relaciones profesionales del CISO en la organización era probablemente bastante corta, pero esas relaciones eran profundas. El funcionamiento actual de las TI exige una lista de relaciones mucho más amplia, con equipos de plataforma e ingenieros de fiabilidad de las instalaciones.
En estas nuevas relaciones, debemos ser colaboradores, no guardianes. Los equipos de seguridad se esforzarán por comprender cómo la seguridad puede contribuir positivamente a lo que la empresa está tratando de lograr, que va más allá de "seguro y protegido". Comprenderán los procesos de ingeniería lo suficientemente bien como para ofrecer las herramientas adecuadas a las personas adecuadas en el momento adecuado. De hecho, se convertirán más en vendedores internos o evangelistas de la seguridad que en auditores.
Obviamente, esto requerirá un cambio de actitud importante que muchos CISO y sus equipos encontrarán difícil. Pero debemos cambiar. Se trata de construir relaciones sólidas basadas en la confianza mutua y de aparecer con una sonrisa en la cara. La música está sonando, así que deja de quedarte en un rincón y ven a la fiesta.
Este blog se publicó por primera vez en The Register.