Agile IT: el papel del CISO en la lucha contra los riesgos de la cultura del “muévete rápido, falla rápido”

Publicado el 12 Ago 2022

Ricardo Hernández, Country Manager para España y Portugal de Vectra AI.

La transformación digital es un pilar destacado del plan España Digital 2025 y cuenta con la participación de más de 15 ministerios y organismos públicos y más de 25 agentes económicos, empresariales y sociales. A lo largo de la historia de la humanidad, la tecnología ha sido en gran medida indivisible del progreso, y ahora que una pandemia mundial ha acelerado la marcha constante de la digitalización hasta convertirla en una carrera de obstáculos, los líderes de las TIC tienen que tomar algunas decisiones.

Los CIO están siendo arrastrados actualmente en dos direcciones diferentes. En primer lugar, las partes interesadas orientadas al negocio piden a gritos experiencias más grandes, más audaces y mejores para los clientes y los empleados. Argumentan que si la empresa no puede involucrar al cliente, éste se dará de baja; y si la empresa no puede empoderar al empleado, éste se irá. Ofrecer experiencias digitales de forma rápida y continua ha dado lugar a la última palabra de moda en el léxico tecnológico: “agilidad”.

Pero mientras todo el mundo en el lado de la empresa parece obsesionado con la agilidad, las partes interesadas orientadas al riesgo están tirando del CIO en otra dirección. Los CISO están en esta categoría. Entienden el atractivo de la entrega a alta velocidad, pero ven el negocio desde un ángulo diferente. Observan cómo sus compañeros tecnólogos aceptan el concepto de agilidad como la respuesta a los problemas de todos. La función tecnológica puede ofrecer más autonomía tanto a sí misma como a los usuarios de la empresa, desplegando código reducido y otras herramientas para aliviar la carga de los codificadores de la trastienda y liberar a los desarrolladores más capacitados para mejorar aspectos más técnicos de la pila.

Escalada de riesgos

Pero aunque aprecie el encanto de este paradigma de “moverse rápido, fallar rápido”, el CISO debe seguir oponiéndose operativamente. El desarrollo de software que se lleva a cabo en un entorno de “carrera hasta el final” puede ser excelente para las métricas de tiempo de comercialización y la productividad. Incluso puede ser crítico para las empresas más pequeñas. Pero el CISO de hoy debe juzgar estas prácticas frente a las tendencias recientes. Los entornos de TI que protegen han sufrido cambios drásticos en su topología. La red corporativa se define ahora por múltiples dominios. Y los puntos finales están dispersos en instalaciones controladas, en entornos de terceros no controlados y en los hogares de los empleados. Cuando se trata de “Agile IT”, seguir como antes es, para la mentalidad del CISO, un accidente a punto de ocurrir.

“La red corporativa se define ahora por múltiples dominios”

Por lo tanto, el director de seguridad debe estructurar un mensaje que conecte con otras partes interesadas y les haga pensar en el riesgo en cada paso de su ciclo de entrega. Mientras los CIO ceden ante los directores de marketing y los ejecutivos de la junta de dirección, los CISO deben ser la voz de la razón, igualmente apasionados por los riesgos de la “transformación en todas partes”, desde el servicio de asistencia hasta el centro de datos. El mayor atractivo de la metodología Agile en TI, como medio para que las empresas ocupen su lugar en las visiones económicas, hace que la tarea del CISO sea aún más difícil, pero dadas las recientes ciberamenazas, el dogma Agile en el campo de las TI debe implementarse con la debida precaución.

Los CISO deben aprovechar su posición como gestores de riesgos para señalar todos y cada uno de los casos en los que la entrega de Agileen TII ha llevado al abandono de la gobernanza corporativa. Deberían buscar formas de establecer una nueva cadena de responsabilidad para los incidentes que esté vinculada a la gestión del cambio, presionando para que los líderes de los proyectos Agile asuman la responsabilidad de cualquier incidente que se produzca en ausencia de la debida diligencia de seguridad.

Seguridad como estándar

SecDevOps es un ejemplo de un intento de cambiar estas culturas a favor de las que establecen la seguridad como algo imprescindible, un requisito estándar para todos los proyectos. Los CISOssaben lo suficiente como para argumentar de forma convincente que es más fácil, más barato y más eficaz incorporar la seguridad desde el principio. Tienen que insistir en este punto y no permitir que la seguridad quede relegada a un complemento de tipo preguntas-respuestas al final del ciclo de vida del desarrollo.

Para mantener a sus empleados y clientes a salvo en el panorama moderno de las amenazas, las empresas y sus equipos tecnológicos deben reconocer que una seguridad sólida no termina con el mero cumplimiento de la normativa. Los CISO están en condiciones de enseñárselo. Deben abogar por la inversión en las herramientas más eficaces del sector y, si es posible, por el uso de equipos rojos independientes, es decir, actores “amistosos” que se hacen pasar por atacantes para poner a prueba las ciberdefensas. Las herramientas deben ser capaces de supervisar los entornos y señalar los errores de desarrollo y configuración. Y la empresa debe aceptar a nivel cultural que ningún producto o experiencia digital es apto para el propósito hasta que el CISO lo apruebe.

“La empresa debe aceptar a nivel cultural que ningún producto o experiencia digital es apto para el propósito hasta que el CISO lo apruebe”

Hoy en día, las experiencias digitales viven en múltiples entornos. Las herramientas de seguridad deben permitir a los equipos detectar las amenazas en los ecosistemas híbridos y multicloud. Deben tener en cuenta las vulnerabilidades del software y las debilidades de los requisitos de identidad. Deben ser escalables, para que las empresas puedan hacer crecer sus ambiciones y sus ofertas sin tener que considerar la capacidad de sus herramientas de seguridad.

Despacio pero sin pausa

Es natural que un ejecutivo de línea de negocio, o incluso un CIO, quiera implementar la metodología Agile en las TI. En este sentido, estas partes interesadas forman el lado más reactivo de la empresa. Su estrategia se concentra en la próxima gran entrega y no en los riesgos que hay detrás. Los CISO tienen un papel fundamental a la hora de poner los frenos y negociar una respuesta más comedida a los mercados competitivos y a los clientes exigentes. Deberían recordar a sus colegas que la naturaleza costosa de los ciberincidentes es de lo que se nutren los titulares en la prensa.

“El éxito sostenible de los proyectos Agile requiere una acción metódica y decidida”

Los proyectos Agile tienen sin duda su lugar en la empresa actual. Pero el éxito sostenible, a diferencia de una serie de arriesgadas victorias rápidas, requiere una acción metódica y decidida. Muchos de los que rodean al CISO pueden poner los ojos en blanco ante la sugerencia de que “la lentitud y la constancia ganan la carrera”, pero si los directores de seguridad exponen tenazmente las costosas alternativas, pueden, con el tiempo, ganarse los corazones y las mentes.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

H
Ricardo Hernández

Artículos relacionados