Una nueva solución a la brecha de habilidades en ciberseguridad: integrar la seguridad en los equipos operativos

Los líderes de seguridad han estado dando la alarma durante años sobre la actual escasez de habilidades en ciberseguridad. A pesar de que los ataques cibernéticos se vuelven cada vez más sofisticados y frecuentes, las empresas los equipos de defensa tienen más problemas para llenar las posiciones abiertas. El problema puede parecer insuperable, pero no debería serlo.

Una solución que pocas empresas han considerado es sacar al equipo de seguridad de las operaciones. Considere cuánto menos desalentador se vería el problema de la brecha de habilidades si la seguridad corporativa redujera su enfoque a la gobernanza, vigilancia, supervisión y auditoría, mientras empuja la implementación y gestión de los sistemas de seguridad al equipos operativos que los utilizan.

Tal cambio sería dramático. La función de seguridad corporativa se reduciría sustancialmente, tanto en la dotación de personal como en la cantidad de tareas específicas de las que es responsable, pero se volvería más estratégica y más efectiva.

El enfoque menos eficiente de hoy

El equipo de seguridad típico de hoy se involucra en todo tipo de actividades operativas. Por ejemplo, cuando el grupo de desarrollo está creando una nueva aplicación, el personal de seguridad puede involucrarse en los detalles del diseño, la configuración de las tecnologías subyacentes y la determinación de qué usuarios pueden acceder a los servidores de desarrollo.

Pero es posible que el equipo de seguridad centralizado no tenga inmediatamente el conocimiento operativo para tomar esas decisiones. Es posible que deban dedicar un tiempo significativo a comprender los impulsores comerciales detrás de la aplicación, la estructura y la experiencia de las personas en el equipo de desarrollo, etc.

Los gerentes del equipo de desarrollo ya tienen la experiencia necesaria en los aspectos operativos para armar su solución. El equipo de seguridad corporativa tiene experiencia en los controles necesarios para prevenir ataques específicos. Por que no dejar que cada grupo se especialice en su competencia principal?

como funcionaria

Tal como lo imagino, el equipo de seguridad podría asumir la responsabilidad de establecer, en un nivel abstracto, los controles necesarios para proteger la aplicación, tanto durante el desarrollo como después del lanzamiento. Pero podrían transferir la responsabilidad al grupo de desarrollo para construir esos controles. El equipo de desarrollo podría decidir qué software de seguridad y configuraciones necesitan, establecer políticas de seguridad específicas y determinar los permisos de los usuarios. Luego, el equipo de seguridad corporativa podría inspeccionar el entorno de desarrollo, y la aplicación resultante, para asegurarse de que los controles solicitados se implementaron y funcionan como se esperaba.

Este enfoque pondría la toma de decisiones detallada en manos de las personas más cercanas a esas decisiones. El equipo de seguridad necesitaría saber un poco sobre las tecnologías que usa el grupo de desarrollo, pero en su mayoría solo tendrían que ser expertos en controles que establezcan expectativas para los resultados de seguridad que los grupos de operaciones deberían lograr.

Considere el control de acceso. ¿Cómo deben autenticarse las personas para ingresar al entorno de desarrollo de la empresa? ¿Qué credenciales son suficientes para demostrar que son quienes dicen ser? Tiene sentido que el grupo de seguridad corporativa posea la gobernanza de alto nivel del control de acceso, pero necesitarían aprender mucho sobre el entorno de desarrollo y el equipo de desarrollo para responder de manera efectiva a estas preguntas. Mientras tanto, la gente del equipo de desarrollo ya tiene este conocimiento. Permitirles tomar las decisiones entre las malas hierbas de las políticas de control de acceso de su grupo es lógico.

Los procesos de desarrollo son un ejemplo. El equipo de seguridad que imagino no estaría involucrado en la construcción de redes; proporcionarían los requisitos de control al equipo de redes y luego se asegurarían de que se cumplieran esos requisitos. En una configuración de nube, el equipo de seguridad puede establecer expectativas de alto nivel y luego realizar un escaneo de inspección en busca de anomalías. Pero ese sería el alcance de su participación en las decisiones de seguridad en la nube.

Qué significaría este cambio

Obviamente, mi visión requeriría una reestructuración total de TI. De alguna manera, movería las actividades de seguridad más hacia donde estaban hace un cuarto de siglo. Antes, cuando la seguridad generalmente no era una función separada, las empresas enseñaban las mejores prácticas de seguridad a los expertos operativos en la materia en toda la organización. La experiencia estaba ampliamente distribuida, pero la seguridad era solo una pequeña parte de las responsabilidades laborales de cualquiera.

La consolidación de las actividades de seguridad en una función centralizada ha creado expertos que se especializan en el tema. Estos profesionales altamente calificados y difíciles de encontrar deben enfocarse en establecer la dirección general de la estrategia de seguridad de la empresa, dictar los controles necesarios para prevenir ciertos tipos de ataques y brindar control y supervisión para garantizar que esos controles sean efectivos.

Me gustaría que la industria volviera a evaluar si otras responsabilidades más operativas (por ejemplo, el mantenimiento rutinario del firewall o la configuración de las aplicaciones SaaS) son apropiadas para el grupo de seguridad central. Creo que esas tareas son más adecuadas para las personas que conectan, diseñan, diseñan, implementan y configuran los sistemas de la empresa. Tienen la experiencia para tomar decisiones correctas sobre la protección de sistemas y procesos con los que están íntimamente familiarizados.

Una estructura organizativa que traslada las decisiones de seguridad a los grupos de operaciones puede reducir algunas de las responsabilidades diarias del equipo de seguridad. Sin embargo, también elevaría el nivel de toma de decisiones del equipo, liberaría tiempo del personal para actividades más estratégicas y proporcionaría una solución ordenada al desafío perpetuo de encontrar profesionales con credenciales específicas de seguridad.

Inteligencia de datos generativa

Una nueva solución para la brecha de habilidades en ciberseguridad: incorporar la seguridad en los equipos operativos

El enfoque menos eficiente de hoy

como funcionaria

Qué significaría este cambio

El enorme potencial de almacenamiento de CO2 del Océano Índico para impulsar los objetivos de descarbonización de la India

¿Puede la marca Tesla realmente cambiar de marcha y convertirse en una empresa autónoma de éxito? – CleanTechnica

Información más reciente

MoneyLion informa sobre un trimestre récord en el primer trimestre

Lilium anuncia un pedido en firme de 20 Lilium Jets del operador estadounidense UrbanLink – CleanTechnica

Pirámide Solar de Caximba en Curitiba, Brasil.

Pirámide Solar de Caximba en Curitiba, Brasil.

CBD Punjab subastará mañana seis parcelas exclusivas – Conexión del programa de marihuana medicinal

El sospechoso tenía metanfetamina y marihuana, alega la policía de West Burlington – Conexión del programa de marihuana medicinal