La evolución del liderazgo en seguridad en la alta dirección

Clarke Rodgers (00:09):
Chris, muchas gracias por estar hoy aquí.

Chris Rothe (00:11):
Es un placer, gracias por invitarme.

Clarke Rodgers (00:13):
Bien, si te parece, háblame un poco sobre tu experiencia y tu función en Red Canary.

Chris Rothe (00:17):
Soy director de tecnología y cofundador de Red Canary. Nos movemos en el ámbito de la detección y la respuesta. Antes de fundar la empresa, trabajé en el procesamiento de datos satelitales, que consiste en “recopilar una gran cantidad de datos y aplicar algoritmos interesantes”. Después, pones todos los elementos de interés al servicio de los analistas para que tomen decisiones, lo que, dicho sea de paso, es muy similar a lo que hacemos en ciberseguridad.

Clarke Rodgers (00:39):
Llevas bastante tiempo en la industria de la ciberseguridad. Nosotros tenemos la broma de que antes tenían al director de seguridad en el sótano y ahora está en la sala de juntas. ¿Cómo has percibido esa evolución?

Chris Rothe (00:49):
Creo que lo más importante es que ha pasado de ser un rol técnico a otro mucho menos técnico y mucho más político, fundamental para abogar por la seguridad en toda la organización e incorporar la seguridad en la cultura. Además, para las personas como nosotros que tienen plataformas SaaS, también es un rol muy orientado al cliente a la hora de garantizar que los clientes confíen en que protegemos sus datos.  

Clarke Rodgers (01:16):
Cuando hablas con los clientes desde tu rol, ¿cómo articulas el valor empresarial de la seguridad?

Chris Rothe (01:21):
A fin de cuentas, el riesgo empresarial tiene que ver con el riesgo financiero. Es un aspecto que toma diferentes formas según la industria en la que trabajes. Si te dedicas a los servicios financieros, lo importante es tu reputación y asegurarte de que las personas te confíen su dinero. Si te dedicas a la fabricación, la atención médica o algo parecido, se considera un riesgo operativo garantizar que las máquinas sigan funcionando o que las personas sigan con vida en el escenario de la atención médica.

Y de eso se trata realmente, si puedes llegar al punto en el que hablas de dinero, y luego de cómo podemos mejorar la relación entre riesgo y dinero, la conversación suele llegar a buen puerto.

A veces, la gente no quiere hablar de eso. Quieren hablar sobre los aspectos técnicos y sobre cómo me ayudas a reducir la cantidad de incidentes de seguridad que tengo, y ese tipo de cosas de nuestro mundo. Y eso también es estupendo. En última instancia, todas esas cosas se relacionan con los costos en algún momento.

Clarke Rodgers (02:06):
Entonces, de manera interna en Red Canary, ¿cómo se aumenta la eficacia del equipo de seguridad y se asegura de que ese desarrollador solitario se preocupe por la seguridad y piense en ella en su vida diaria?

Chris Rothe (02:22):
Es extremadamente importante para nosotros. Como empresa de seguridad, estamos sujetos a un estándar más alto. Por lo tanto, es importante que todo el personal de la empresa se preocupe por la seguridad de nuestra empresa y de las de nuestros clientes. Hemos hecho varias cosas a lo largo de los años para asegurarnos de que sea algo nativo para todos los roles. Por ejemplo, en nuestro ciclo de vida de desarrollo de software, contamos con especialistas en seguridad de productos que forman parte de cada equipo Scrum. Por lo tanto, forman parte de la planificación del sprint, parte de la planificación inicial. No se trata de “vamos a armar un diseño y luego preguntarles a los de seguridad si está bien”. Están ahí durante todo el camino. Y eso es algo realmente fundamental.

Además, nos aseguramos de que las comprobaciones de seguridad y el análisis estático, o cualquier otra cosa que vayamos a hacer, sean nativos del entorno en el que trabajan los desarrolladores. Que estén integrados en la canalización de CI/CD. No hay que hacer un esfuerzo adicional. Solo tienes que aprobarlo todo antes de que fusionemos el código. De modo que este enfoque se adapta a los desarrolladores sin que suelan producirse interrupciones.

Clarke Rodgers (03:17):
Está muy extendida la dificultad de encontrar buenos profesionales de seguridad. Así que tienes que contratarlos, retenerlos o formarlos. ¿Cuáles son las estrategias que utilizaste en Red Canary para reforzar de veras las capacidades de los profesionales de seguridad?

Chris Rothe (03:31):
Nuestro objetivo es que los profesionales de seguridad de nuestro equipo no tengan que hacer un trabajo repetitivo, arduo e “indiferenciado”, por usar un término de AWS.

Clarke Rodgers (03:40):
Sí.

Chris Rothe (03:40):
No deben hacerlo durante más del 60 % de su día. Si pierden más del 60 % del día, traspasan una especie de umbral mágico en el que comienzan a aburrirse de la naturaleza repetitiva de ese trabajo. Así que creamos herramientas y recursos de automatización que puedan usar; buscamos patrones repetitivos y desarrollamos herramientas con machine learning, inteligencia artificial, etc., que les permitan delegar ese trabajo pesado e indiferenciado, de modo que puedan centrarse en otras cosas más interesantes.

Clarke Rodgers (04:09):
Mencionaste las herramientas y la automatización. La IA generativa está de moda en estos días, ¿verdad? Como profesional de la seguridad, ¿qué opinas de esto? Es decir, “¿cómo voy a gestionar los riesgos que conlleva su uso?”, pero también como propietario de una empresa, ¿estás pensando en las ventajas que te puede aportar? ¿Podrías hablar un poco sobre eso?

Chris Rothe (04:31):
Desde el punto de vista del riesgo, creo que nuestro punto de partida fue: “asegurémonos de que contamos con las protecciones adecuadas para no utilizar contenido creado por una IA del que no tengamos claro quién es el propietario”. Por eso, hemos adaptado algunas barreras de protección para hacer frente a eso.

Aun así, en términos generales, queremos que todos los miembros del equipo de Red Canary utilicen la IA generativa de una manera que tenga sentido para sus roles. Si eres vendedor y cuelgas tras una llamada excelente con un cliente y necesitas preparar un correo electrónico de seguimiento, hagamos que eso sea más rápido y mejoremos la calidad de esa comunicación. Porque, en última instancia, eso es mejor para el cliente y mejor para ti, porque te llevó cinco minutos en lugar de quizás una hora. Así que ese ha sido nuestro enfoque, asegurarnos de que todo el mundo pueda usar esa tecnología de manera segura.

Sin embargo, creo que estamos en una etapa temprana en cuanto a descubrir cuáles son las dificultades y cuáles son los desafíos asociados a esta tecnología o qué tipo de cuestiones legales van a surgir en los próximos años en relación con la IA generativa. En lo que respecta a cómo la utilizamos específicamente en seguridad, la idea o construcción de un copiloto es lo que más nos gusta.

Durante años hemos pensado en nuestra plataforma de seguridad como… Es una analogía un poco tonta, pero es como un robot de combate pilotado, en el que podemos meter a un soldado relativamente normal en una máquina loca con lanzacohetes y con la que puede correr más rápido y saltar más alto, y todo ese tipo de cosas. La IA generativa nos brinda algunas herramientas nuevas y excelentes para ir aún más lejos y averiguar cómo podemos hacer que ese proceso de investigación sea más rápido, completo, preciso y, en última instancia, para que podamos encontrar y detener las amenazas antes.

Estas son algunas de las aplicaciones que estamos considerando. El gran desafío en materia de seguridad, en definitiva, es que no hay suficientes personas para todos. Por eso es tan importante el trabajo que realiza AWS para hacer que la plataforma sea más segura y los servicios más seguros, centímetro a centímetro, kilómetro a kilómetro. Además, fuera de ese mundo, es importante que aprovechemos los recursos bastante escasos que tenemos en términos de profesionales de la seguridad y no los agotemos con trabajos arduos. Hay que brindarles herramientas que les permitan hacer grandes cosas.

Clarke Rodgers (06:42):
Del mismo modo, hablas con muchos clientes y muchos de esos clientes utilizan más de una nube. ¿Cómo los asesoras sobre los aspectos de seguridad y los desafíos que puede presentar la protección de múltiples nubes?

Chris Rothe (06:58):
En términos generales, intentamos impulsar una agenda basada en “asegurémonos de que tienes el mismo conjunto de controles y la misma comprensión de los datos y el acceso en cualquier plataforma que utilices, ya esté en la nube o en las instalaciones”. Es algo así como los cimientos. Debemos asegurarnos de saber quién tiene acceso, a qué tienen acceso y cómo vamos a saber si pasa algo malo.

Clarke Rodgers (07:21):
Y supongo que los resultados de seguridad deberían ser los mismos que se están definiendo, ¿verdad?

Chris Rothe (07:25):
Por supuesto. Y si no puedes lograr ese resultado con una plataforma en la nube en particular o con alguna otra, tal vez sea el momento de ponerla en tela de juicio y considerar si debemos usarla o no. Si la seguridad no está en primer plano y no es posible de la manera en que debería serlo para ese tipo de conjunto básico de controles, ¿por qué está en tu arquitectura?

Y esas son conversaciones difíciles porque las personas invierten mucho en su estrategia relacionada con la multinube. Pero creo que, en última instancia, asegurarnos de que entendemos qué controles deben existir y cómo, en definitiva, vamos a encontrar al malo, es el punto de partida. Si no se puede responder a eso, entonces necesitamos repensar nuestra arquitectura o estrategia.

Clarke Rodgers (08:07):
Es una perspectiva estupenda. Chris, muchas gracias por estar conmigo hoy.

Chris Rothe (08:12):
Gracias por la invitación. Ha sido un placer.