jueves, 9 de diciembre de 2021

Roles o dirección de la ciber... ProtAAPP version...

 Estimados amigos de Inseguros !!!

Voy a empezar este post, haciendo algo que no suelo hacer, y es hablar con propiedad :-) y por supuesto no me refiero a la intelectual :-) :-). El otro día la gente de @ProtAAPP Abrió un hilo muy interesante 
reflexionando junto a un equipo de cracks sobre la estructura de la organización de un departamento 
Ciber. 


Por la brevedad de Twitter no quise entrar al trapo, pero me apunté el tema para explicar mi visión. Pero cuando decía lo de hablar en propiedad, me refería a comentaros quienes son ProtAAPP y cuales son sus proyectos. En primer lugar, decir que es un grupo de amigos que desinteresadamente están fomentando la cultura de la ciberseguridad en las administraciones públicas, pero que se extiende a todo el ecosistema empresarial, mediante varias acciones. Dede su magnífica WIKI, su canal de Twitter, hasta todas las iniciativas divulgativas que ya ni recuerdo ( concursos incluidos xD) 

Volvamos al inicio, al asunto, cual sería la estructura del departamento. debería colgar todo del CISO? del CIO? tendría que haber una rama para una cosa y para otra...

Como siempre, me gusta empezar con algún símil. Pongamos el ejemplo del entrenador de futbol. Si en su vida fue un jugador de velocidad, de sprint, de desmarque, quizás tenga un estilo de entrenamiento diferente al que fue jugador de "tiki taka", o fue un jugador mas defensivo que ofensivo en campo medio... hay muchos estilos de gobernanza, y la impronta personal del entrenador sin duda marcara muy mucho el rumbo del equipo, o al menos el camino.

En la informática, sin entrar en la ciber, ocurre lo mismo. A diario hablo con CIO, pero que tambien los llamo "jefes de informática" o a veces " CTO"... y me doy cuenta de que según su pasado, su trayectoria, tienen más o menos interés en unos aspecto u otros. El tema de los nombres lo voy a dejar para otro momento.

Si el responsable viene del mundo consultora SAP, posiblemente esa sea la parte que mejor esté en la compañía, al igual que si viene de la "ciber" tendrá más o menos bien esto. Según su evolución profesional el departmento tiende a tener sus benevolencias/carencias en un sentido u otro.

Ahora vamos al "submundo" de la ciber. Hay que entender que estas reflexiones hay que adaptarlas al volumen de la organización. Un CISO para mi tiene que ser el lider de la parte de gestión y cumplimiento normativo. Si sabe de tecnología mejor, pero podría ser perfectamente un Abogado. Un CSO debe ser el responsable de la parte técnica de la ciberseguridad. No encuentro ningún sentido a que en una organización compleja, con personal y recursos, no estén los dos componentes en la misma línea jerárquica, y por encima el CIO.

Creo que la cuestión más importante no están tanto entre quien está debajo/encima entre el CISO y no, sino en la figura del CIO. Personalmente, conozco MUY pocos CIO buenos.

Para mi, un CIO debe ser capaz de tener en su equipo a los mejores expertos en su área, y ser la persona que se dedique a la gestión, y a participar en el comite ejecutivo, diseñando los planes de futuro, la prestación de servicios y la continuidad del departamento. Alinear las necesidades de la empresa con la tecnología, y "viceversa".

Imaginemos un mal CIO, alguien como yo :-). que vengo de la ciber, de productos Microsoft... voy a tomar las mejores decisiones a la hora de un entorno CLOUD para X propósito? quizás mis preferencias marque mis decisiones. El CIO debe ser agnóstico a la tecnología en la manera que sea posible, y debe dirigir el departamento con conocimiento.

SLA y KPI deben ser el trabajo del CIO. Definir la estrategia y luego cumplirla y medirla.

En el hilo de Twitter se bromeaba con que si, que todo esto está muy bien, pero quien actualiza el equipo xD. Tiene que haber un KPI claro definido desde el CIO, desde la dirección informática, y bien sea operaciones de seguridad, operaciones de sistemas, quien sea, según el organigrama, pero hay que cumplor el objetivo y medirlo, y creo que no tiene sentido definir si es cosas de sistemas, de seguridad... porque cada empresa es un mundo, pero si que tiene que estar en la estrategia del CIO y tiene que tener los elementos de control.

Atribuimos un departamento de operaciones y dentro ciber, sistemas, redes, o al revés, tenemos un departamento ciber y dentro tenemos operaciones, cumplimiento, monitorización...

El CISO aportará su conocimiento para implementar una guía de seguridad base en referencia a la norma, a la ley, por ejemplo al ENS, y trasladará los controles necesarios al CIO, y este debe ser garante de su cumplimiento. Pero ojo, el CSO igual !!! quizás en un compliance no aparezca un detalle técnico pero si desde Seguridad se exije, debe ser igual de válido, pero hay que medirlo !!!.

Tener un cuadro de mando de TIC es necesario al igual que en otras direcciones. Por lo general, veo esos cuadros de mando orientados a las finanzas del departamento, o asociados a alguna herramienta ITSM en la que puedo ver el SLA de un helpdesk, con suerte podré ver lo mismo de un SIEM, pero ese es el verdadero trabajo de un buen CIO, preparar ese cuadro de mando con la información útil que le permita tomar buenas decisiones.

Pongo otro ejemplo parecido al de la cuestión del CISO, desarollo. tiene que haber un jefe de desarrollo que esté por encima de Despliegue? para mi son dos entidades con suficiente peso que por supuesto, tienen que estar alineadas entre si, pero con la supervisión del CIO.

Sigo con ejemplos, un fallo de sqli de quien es reponsabilidad? de ciber que no tenía un waf? del programador que cometió el fallo? del despliegue que no lo testeo? del admin. de la base de datos que no controló las opciones del motor? de sistemas que no cofiguró bien el host?
Sin embargo el CIO debería tener el control del estado de todos estos elementos, a través de sus mandos intermedios. Delimitar la responsabilidad concreta? siempre pienso que la culpa es del jefe, siempre, el empleado puede y está para fallar, y su jefe para detectarlo y corregirlo. Todo esto entrecomillas...

Vamos al caso del SOC, quien debe ser el lider del SOC? reporta a tecnología o cumplimiento? ambas perspectivas son válidas. Depende de la misión del SOC, es más, es habitual tener un SOC técnico con "eventos de Windows" y un SOC de cumplimiento con otro tipo de métricas.

En entornos grandes grandes grandes, puede que entre el CIO y el CISO/CSO haya un "CIO de Ciberseguridad" al igual que un CIO de Desarrollo, porque ambas disciplinas son enormes, al igual que debería haber un CIO de sistemas y redes, o separado... 

Un resumen muy muy somero podría ser que ni CISO por encima del CSO, ni al revés, que lo importante es el eslabón superior.

Al final vuelvo a lo mismo de que hay muchos estilos de gobernanza y gestión, y depende muy mucho de la misión y visión de la compañía y sus líderes, pero la gestión basada en indicadores creo que es VITAL.