Lo que la Fórmula 1 puede enseñar a los CISO

Al igual que las empresas, los equipos de la actual F1 recurren a una analítica de datos rápida y eficaz que les ayude a obtener una ventaja competitiva, contando con ingenieros de datos que controlan en tiempo real posibles riesgos y oportunidades. Los máximos responsables de la ciberseguridad tienen la responsabilidad de evaluar y gestionar los riesgos en sus organizaciones. Impedir que un incidente de seguridad haga estragos recae sobre los hombros de un CISO, del mismo modo que una mala decisión puede hacer descarrilar la temporada de un equipo de F1.

 

Las diversas variantes de lo "óptimo"

Gestionar adecuadamente tanto las amenazas como los resultados en unas condiciones que cambian de forma constante, es algo que muchos responsables de ciberseguridad tienen muy presente. En la F1, todos los equipos llegan a cada circuito con planes personalizados, elaborados teniendo en cuenta el trazado de la pista, la duración de la carrera y el clima. Pero estos planes se revisan y ajustan in situ antes de la competición, en función de los cambios meteorológicos, la selección de neumáticos, el estado de la pista, el estado del coche, el combustible y el peso. Cada sesión de entrenamientos, clasificación y carrera es diferente y el equipo mide continuamente cada una de estas variables con sensores de precisión y ajusta la puesta a punto del coche con pequeños cambios, como la carga aerodinámica, para garantizar un rendimiento óptimo. Además de sus propias variables y las relacionadas con el entorno, el equipo también toma decisiones estratégicas basadas en las acciones de otros equipos y pilotos, con el propósito de terminar la carrera en el menor tiempo posible. La F1 es, sin duda, el mejor ejemplo existente de deporte basado en datos.

Los responsables de la ciberseguridad se enfrentan a una situación muy parecida, con una serie constante de variables que afectan a la postura de seguridad de sus organizaciones. Pensemos en una operación tan sencilla como la conexión de un empleado a una aplicación en la nube. Esta acción individual tiene, al menos, siete variables que deben tenerse en cuenta antes de que la sesión pueda considerarse segura y el acceso pueda concederse razonablemente. En estas variables se incluyen identidad, dispositivo, ubicación, actividad, aplicación o servicio, instancia de aplicación o servicio y tipo de datos. La dificultad de diseñar una política de gestión de riesgos se hace evidente cuando se reconoce que cada transacción de "usuario que se conecta a una aplicación en la nube" puede requerir decisiones de seguridad y rendimiento muy distintas en función de estas variables. Hay un gran paralelismo con la F1 (y no sólo en la terminología: sesión, velocidad, factores de riesgo, amenazas), ya que pretendemos garantizar que nuestros empleados puedan acceder a servicios esenciales en el plazo más breve posible sin que ello suponga eliminar completamente los frenos.

 

Garantizar el nivel adecuado de rigidez

Al igual que un director de equipo en la F1, el CISO tiene que tomar decisiones importantes para garantizar que se aplica un grado correcto de “rigidez” para que los empleados puedan trabajar de forma segura. Si hay demasiada fricción, el empleado tendrá dificultades para seguir con sus tareas diarias y se quejará de una experiencia pobre o frustrante. Su atención se desviará hacia otros equipos que pueden trabajar más rápido y con menos fricción. Si la fricción es insuficiente, es muy probable que se traduzca en un incidente que nos acabe arruinando el fin de semana a todos. Entonces, ¿cómo podemos gestionar este elemento?

Hay que evaluar permanentemente todas las variables. Por ejemplo, herramientas como una moderna plataforma SASE (Secure Access Service Edge) combinan telemetría analítica, muy parecida a la del muro de boxes de un equipo de F1. Estos datos no sólo pueden mostrarse al empleado, sino también al equipo de operaciones de red y seguridad y al CISO. Las variables atípicas que afectan al rendimiento o la seguridad pueden ser detectadas a tiempo y mitigadas antes de que se conviertan en un problema mayor, y las políticas y el direccionamiento pueden ajustarse para mantener un rendimiento óptimo. Para ello se aplican políticas dinámicas que determinan el resultado compuesto de estas variables de riesgo y establecen acciones (permitir, bloquear, alertar, entrenar/educar y redirigir).

 

La vuelta más rápida

En la F1, la meta es, por supuesto, ganar carreras que lleven a la escudería y a nuestro piloto a proclamarse campeones, lo que no sólo significa lograr la vuelta más rápida en una determinada carrera, sino rendir con regularidad a lo largo de toda la prueba y de toda la competición. Lo mismo puede decirse de la ciberseguridad. No es lo mismo asegurarse de que un solo empleado, o una aplicación, o una oficina tengan una buena experiencia a que toda la organización la viva sistemáticamente... y lo haga sin correr riesgos inaceptables.

En ciberseguridad, tenemos el privilegio de poder ajustar tanto el circuito de carreras como el coche; por ejemplo, eliminando las chicanes o "curvas cerradas" de la red (a menudo presentes en arquitecturas tecnológicas heredadas en las que los datos se envían por rutas ilógicas a través de VPN, back hauling o split tunnelling). En una organización típica, todavía se aplican múltiples políticas de seguridad, lo que es similar a la creación de múltiples chicanes que ralentizan la carrera. Una arquitectura SASE proporciona un único punto de aplicación de políticas, eliminando innecesarias paradas en boxes y tramos lentos de la pista. Además, tenemos la oportunidad de inspirarnos en los DRS (Drag Reduction Systems) de la F1, permitiendo a los empleados ganar velocidad extra mediante el uso de cloud peering (conexiones de red optimizadas directas desde la arquitectura de seguridad a aplicaciones importantes como Microsoft 365) para permitir un acceso rápido a los servicios a través de la misma plataforma SASE.

Como me decía el otro día el CISO de un equipo de F1, "todo lo que yo haga tiene que ayudar al objetivo del equipo de ganar el campeonato. Ya sea asegurándome de no ralentizar a los empleados en su importante trabajo o protegiendo nuestra propiedad intelectual frente a la competencia... nuestro trabajo es inseparable del esfuerzo del campeonato". Es posible que los CISO de otros tipos de empresas operen en un entorno menos unipersonal, pero a todos nos interesa tener presente la contribución que hacemos con nuestro trabajo a los objetivos más amplios de la organización. Cuando el tres de marzo veamos cómo se da la señal de salida al campeonato, no olvidemos que estamos viendo una demonstración magistral de adaptación permanente al riesgo: ¡hay lecciones para todos nosotros!

Por Neil Thacker, CISO de Netskope para EMEA