The Dept. of Know Live! con Sounil Yu: el modelo de seguridad DIE como acelerador de la innovación
Es sabido por todo el mundo que la seguridad suele considerarse una barrera para la innovación. El equipo de seguridad entra en un proyecto, identifica posibles riesgos y firma su sentencia de muerte cuando apenas ha empezado: este es el esquema que imagina mucha gente sobre la seguridad.
Pero, como nos enseñó Rinki Sethi, antigua CISO de Twitter, en la primera entrega de The Dept. of Know Live!, la seguridad tendría que verse como un aliado del negocio. La semana pasada participé en la serie y hablé con Kelly Shortridge y Bea Hughes sobre el modelo DIE y cómo este marco de seguridad anima a los negocios a tomar riesgos y fomenta la rapidez en la innovación.
Puedes ver el episodio aquí o seguir leyendo para conocer mis conclusiones favoritas.
1. Pasar de reducir el riesgo a reducir el impacto
La visión tradicional de la seguridad es de una función de reducción de riesgo: el equipo de seguridad se centra en supervisar el riesgo y mitigar las amenazas. Los equipos de seguridad realizan modelos de amenazas, tienen en cuenta lo que pueda desestabilizar el negocio y evalúan hipótesis alternativas, de modo que acaban facilitando la innovación al forzar a otros equipos a ver de otra forma los proyectos que ponen en marcha. Esta visión de la seguridad se puede describir mediante la famosa tríada CIA, un modelo de seguridad de la información pensado para guiar las políticas de seguridad de una organización según tres componentes básicos clave: confidencialidad (salvaguardar la privacidad de los datos), integridad (asegurarse de que los datos son correctos y fiables) y disponibilidad (poner los datos a disposición de los usuarios cuando sea necesario).
Se puede ver la seguridad de otra forma: como una función de reducción de impacto. En cierto modo, no sirve de nada ponerse a reducir vulnerabilidades y amenazas, ya que, por mucho que resuelvas todas las vulnerabilidades habidas y por haber, mañana habrá más y los atacantes seguirán intentando hacer de las suyas. Lo que sí está en nuestras manos, no obstante, es la reducción del impacto de esas amenazas. Así, podemos correr más riesgos sin preocuparnos por si nos hemos protegido ante toda amenaza existente.
Este modelo de la seguridad se plasma en la tríada DIE, una alternativa a la tríada CIA que subraya cómo deben ser los sistemas:
descentralizados, para evitar la dependencia de un solo sistema;
inmutables, para que sea imposible modificar los activos;
efímeros, para que los activos tengan una duración corta y limitada.
Un diseño basado en el modelo DIE encaja mejor con los intereses del negocio y nos permite innovar más rápidamente, puesto que ya no hace tanta falta garantizar la confidencialidad, privacidad y disponibilidad de los sistemas.
2. Para adoptar el modelo DIE, es necesario dejar atrás la incomodidad del pasado
Toda organización tendrá activos gestionados mediante la tríada CIA y otros activos gestionados mediante la tríada DIE. Aquí entra en juego la analogía de las «mascotas» y el «ganado». Las mascotas son los activos insustituibles que debes proteger, supervisar y reparar con sumo cuidado si sufren daños, es decir, los activos pensados para funcionar según la tríada CIA. Por su parte, el ganado son activos prescindibles que se pueden eliminar cuando haya daños. En este caso, la cuestión es cómo hacer que tengan el mínimo valor posible diseñándolos para que sean DIE, de modo que, por muchas vulnerabilidades que presenten, no merecerá la pena protegerlos a ultranza. Este cambio de mentalidad puede provocar incomodidad en muchos profesionales de la seguridad, pero vale la pena hacer que tus sistemas sean más resilientes y tarden menos en recuperarse.
3. La tendencia a añadir complementos en seguridad entorpece la innovación
En seguridad, solemos agobiarnos con la idea de tener que estar siempre sumando nuevos complementos a las herramientas de seguridad, lo cual obstaculiza la innovación. El modelo DIE es un marco que nos permite alejarnos de la tendencia de sumar para, en cambio, centrarnos en cómo facilitar la innovación restando, dividiendo y multiplicando.
Sin ir más lejos, la informática sin servidores sirve de ejemplo de infraestructura efímera que, en el fondo, no es más que la resta de la necesidad de mantener un servidor y la multiplicación de nodos informáticos para crear aplicaciones innovadoras. Es importante que los líderes de la seguridad adopten esta mentalidad, porque reduce la molestia de proteger cada vez más «mascotas».
En resumen
Para lograr de verdad que la seguridad facilite la innovación, tenemos que replantearnos nuestra visión de la seguridad. Si adoptamos el modelo DIE y vemos la seguridad como una función de reducción de impacto, podemos arriesgarnos más, encajar la seguridad con lo que impulsa el negocio y facilitar la rapidez en la innovación.
Mira el vídeo bajo demanda de toda la conversación y conéctate esta misma semana, el 17 de marzo a las 8 de la tarde (hora de España peninsular), cuando Omar, Staff Security Engineer en Betterment, participará en The Dept. of Know Live! para explicar que modernidad equivale a seguridad en el diseño de aplicaciones.