Reestructurar la seguridad como ventaja estratégica

Clarke (00:05):
Merritt, gracias por participar y estar presente hoy.

Merritt (00:08):
Gracias por la invitación.

Clarke (00:09):
¿Podría hablarnos un poco acerca de su trayectoria? ¿Cómo llegó a AWS y cuál es su función actual?

Merritt (00:15):
Sí. Llevo aproximadamente cuatro años en AWS. Trabajaba en el Gobierno de los Estados Unidos en el ámbito de la seguridad, al servicio del pueblo estadounidense. Trabajé en las tres ramas del poder público. Me interesé por la seguridad porque sentí que había grandes interrogantes ante nosotros y que no teníamos medios sólidos para abordarlos. Así que me gradué como abogada en parte porque sabía que sería uno de los temas de interés aquí. Además, creo que los asuntos relacionados con el panorama general son más importantes que resolver una amenaza en un momento dado, o que un actor en particular, o lo que sea. Así fue como empecé a trabajar en lo que considero que son áreas poco atractivas de la seguridad. Aquello que constituye la capa de la infraestructura, pero que es de gran importancia de manera interna. Creo que eso es lo que realmente me impulsó a llegar a este lugar.

Clarke (01:08):
Qué gran historia. ¿Puede explicarme algo más sobre la oficina del CISO y su función dentro del contexto más amplio de AWS?

Merritt (01:17):
Sí. Soy directora de la oficina del CISO. La oficina del director de seguridad de la información (CISO) de AWS es muy similar a la de cualquier otra empresa, ¿verdad? Steve Schmidt, mi jefe, se ocupa, además de la seguridad interna para proteger a AWS, de garantizar que todo lo que ofrecemos como empresa sea seguro. Se trata de un conjunto de funciones realmente interesante para tener en cuenta, ya que implica estudiar cómo se integran las barreras de protección mientras los empleados experimentan una fricción mínima y se desempeñan como equipos de desarrollo. Además, el objetivo es conseguir que los equipos de desarrollo hagan lo más seguro, de la manera más fácil y segura. Este es el punto en el que mi función me permite tener cierta empatía y credibilidad a la hora de hablar con los clientes, ya que la mitad de mi trabajo consiste en intentar mejorar la seguridad dentro de AWS y la otra mitad en hablar con los clientes. En ocasiones esto supone hablar en público, pero con frecuencia se trata de conversaciones entre CISO, charlas con grupos encargados de la seguridad y de averiguar el modo en que las empresas pueden alcanzar su madurez. La seguridad es con frecuencia un factor clave que permite a las empresas avanzar de forma más amplia, rápida y madura. No obstante, es posible que la seguridad con frecuencia se perciba como un obstáculo. Y creo que eso no se puede aceptar. No solamente porque los equipos de seguridad necesitan evolucionar y dejar de decir que no, sino también porque hoy en día, especialmente en la nube, como se sabe, en el momento en que se comienza a desarrollar algo, se articula en torno a las identidades y los permisos y las formas en que se construye en relación con el resto de la arquitectura y el resto de Internet. Por lo tanto, las propiedades de seguridad son inherentes a todo lo que se crea. Esto nos obliga a incluir la seguridad en nuestras conversaciones y a hablar con los clientes sobre cómo lograr nuestros objetivos en este ámbito.

Clarke (03:23):
Entiendo. En el marco de las conversaciones con los CISO de los clientes, supongo que esto se puede extender a sus demás responsabilidades, porque me imagino que un CISO podría decir: “Me encanta el producto X o Y, pero me gustaría que hiciera esto”. Eso forma parte de la pila de seguridad por la que también es responsable. ¿Cómo una solicitud de un cliente, realizada a través de una conversación de este tipo, llega a los equipos de producto que se ocupan de los servicios de seguridad de modo que se convierta en una característica?

Merritt (03:51):
Los equipos de servicio no cesan de crear, implementar y desplegar nuevas funcionalidades. Por lo tanto, mantenerse a la par con lo que han decidido o han podido invertir en ofrecer no es realmente un reto. Realmente consiste más en la forma en que se resuelve el problema y, si no lo hacemos de la forma correcta, creo que evidentemente es algo que se debe conversar para luego retomar nuestro trabajo. Gran parte de mi trabajo consiste en averiguar, en primer lugar, qué es lo que realmente pide el cliente y el modo de ayudarle a llegar al siguiente nivel de madurez o de conseguir que avance. Y el otro tema es, ¿cómo lo conseguimos? Gran parte del valor que creo que los clientes esperan realmente obtener tras una conversación conmigo es: “¿Cómo el equipo se ajusta a esto?” Porque no creo en los juegos no cooperativos, pero sí estoy convencida del valor inherente a una empatía realmente genuina. 

Clarke (04:51):
Bien dicho. Cuando los clientes preguntan: “¿Cómo AWS hace X?” ¿Cuáles son algunas de las preguntas más comunes, “Cómo AWS hace…” Desde el punto de vista de la seguridad, ¿qué tipo de preguntas realizan los clientes?

Merritt (05:07):
Uno de los principales temas que surgen es, sin lugar a dudas, el de la innovación. “¿Cómo innovan los equipos de desarrollo y de qué manera se relacionan con los equipos de seguridad de modo que no haya enfrentamientos?” Creo que ese es un aspecto realmente notable de nuestro trabajo, porque, independientemente del rápido ritmo de la innovación que perseguimos sin reparos, eso a veces significa que realizamos lanzamientos a un ritmo muy acelerado, o que a la gente le cuesta comprender lo que significan las novedades. Sin embargo, en última instancia, lo que hacemos es, debido a la naturaleza de algunos de estos mecanismos, como un equipo pequeño (que Amazon llama “de dos pizzas”), que tiene un efecto duradero en materia de seguridad, ¿verdad? Al trabajar con un equipo “de dos pizzas”, que implica estar dentro de un silo, de manera intencional para avanzar rápidamente como decisión empresarial; en ese equipo “de dos pizzas”, se toman decisiones empresariales respecto a la seguridad. Así pues, únicamente un reducido grupo de personas sabrá cómo funcionan los componentes de la arquitectura subyacente. Allí se identifican elementos de seguridad en nuestro funcionamiento. Realmente nos referimos a la forma en que hemos incorporado la seguridad a los productos que ofrecemos. Por lo tanto, no se trata en absoluto de establecer una relación con un equipo de seguridad al que se le ha encomendado la tarea de reformar esta nave. Son realmente ellos quienes preguntan: “¿Cómo ha conseguido convertir su empresa en una organización que practica y adopta la seguridad como parte integral del producto que vende?”

Clarke (06:38):
Es perfectamente lógico. Al conversar con los clientes, uno de los temas que suelen plantear, e imagino que usted también se enfrenta a la misma pregunta, es: “Comprendo el valor de DevSecOps. Comprendo el valor de destinar recursos a la ingeniería y a la seguridad operativa y a todos los demás elementos que componen la seguridad. Pero, ¿cómo puedo realmente crear una organización de seguridad de calidad internacional como lo hace AWS?”

Merritt (07:05):
Sí. Creo que es una pregunta que se plantea de diversas formas, ¿verdad? Por ejemplo: “No sé si alguna vez hemos puesto en práctica nuestro plan de respuesta a incidentes” o “No sé si contamos con un plan de respuesta a incidentes”. Para reiterar, creo que gran parte de esto se relaciona con los controles establecidos a lo largo del ciclo de vida de los activos. Iba a utilizar el término infraestructura, pero eso es algo que se crea a través de ese proceso, ¿no? De los controles de protección, detección y remediación. Y uno de los elementos que desempeñan un papel importante, obviamente, es la automatización. Por ejemplo, en nuestro equipo, que se dedica a la seguridad de AWS, nunca cerramos un ticket de problema hasta que no hayamos creado un script de remediación, siempre que esto sea posible. Algo como la automatización suena a puro discurso hasta que se pone en práctica de forma observable. No obstante, en última instancia, lo que buscamos son formas de escalar realmente las operaciones. Y gracias a esos controles de protección, detección y reparación, nuestra central de vigilancia de 24 horas consiste en una persona que se encarga de vigilar todos los procesos automatizados. Adoptar esa nueva generación de centros de operaciones de seguridad aporta bastante independencia y margen de maniobra. No me malinterpreten, soy consciente de que para algunos se trata de un referente dificil de alcanzar, pero en muchos sentidos, hay que empezar por algún sitio. Logrará avances. Y hemos creado un equipo de seguridad al resolver grandes problemas, por medio de la resolución de pequeños problemas. Así que se trata de comenzar por algún lado, ¿no? Contrate a personas aficionadas a la automatización, incorpore a un equipo de seguridad diverso que piense de forma diferente, que resuelva los problemas con un código diferente, con una automatización diferente y, a continuación, obtenga también el respaldo del personal directivo. Eso es sumamente importante para este proceso. Se trata realmente de la inversión realizada por la empresa, o la entidad debería decir, porque el sector público funciona de forma muy parecida, para demostrar su compromiso con el proceso de seguridad. Esto se debe implementar de formas específicas y a través de ciertos comportamientos. Así que cuando la gente recurre a mí y me pregunta: “¿Cómo se crea un equipo de seguridad de calidad internacional?”. O “¿Cómo se crea una cultura de la innovación?” La respuesta está en lo que se hace repetidamente. Hay cosas con las que podemos identificarnos y a las que podemos dedicar un poco de esfuerzo. Por ejemplo, en el caso de DevSecOps, incorporamos un ingeniero de seguridad en los equipos en una proporción, que actualmente es un octavo, pero podría ser… La cifra aumenta y disminuye, y evaluamos si es la correcta. Se analiza la causa de los errores cada vez que ocurre algo que no debería haber sucedido o cuando simplemente las cosas no transcurren exactamente según lo previsto. Y, por cierto, los vicepresidentes tienen que estar presentes en las reuniones para tratar la causa del error. No enviamos a un ingeniero junior para que se lleve la peor parte. Que exista este tipo de ecosistema de rendición de cuentas, no para que los individuos sean los más perjudicados, sino para la organización, de modo que la curva de aprendizaje crezca a lo largo del tiempo, es realmente nuestro objetivo. Es algo que no ocurre por casualidad. Es necesario establecer esos mecanismos.

Clarke (10:22):
Y supongo que el secreto reside en desarrollar ese mecanismo que refuerza el comportamiento que se busca.

Merritt (10:28):
Creo que eso es completamente cierto. Por ejemplo, si se opta por hacer que los permisos de los empleados sean muy abiertos, cosa que ocurre en Amazon, lo que por cierto, de nuevo, es una decisión empresarial deliberada; es necesario contar con un registro y una supervisión muy detallados en torno a lo que ocurre. Además, deben existir umbrales y la capacidad de transferir problemas a instancias de mayor jerarquía sin reproches y dentro de un horario. Nuevamente, esto significa que los líderes deben estar comprometidos porque tienen que saber que van a atender las necesidades de seguridad. El 100 % de los ejecutivos afirmarán que se preocupan por la seguridad, pero lo que realmente importa es que sepan que van a tener que esforzarse por conseguirla y que van a asumir la responsabilidad que les corresponde. Y también implica que el equipo de seguridad desempeñará un papel entrelazado en la propia empresa.

Clarke (11:26):
Entiendo. Ha hablado anteriormente sobre las inversiones, ¿verdad? Muchos de los CISO y ejecutivos de nuestros clientes acuden a nosotros y nos dicen: “Bueno, necesitamos realizar ciertas inversiones para desarrollar nuestras capacidades”. Desde el punto de vista de la seguridad, AWS ha sido muy claro a lo largo de los años en cuanto al concepto de los cinco elementos principales que constituyen una referencia mínima de seguridad. Estos son: la identidad, los controles de detección, la seguridad de la infraestructura, la protección de datos y la respuesta a incidentes. Cuando el CISO de un cliente dice: “Tengo un presupuesto limitado, tengo un personal limitado, pero necesito abordar esos cinco elementos. ¿Dónde comienzo a invertir? ¿cuál de esos cinco elementos es el que más rendimiento de la inversión aporta?”.

Merritt (12:09):
Varios CISO preguntan: “¿Empiezo con una carga de trabajo o con cien?”. ¿Cierto? Y creo que la respuesta consiste en comenzar por algún lugar y lograr que sea significativo. Empiece con la cantidad de cargas de trabajo que pueda, pero no les pierda la pista. Trátelas como si estuvieran sometidas a un microscopio de seguridad, porque creo que así tendrá las herencias de seguridad que realmente constituyan un diferenciador empresarial para su compañía o su entidad desde la perspectiva de la plataforma. Voy a retroceder, y esto va a parecer una tontería, pero recordemos qué es la nube, ¿no? Hace 20 años, para abordar estas cinco etapas, la gente se limitaba a comprobar si había servidores falsos bajo los escritorios de las personas. Esto ya no funciona así; si se encuentra en la nube, ya no es el caso. Y una de las razones por las que sabemos que se trata de una herencia de seguridad es que AWS asume la responsabilidad de esas capas inferiores de la pila. Aprovechar las ventajas que ofrece la nube para conseguir seguridad a escala en la nube, es algo que realmente noto que los clientes no hacen. El hecho de tener un presupuesto limitado es una razón más para alcanzar un estado en el que sea posible aprovechar la capacidad de escalar. Dicho esto, si tuviera que elegir una, diría que la identidad es muy difícil. Aún no he encontrado a un cliente que diga: “Adoro a mi proveedor de identidades. Y creo que lo hacemos realmente bien”.

Clarke (13:40):
Así que, en caso de que no se disponga de mucho dinero, ¿recomienda las inversiones en identidad?

Merritt (13:45):
Creo que en caso de que se disponga de poco dinero, se debería hablar con la empresa sobre cuáles son sus objetivos y, a continuación, se debería discutir por qué la seguridad es un elemento diferenciador del negocio. Y no me refiero simplemente a la seguridad en torno a lo que se produce, sino a la seguridad como parte integral del producto. Tanto si es un minorista, como si es una empresa de petróleo y gas, como si opera en… el sector automotriz, el farmacéutico, los medios de comunicación y el entretenimiento, las fusiones y las adquisiciones; en la actualidad, como es lógico, la gente se preocupa por la seguridad en cómo se hacen los negocios. No se trata únicamente de quienes ofrecen productos de seguridad y no se limita a decir: “Oh, ¿se ocupan de nuestros datos internamente en sus roles de RRHH?”. Consiste realmente en la manera de garantizar la seguridad como componente inherente al producto. Y creo que no hay forma de eludirlo. Se debe hacer a partir de la forma en que se crea la empresa en sí y de los objetivos que se alcanzan. Y en cuanto a lo que dice, el presupuesto al que aspira tiene que tener eso en cuenta. Además, creo que la seguridad debería dejar de considerarse como un centro de costos. Es algo a lo que me opongo rotundamente porque, en realidad, es un facilitador y un impulsor del negocio. Nadie desea hacer nada que no sea seguro, ni comprar nada que no sea seguro, ni interactuar con una empresa o gobierno si no es seguro. Por lo tanto, francamente, no hay ninguna posibilidad de tener éxito o de ser eficaz si esto no se logra. Sé que se trata de un objetivo cambiante porque es un proceso, no un suceso, y trabajamos para lograrlo, pero hay que esforzarse al máximo.

Clarke (15:24):
Bajo esa premisa de que la seguridad es un factor que impulsa el negocio, ante una organización que percibe la estructura del CISO como un centro de costos, ¿cómo logra ese CISO defender ese mensaje o transmitirlo a la junta directiva o a otros responsables de la toma de decisiones en la organización?

Merritt (15:42):
Hay un par de aspectos al respecto. Uno es simplemente la transformación general que se produce en las empresas cuando deciden crecer. De hecho, considero que las empresas, en general, se fijan demasiado en los costos que conlleva cualquier avance. Por el contrario, no examinan el costo de quedarse donde están. En este punto, es preciso analizar cuáles son los costos de quedarse donde está y qué costos asume ahora por no avanzar y por no hacer aquello que sabe que podría hacer. Y, francamente, comprendo que requerirá algo de audacia o de energía afirmativa para llegar a ese punto, pero empezará a rendir frutos casi de inmediato. También se convertirá en una de las formas en que la organización puede crecer realmente como empresa. Además, me parece que, en última instancia, todo lo que lo retrase es una pérdida de tiempo. Del mismo modo, para responder a su pregunta, creo que la gente que percibe la seguridad como un centro de costos forma parte del pasado. 

Clarke (16:53):
Sí. Creo que ha hecho una gran observación al afirmar que el riesgo de no hacer algo supone un nivel de riesgo similar al que conllevan otras acciones que las empresas contemplan.

Merritt (17:01):
No diría que similar, sino que a menudo es más caro no actuar. Este es uno de los aspectos que se deben tener en cuenta a la hora de hablar con la junta directiva. He notado que cuando la gente habla de las métricas de seguridad, a menudo las toma como un juego. Dicen: “La semana pasada observamos 100 llamados a la puerta y esta semana solamente se registraron 70”. Y es como si las llamadas a la puerta no están aquí ni allá. Y obviamente estas cifras son artificiales. Acabo de inventarlas. Lo importante es que las métricas de seguridad deben indicar si se mejora o no con el paso del tiempo. En caso contrario, las métricas no son las adecuadas. Porque, ¿a quién estamos tomando como un juego realmente? Puede utilizar esto en la contienda.

Clarke (17:50):
El ransomware es un tema muy importante en la actualidad. Es una gran preocupación para los clientes. Sé que tiene experiencia, conocimientos y habilidades en este ámbito. ¿Qué consejos puede ofrecer a las organizaciones de seguridad de los clientes sobre qué deben hacer para prepararse ante un evento de ransomware?

Merritt (18:07):
Sí. Obviamente el tema ha estado muy presente en las noticias últimamente. Sin embargo, el ransomware no es nada nuevo. Se remonta, al menos, a 1989. Hubo una conferencia sobre salud en la que un actor malintencionado repartió unidades de disco etiquetadas con “sida” porque se trataba de una conferencia sobre salud. Llegó a ser conocido como el “ransomware del SIDA”, porque al insertarlo en la unidad de disco, cifraba los archivos y exigía que se enviara un cheque de 89 USD a un apartado de correos en Panamá. Por lo tanto, el ransomware en sí mismo no es nada nuevo en teoría, pero en la práctica lo es, obviamente, a raíz del auge de las criptomonedas y de la capacidad de la gente de monetizar las intrusiones en la red.

Clarke (18:58):
Y el ransomware como servicio, ¿verdad?

Merritt (19:01):
Sí. Y la mercantilización de esta actividad es ciertamente un factor. Por otra parte, los regímenes de privacidad de datos han hecho que resulte realmente caro para una empresa ser identificada como víctima de una filtración. Había una modalidad de ransomware en la que solamente bloquean los datos y hay otra en la que los exfiltran. E incluso si cuenta con copias de seguridad, amenazan con exponer el hecho de que han obtenido acceso. Y eso en sí mismo se podría calificar como una filtración, sobre todo si se trata de datos regulados, como es el caso de todos nosotros. Así que creo que el contexto en el que ocurre es relevante en este caso. No obstante, para responder a su pregunta, creo que no hay una solución milagrosa para el ransomware. El ransomware obliga a las organizaciones a mantener un orden interno. Esto abarca todo, desde minimizar la probabilidad de que alguien pueda acceder por la puerta en primer lugar. Esto incluye aspectos como la identidad y las revisiones, el principio de privilegio mínimo y la segmentación. Además, hay que contar con esas copias de seguridad inmutables. Servicios como AWS Backup o Cloud and Door permiten obtener copias de seguridad y capacidad de restauración a un momento dado. 

Clarke (20:23):
Otro tema álgido que los clientes han puesto sobre la mesa es el concepto de confianza cero. Entonces, ¿qué significa para usted la confianza cero, cómo se articula para los clientes y cómo puede AWS ayudar a los clientes a alcanzar la confianza cero si, de hecho, es algo que necesitan implementar?

Merritt (20:42):
Por supuesto. Creo que la confianza cero puede constituir un enfoque conceptual útil para considerar los controles de seguridad. ¿Cierto? Considero que… En primer lugar, pregunte a cualquier persona qué significa la confianza cero y obtendrá diferentes definiciones. A mi juicio, la confianza cero connota, no la idea de que esta taza de café no está conectada a Internet, sino más bien la idea de que hay que reducir, posiblemente a cero, el nivel de confianza que debemos dar a un actor de la red en función de su posición en esta. Básicamente, tanto si se trata de software como de humanos, deberíamos reducir nuestra dependencia del concepto de perímetro tradicional. Pero claro, el perímetro ha muerto, viva el perímetro, ¿no? Y creo que en la nube, y francamente en AWS, uno de nuestros enfoques es no hacer de esto una elección binaria entre los controles tradicionales centrados en el perímetro, como una VPN o una VPC, y los controles detallados centrados en la identidad, que operan dentro de estos como los grupos de seguridad, Naples, etc. Por el contrario, el objetivo es lograr que funcionen conjuntamente y, de hecho, que se amplíen y sean conscientes los unos de los otros. Un ejemplo sería una política de punto de conexión de VPC, en la que existe tanto el perímetro como los permisos detallados. Y están al tanto de que se amplían mutuamente y se pueden pensar desde algunas de nuestras herramientas que son inherentes a la nube ya que se trata de infraestructura como código. Se puede poner en práctica la seguridad como código. Servicios como Access Analyzer o Inspector se pueden encargar de la accesibilidad de la red sin enviar un paquete a través de la red, por ejemplo. El concepto de que se deben acoplar estos tipos de protección para adoptar la defensa en profundidad, supongo, pero suena anticuado. Eso es como: “Poner el candado en la puerta y en la ventana”. No, cada uno cumple con un propósito diferente. De hecho, también forman parte de la misma lógica que utilizamos a la hora de fundamentar la seguridad.

Clarke (22:57):
Merritt, gracias por su tiempo hoy. ¿Alguna reflexión final?

Merritt (22:59):
La gente recurre a mí para plantear lo que consideran son preguntas técnicas y profundas del CISO. En realidad, lo que preguntan es: “¿Cómo lograr que la organización tenga el ímpetu y los medios para emprender un cambio?”. Y pienso que eso se resume en la inversión, tanto literal como metafórica, que una entidad realiza para que la seguridad se convierta en elemento de primer orden. Cuando afirmamos que la seguridad es el punto de partida, o cualquier otra frase que utilicemos, no pretendemos que sea un lema. Pretendemos que se integre en la cultura de todo lo que hacemos. Una de las formas de lograrlo es que Steve Schmidt dependa directamente del director ejecutivo y que la seguridad nunca se vea menospreciada o marginada por otros intereses empresariales. Creo que para quienes esperan emular algo de la priorización que hemos podido exhibir, la manera de hacerlo es hacerlo. Y la manera de conseguirlo es comenzar. Y la manera de comenzar es lograr que el negocio se alinee con esos objetivos. Y una de las otras formas de conseguirlo, o una de las formas de permitir que la organización se aproxime a ese punto, es crear un equipo de calidad internacional. Y creo que es un tropo en este momento que el talento es difícil de encontrar, pero me gustaría que contratáramos a personas que piensen de forma diferente, y que tengan un aspecto diferente, y que codifiquen de forma diferente, puesto que es lo más adecuado para el sector y lo más acertado para todo el ecosistema. La seguridad tiene muchos puntos de contacto con las comunidades vulnerables, con las formas en que interactuamos con la tecnología, con las formas en que resolvemos los problemas y hacemos que las empresas y las entidades sean más fuertes. Si no es aquí, entonces dónde. Por lo tanto, esta es una llamada a la acción para todos nosotros, hagan que su lugar de trabajo sea inclusivo y que sus entidades sean más fuertes.

Clarke (25:02):
Merritt. Muchas gracias por sus conocimientos y por participar con nosotros hoy.