Enfoque Agile en Ciberseguridad, ¿es posible?

Algunos de los temas que están más en auge hoy en día son la Ciberseguridad y la Seguridad de la Información. Es evidente la similitud de ambos términos, sobre todo por el uso de la palabra seguridad, sin embargo, no significan lo mismo, aunque están sintonizados en la protección y resguardo de los datos personales.

La Seguridad de la información puede definirse como un conjunto de medidas preventivas y reactivas orquestadas por las diferentes organizaciones, con el único fin de proteger la información o los datos de ellos mismos y de sus clientes, considerando la Triada de la Seguridad, la cual está compuesta por 3 conceptos muy relevantes. Confidencialidad, Integridad y Disponibilidad.

La Ciberseguridad o Seguridad Informática es un área relacionada con la protección de la infraestructura computacional, la cual en el fondo se preocupa de la información o datos que circulan en estas redes informáticas. Existen una serie de estándares internacionales por los cuales se deben regir las personas que pongan en práctica este término y si te interesa descubrir por qué deberías elegir el formarte en este ámbito, te invito a que leas el siguiente articulo llamado Ciberseguridad: Por qué formarse en este sector y su futuro.

¿Por qué estos dos términos no son lo mismo? básicamente porque la Información puede estar almacenada en algún otro tipo de medio que no sea Informático, entonces si se cumple esta condición, ya la Ciberseguridad no estaría cumpliendo con su rol de protección, ya que todo dependería de los usuarios, que particularmente son en el eslabón más débil dentro de la extensa cadena de seguridad.

Para conocer un poco más acerca de la Ciberseguridad, es muy recomendable realizar este Curso de introducción a la Ciberseguridad, en el que, de una manera sencilla comprenderás los términos y definiciones más comunes que pueden finalmente iluminarte y elegir formarte de manera más profunda en temas relacionados.

El hecho de comenzar con estos cursos de introducción a la Ciberseguridad o de fundamentos de Ciberseguridad, es completamente relevante, ya que te comienzan a nutrir de información, nuevas palabras y conceptos, técnicas que quizás utilizabas, pero desconocías sus nombres y a la vez te dejan abierto el apetito por conocer más respecto a técnicas más avanzadas o a conceptos más profundos y fundamentales.

¿Quién no ha hecho alguna búsqueda en internet tratando de dar con el paradero de alguna persona o alguna cosa? Pues solo con un poco de OSINT (Open Source Intelligence) ya estas uniendo piezas o partes de un rompecabezas que tu solamente te propusiste armar.

Una vez ya manejas ciertos fundamentos para un enfoque global de los que es la Ciberseguridad, la idea general sería preguntarse, ¿cómo la aplicamos?, ¿qué tenemos que hacer para aplicar reglas o políticas? De una manera sencilla podríamos generar un equipo de trabajo y comenzar a tirar líneas, definir una hoja de ruta, pensar o investigar en cuáles serían las vulnerabilidades o riesgos que presenta nuestra organización.

En definitiva lo que tenemos que exigir es un método de aplicación de todas estas ideas, un método que nos dicte los procesos que tenemos que ejecutar para saber si se ha hecho algo respecto a la Seguridad, saber en qué estamos o si existe algún problema actualmente y por supuesto idear qué es lo que se va a hacer, tanto para subsanar los riesgos o vulnerabilidades, o comenzar a escribir documentación y políticas que ayudarán a aplicar la Ciberseguridad.

Qué es un enfoque Agile

Existen diversas metodologías en el área del Desarrollo de Software o en la generación de diversos Proyectos de Trabajo, una de ellas es el Método Agile o Enfoque Agile, el cual no habla directamente de ir generando documentación o indicaciones sobre qué hacer en este entorno, sino que implica directamente al trabajo en equipo y una forma de pensar en la colaboración guiando nuestras decisiones en base al producto que queremos realizar.

En este punto es vital tomar en cuenta a las personas y a la interacción entre ellas, antes que todo lo relacionado a herramientas, procedimientos o documentación. Se tienen que llevar a cabo una serie de reuniones considerando el software a realizar, además de la respectiva colaboración y requerimientos que solicite el cliente. Finalmente se tiene que estar preparado para los cambios o actualizaciones que se podrían ejecutar, según las diferentes opiniones de los integrantes del equipo o el cliente.

Las metodologías ágiles de desarrollo de software, como por ejemplo, Scrum o Kanban, son la base de ideas modernas que se usan bastante actualmente, como lo es DevOps, pero sin lugar a duda, un punto bastante importante que si o si las empresas y organizaciones deben tomar en cuenta (y que no muchas lo hacen) es la Seguridad, de aquí nace también DevSecOps, metodología de desarrollo de software, enfocada en las operaciones y considerando la Seguridad.

Estas diversas metodologías de desarrollo se pueden utilizar también para ejecutar proyectos o procesos dentro de un proyecto, del tema que uno se proponga, comenzando por las conversaciones de los diferentes integrantes, dividir en equipos de trabajo, como por ejemplo, los que comenzarán a escribir políticas, los que ejecutarán procesos técnicos en dispositivos y los que finalmente investigan a fondo cuales solo los requisitos del cliente. En este caso, pueden ser de la misma organización o un ente externo.

Una vez finalizado la división del personal, por supuesto es necesario esclarecer las ideas además de aplicar la metodología elegida para implantar en nuestra organización o en un ente externo la Ciberseguridad, y lo que es más importante y se incluye acá, la protección de los datos personales de nuestros clientes y de nosotros mismos.

Enfoque Agile en Ciberseguridad

El área de la Ciberseguridad, día a día va sufriendo cambios, tanto en la tecnología que se va utilizando, las complejas amenazas y vulnerabilidades encontradas, como el estudio que se tiene que realizar para subsanar o trabajar en proteger tus sistemas. Si nos vamos al inicio de varios de estos proyectos, podemos indicar que muchas veces es algo engorroso o lento el procedimiento para dar respuesta a dichos requerimientos, que la verdad hay que considerarlos como bastante prioritarios dentro de la búsqueda de algunas soluciones.

En la actualidad, es completamente importante que la Ciberseguridad tenga su respectivo Enfoque Agile y que sus procedimientos sean adaptables y rápidos de ejecutar, considerando de igual manera el ir generando documentación y seguimiento a los respectivos casos solucionados. Los esfuerzos deben enfocarse en anticiparse a las posibles futuras amenazas y no deliberadamente a “apagar incendios”, como muchas organizaciones se acostumbran a vivir.

Si la idea general de nuestra propuesta es generar distintos resultados, literalmente no tenemos que hacer siempre las mismas acciones. Es por esto que en las respectivas reuniones del equipo de trabajo, tenemos que saber qué se ha hecho, que se está haciendo y programar el que se hará, tanto por el equipo técnico como el administrativo.

Debemos generar una Evaluación de Riesgos en un tiempo corto. Con el paso de los días o un par de semanas, volver a realizar la evaluación y así generar una costumbre que genere las respectivas actualizaciones en los planes o el proceso de protección que se realizará.

También se deben crear diferentes planes de acción, sujetos obviamente a las respectivas actualizaciones que genere la Evaluación de Riesgos. Con esto podremos ir remediando activamente los problemas, con los respectivos cambios en las políticas de seguridad y actualizando las estrategias, a nuestro personal y a las tecnologías que se están usando.

Lo fundamental dentro de un Enfoque Agile es la rutina de juntarse con el grupo de trabajo, definir los temas o requisitos que se van a plantear para llegar a nuestro objetivo final, nombrar los jugadores importantes dentro de los grupos que se han formado y a la vez compartir entre todos ellos, la información relevante para cumplir el fin de nuestra organización. La hoja de ruta que se va a implementar debe ser el tema central, así como también verificar lo que se ha hecho, lo que se está haciendo y lo que se tiene que hacer en el tiempo que sea necesario para llegar a la protección total.

De igual manera, tener en cuenta que la protección total o al 100% nunca será alcanzada, es decir, una organización que crea estar protegida al máximo y que no tiene vulnerabilidades, es básicamente porque no ha hecho bien su evaluación de riesgos o no ha definido bien sus puntos débiles. Siempre queda algún remanente o punto débil que no ha sido considerado, como también día a día van surgiendo nuevas vulnerabilidades en los sistemas o nuevas actitudes o ideas dentro de los usuarios.

Ventajas de usar una Metodología Agile en Ciberseguridad

En general la idea del Desarrollo Agile dentro de la Ciberseguridad posee grandes ventajas, dentro de las cuáles podemos encontrar un desarrollo de las soluciones o políticas mucho más rápido, tratando de reducir al máximo los cuellos de botella o estancamientos que se pueden producir ya sea por lentitud en la elaboración o producción de algún sistema. Si se implementa a una velocidad ágil, continua y creciente, podríamos decir que ha tenido éxito y por supuesto que podríamos obtener resultados de inmediato, pero sin perder de vista lo que nos interesa profundamente, la Seguridad.

De igual manera esto nos permite enfocarnos en nuestro cliente, ya que él va a ser quien va a requerir nuestros servicios, produciendo una alta satisfacción y teniendo en cuenta pequeños cambios que este puede producir, por lo que además de todo lo explicado anteriormente es necesario un poco de flexibilidad y colaboración entre los equipos que fluyan en la producción de la solución.

Conclusión

Para finalizar, podemos incluir dentro de este artículo, y de una opinión bastante personal, que sin duda alguna esta metodología es bastante útil a la hora de aplicar la Ciberseguridad, sobre todo en las reuniones, las cosas que se han hecho y que se van a hacer, además de por supuesto la rapidez en encontrar la solución.

Cualquier metodología que tú quieras implementar no servirá de nada si no actualizas tus conocimientos día a día y te esfuerzas por encontrar la solución a tus vulnerabilidades o en la capacitación del personal que trabaja contigo o con tu cliente, como dicen por algunos sectores, el usuario es el eslabón más débil de la cadena.