“Debemos impulsar una comunidad global de ciberseguridad para involucrar a las personas”

La ciberseguridad es, hoy día, un activo transversal a cualquiera de los pilares fundamentales que componen una organización. En el caso de Appian, compañía forjada originalmente en torno al low-code y el desarrollo de software, también. De hecho, la firma con sede en Virginia ha utilizado la celebración del Appian World 2023 como telón de fondo para visibilizar su rol en el terreno corporativo. Entrevistamos, en el marco del evento, a Andrew Cunje, Chief Information Security Officer (CISO, por sus siglas en inglés) de la compañía. Un encuentro que toma el pulso al sector mundial de la ciberseguridad, descifra la estrategia en la materia de Appian e incide en la necesidad de confeccionar una comunidad global con el firme propósito de “involucrar a las personas” en este cometido. A fin de cuentas, “garantizar que los activos que nos interesan están a salvo es responsabilidad de todos”. Así ha hablado para CSO España.

El escenario actual de la seguridad está marcado por un incremento exponencial de las ciberamenazas, una mayor sofisticación de los ataques y continuas nuevas técnicas y herramientas. Dada su experiencia y bagaje, ¿cómo lo ve en la actualidad?

El panorama de las ciberamenazas ha crecido de forma exponencial. De hecho, no dejamos de leer en las noticias cómo se están sucediendo cada vez más brechas de seguridad. Sin embargo, ante esto, ha habido una significativa respuesta reguladora, así como una respuesta de cumplimiento por parte de diversas entidades. Por ejemplo, se ha impulsado una nueva Estrategia Nacional de Ciberseguridad en Estados Unidos y el RAP está cambiando algunas de sus disposiciones.

En la actualidad hemos detectado un aumento de la privacidad, más allá del propio sujeto de los datos. Otras cuestiones en las que se está poniendo el foco más allá de esto es en los controles, la orientación y en la resistencia y resiliencia de las plataformas de seguridad. Esto significa que cuestiones como la confianza cero copan ahora los titulares y noticias de todos los proveedores de seguridad.

Teniendo en cuenta su rol como CISO de Appian, ¿qué desafíos enfrenta hoy en día?

Volvemos al punto de origen, el contexto de las ciberamenazas no ha dejado de sofisticarse, así que una de las cosas que tenemos que hacer es mantenernos muy conectados con la industria y asegurarnos de que sabemos cuáles son las últimas técnicas, tácticas, protocolos que están siendo utilizados por los actores maliciosos. Mantenerse a la vanguardia significa también estar a la ofensiva. En la Estrategia Nacional de Ciberseguridad, hay una parte que versa sobre este aspecto. Se trata de comprender cuáles son las técnicas empleadas para, posteriormente, ser capaz de rearmar el combate contra ellos.

Por otro lado, debemos fijarnos en la estrategia de confianza cero que se centra en el mínimo privilegio y, a partir de ahí, aplicar el híper mínimo posible. Debes conocer todo el tiempo quién accede, cuál es la base recurrente, qué sistema o usuario tiene acceso a las cuentas o divisiones correctas y cuáles no. En el diseño de aplicaciones de Appian verás cómo [el sistema] se detiene en cada fase para asegurarse de que el acceso y la política que se asocia con un objeto se aplican de manera coherente en toda la cadena.

¿Cuál es la estrategia de Appian en materia de ciberseguridad? ¿Podría comentarnos sus bullet points?

Yo diría que está muy relacionada con los valores de la compañía. Una de las cosas de las que habla Matt Calkins es hacer menos cosas mejor. Así que cuando observamos un panorama de seguridad en el que aumenta el número de herramientas, sensores y sistemas, una de las cosas que tenemos que hacer es pensar en cómo podemos consolidar todas esas piezas de información en un único lugar en el que poder hacer inferencias. En cuanto a los datos, hemos publicado una entrada en nuestro blog sobre la plataforma Appian Soar basada en la seguridad, orquestación, automatización y respuesta. Una de las cosas que aprovechamos en ese tipo de plataforma en la que supervisamos la seguridad de Appian es el tejido de datos. Esta es, definitivamente, la clave para el punto de pivote central: obtenemos información de varios sensores para luego ser capaces de elevar la respuesta y brindar algo útil.

"El contexto de las ciberamenazas no ha dejado de sofisticarse, así que debemos mantenernos muy conectados con la industria y asegurarnos de que sabemos cuáles son las últimas técnicas, tácticas, protocolos que están siendo utilizados. Mantenerse a la vanguardia significa también estar a la ofensiva"

 

Andrew Cunje, CISO en Appian

¿En qué tecnologías se apoyan para desarrollar dicho roadmap?

En la analítica de datos, pero hay mucho más allá de la propia tecnología. Por ejemplo, tal como he mencionado antes, nos respaldamos en la comunidad de seguridad, en ese equipo global azul. Hay una especie de estrato de alta confianza donde nosotros, nuestros socios o clientes, las regulaciones que tienen, los estándares de seguridad que tienen, son similares a través de los ecosistemas. Así que cuando nos fijamos en esa estrategia, queremos asegurarnos de que elevamos el listón de la seguridad al mismo lugar para todos nuestros clientes en todas partes. Hay un gran ejemplo en Australia. Trabajamos con uno de nuestros clientes, Westpac, en algunos términos y necesidades de seguridad específicos en los marcos de Irak. Parte de nuestra estrategia incluye el aislamiento regional. Como saben, con las normas de privacidad, los datos deben permanecer dentro del país, al igual que ocurre en nuestros entornos FedRAMP para el Departamento de Defensa y los clientes estadounidenses. Así que el aislamiento es otra baza muy importante.

¿En qué áreas relacionadas con la ciberseguridad concentra Appian su presupuesto?

Esa es una buena pregunta [ríe]. Creo que, en realidad, debemos mirar la totalidad de la estrategia cibernética, donde tienes, digamos, implementaciones técnicas. Sin embargo, creo que se hace especial hincapié en el cumplimiento de la confianza, en el trabajo de gobierno y en el programa de campeones de seguridad de la compañía, ya que el organigrama interno de la empresa lo componen personas. Este es uno de los aspectos más importantes porque queremos permitir que todo el mundo pueda formar parte de ese concepto de equipo azul global. No obstante también hay que considerar la capacidad de la organización de moverse rápido para el cliente, permitiendo a los ingenieros desarrollar de forma muy rápida, productiva, pero de una manera segura, utilizando algunas de las últimas estrategias de seguridad en DevOps.

Puerta de entrada al Appian World 2023 celebrado en la ciudad de San Diego. Créditos: CSO.

Muchos CISO hablan hoy en día de un cambio de mentalidad de la alta dirección respecto a la ciberseguridad, asegurando que los ejecutivos son más proclives a invertir en ella. ¿Lo ha notado usted?

Sí, creo que si nos fijamos en las tendencias, es exponencial. De hecho, el aumento de la regulación y la respuesta reguladora es parte de la motivación del cambio. Se está viendo un aumento en todas las industrias. Una de las cosas interesantes de Appian es que, cuando se creó por primera vez, era para uno de los casos de uso más delicados, el militar. Así que creo que Appian ha estado muy por delante de la curva en términos de sus inversiones en seguridad.

¿Entraña algún riesgo el low-code para la seguridad de empresas y organizaciones?

Yo no diría que hay problemas necesariamente en términos de desarrollo de código bajo, sino más bien, que el low-code es una vía para crear coherencia en la política de seguridad que se construye dentro de una aplicación. Con esto me refiero a que, con Appian, cuando desarrollas políticas de seguridad para objetos en los diferentes conjuntos de datos, dichas políticas son reutilizables por los desarrolladores de Appian dentro de tu organización, por lo que estás recibiendo el mejor tipo de seguridad integrada.

¿Por qué cree que hay quien alerta de ello?

Creo que la gente está preocupada por esto debido, en parte, al cumplimiento. Si nos fijamos en la seguridad de la cadena de suministro, actualmente hay un enfoque en la bomba S y el código de confianza que realmente se está convirtiendo en un determinante crucial de la confianza. Así, cada vez que un cliente está listo para comprar Appian, les facilitamos una copia de esa bomba S que realmente muestra una lista de vulnerabilidades que tiene Appian. Estamos muy orgullosos de poder ofrecérsela directamente a nuestros clientes porque es una muy buena higiene de seguridad dentro de nuestro desarrollo de código.

También se alerta sobre cómo las crecientes tensiones geopolíticas avivan el panorama de amenazas actual, ¿qué opina sobre esto?

Es un hecho, también lo hemos podido ver con la guerra de Ucrania. La estrategia de ciberseguridad estadounidense es una muestra de cómo todo el mundo está jugando un papel en el equipo azul global en este momento. De este escenario se desprende también un auge de los ciberactivistas.

Community Hub, en el marco de la celebración del Appian World 2023. Créditos: CSO.

El tema del momento para el sector es la irrupción de ChatGPT y el auge de la inteligencia artificial. ¿Qué ha supuesto para la industria?

Va a ayudar a aumentar todas las unidades de negocio, a potenciar a las organizaciones, no va a sustituir a los trabajadores, pero va a hacer que las personas sean más eficiente. Su utilización dependerá al final de si estás en el equipo azul o rojo. Hay que tomar ventaja de las herramientas que tenemos hoy en día a nuestra disposición. Por otro lado, creo que la IA privada es el camino a seguir. Garantizar que cualquier caso de uso de IA en el que se embarque una organización asegure que sus datos permanezcan privados, que los sujetos de los datos de sus casos de uso permanezcan privados y que cualquier propiedad intelectual que creen con esos servicios permanezca dentro de la organización.

¿Está implantando actualmente la IA en su división?

Sí, en los últimos dos años hemos invertido en inteligencia artificial dentro de la pila de seguridad, con una aplicación en nuestra protección de puntos finales, nuestra función de análisis de amenazas y los sensores de red que entran en nuestro entorno.

Hablando de hot topics, ¿qué tendencias de ciberseguridad imperarán este 2023?

Uno de los temas de los que más se viene hablando es la privacidad y el cumplimiento. La segunda tendencia que tenemos es el impulso de la cadena de suministro digital. A continuación, la consolidación, de la que ya hemos hablado. El número de herramientas es exponencial, así que tenemos que asegurarnos de que estamos obteniendo un buen valor de las inversiones que estamos acometiendo y de la seguridad. Por otro lado, el desarrollo de una plataforma resistente: cero confianza, fuerte identidad, autenticación continua, híper mínimo privilegio, cifrado en todas partes… La quinta tendencia gira en torno a la conciencia y las decisiones distribuidas. Se trata de la comunidad. En primer lugar, asegurarse de que la comunidad entiende cómo los actores de la amenaza podrían ir a por ellos. Por otro lado, mostrar decisiones puente donde hablamos de campeones seguros, donde tenemos que ser ágiles en la seguridad para seguir el ritmo del actor de la amenaza. Voy de nuevo, de vuelta, a esa comunidad. Es lo más importante para que la gente se involucre en los equipos de seguridad de varias organizaciones de todo el mundo.