Las habilidades necesarias para contar con un equipo de ingeniería de seguridad eficaz
Estas son las habilidades esenciales que el liderazgo en seguridad debe inculcar y desarrollar en sus equipos de ingeniería de seguridad.
Los equipos de seguridad están compuestos principalmente por roles relacionados con operaciones, cumplimientos y políticas. Los equipos de ingeniería de seguridad, por otro lado, son constructores. Crean servicios, automatizan procesos y agilizan las implementaciones para respaldar al equipo central y sus partes interesadas. Estos suelen estar compuestos por ingenieros de software e infraestructura, arquitectos y gerentes de productos.
La mentalidad colectiva de estos departamentos es también la de un constructor, pero difiere bastante de la de un pentester o de la de un evaluador de gestión de riesgos de terceros. Esto presenta un desafío para los CISO que, a medida que los equipos de ingeniería de seguridad continúan creciendo, deben ser intencionales en su estructura y desarrollo. Las tres áreas de enfoque necesarias para un equipo de ingeniería de seguridad de alto rendimiento son las habilidades técnicas fundamentales, las habilidades de liderazgo y las habilidades ‘blandas’ individualizadas.
Habilidades técnicas de ingeniería de seguridad
La ingeniería es fundamentalmente una disciplina técnica por lo que su función está enraizada en la tecnología. Estas son las habilidades que deben tener estos equipos:
Comprender el entorno técnico
Qué es clave comprender y trabajar dentro de un entorno técnico parece una afirmación obvia, pero es necesario decirlo. Por ejemplo, si su organización está implementando servicios en Kubernetes y su equipo de ingeniería nunca ha tocado un contenedor, eso podría ser problemático. No es un factor decisivo, pero operar con un alto nivel de aptitud técnica en torno a las tecnologías en todo el entorno se correlacionará positivamente con la eficiencia y la eficacia.
Un contrapunto a esto es la infusión intencional de diversidad en un equipo. Con esto me refiero a la diversidad de conjuntos de habilidades, perspectivas en la resolución de problemas y niveles de experiencia en diferentes partes de una organización. Por supuesto, hay muchas maneras de buscar y curar esa diversidad en un equipo, desde el género y el origen étnico hasta la formación académica, la experiencia laboral anterior y la edad. La diversidad puede ser un poderoso aditivo para la energía creativa de un equipo a medida que las ideas se cuestionan, debaten e iteran.
Sin embargo, los líderes deben gestionar la diversidad entre perspectivas y experiencias con cuidado. Los niveles excesivos de variación y fricción en el proceso de pensamiento y colaboración pueden tener el efecto contrario previsto. Esto conduce con frecuencia a la parálisis del análisis en la que los equipos se quedan atrapados en un estado de pensar en hacer en lugar de hacer. Una condición similar que puede surgir de equipos demasiado diversos es un conjunto complejo de resultados interdependientes que tienen condiciones de falla vinculadas. En Drifting into Failure, Sidney Dekker explora este concepto con más detalle observando las condiciones culturales relacionadas con sistemas interdependientes complejos.
Poseer toda la administración
Los equipos de ingeniería de seguridad deben poder construir y operar los servicios que producen. Tú lo construyes. Tú lo ejecutas. Este nivel de propiedad dentro de un grupo es vital desde el punto de vista de la competencia técnica y cultural, ya que marca la pauta en torno a la responsabilidad. Técnicamente hablando, un equipo que puede poseer sus servicios administrará de manera competente la infraestructura, las herramientas de CI/CD, las herramientas de seguridad, el código de la aplicación, las implementaciones y la telemetría operativa emitida desde un servicio. Además, es probable que las habilidades que respaldan todo ese apoyo como equipo sean altamente transferibles para apoyar a otros grupos en toda la organización.
Adoptar la experiencia del desarrollador
Los equipos que entienden, aceptan y optimizan DevX probablemente sean más favorecidos. Más allá de eso, tendrá un enfoque particular en eliminar la fricción. La fricción hace que las cosas tomen más tiempo y cuesten más, crea ciclos de aprendizaje más largos y puede llevar a la frustración. Menos fricción hará que las cosas funcionen generalmente mucho más suaves.
A veces la fricción es necesaria y debe ser intencional. Un ejemplo es una revisión forzada de código en código crítico antes de fusionarlo. Si ese flujo de pausa, revisión y fusión se basa en una decisión intencional, eso es una fricción intencional justificada. Si el equipo de seguridad persigue la fricción en el proceso de lanzamiento del desarrollador, debe basarse en necesidades específicas, por ejemplo, un control de cumplimiento que especifique una revisión manual como parte de la gestión de cambios. Estos controles no deben implementarse sin una cuidadosa consideración; la fricción presentada a los desarrolladores representa un costo de oportunidad que podría superar cualquier riesgo mal definido que esté considerando el equipo de seguridad.
Los equipos de ingeniería de seguridad que adoptan la experiencia del desarrollador como una prioridad de primera clase deberán comprender las herramientas y los flujos que se utilizan para escribir software de calidad en diferentes capas de la pila. Adoptar esa mentalidad de desarrollador primero podría exigir habilidades de ingeniería de infraestructura o plataforma. Por otro lado, el resultado de un equipo de ingeniería de seguridad puede afectar a otros que también están involucrados en el trabajo de automatizar flujos de trabajo, conectar servicios entre sí y, en esencia, instrumentar cada vez más un entorno para escalarlo. Todo este trabajo ayuda a los desarrolladores a moverse más rápido y con menos fricción. Menos fricción conduce a más flexibilidad y más velocidad en la entrega. Independientemente, este es un rasgo y una guía que beneficiará a un equipo de ingeniería de seguridad en su productividad y en el fomento y cultivo de la empatía de aquellos a quienes sirve.
Liderazgo en ingeniería de seguridad y habilidades de colaboración.
Los equipos de ingeniería de seguridad no trabajarán en el vacío, independientemente del alcance y la carga del proyecto. Trabajar al lado y al servicio de los demás es un ingrediente esencial de la misión. Es una parte necesaria del todo, ayudando a otros a avanzar hacia resultados exitosos.
Comunicarse y colaborar
Los miembros del equipo de ingeniería de seguridad deben poder comunicarse entre sí y con las partes interesadas fuera del grupo. Además, deben tener la actitud de trabajar bien juntos para lograr objetivos compartidos. Comprender cuáles son los problemas, cuáles son los puntos de fricción, dónde están las limitaciones y cómo puede ayudar el desarrollo basado en la seguridad. Estas áreas de preguntas de sondeo revelan cuáles son las cosas correctas. En última instancia, hacer lo correcto es más importante que simplemente trabajar de manera eficiente.
Todas estas preguntas deben ser exploradas a través de esfuerzos intencionales de comunicación y colaboración. Esto podría manifestarse en principios de diseño centrados en el ser humano, recursos basados ??en matrices o una alineación basada en topologías de equipo. Por supuesto, no existe una forma única para comunicarse y colaborar entre equipos. Independientemente del enfoque, se basa en la creación de confianza, la empatía, el interés en objetivos compartidos y la voluntad de dejar de lado el orgullo por la misión.
Liderar e influir en los demás
Seth Godin, autor de éxitos de ventas y experto en marketing, postula que cualquiera puede ser líder, que es una elección, no un título. Se trata de la intersección de ideas, una brecha en la dirección y alguien lo suficientemente motivado para dar un paso al frente.
El éxito de los equipos de ingeniería de seguridad, al igual que otros en la organización de ciberseguridad, se encuentran en una posición en la que el "éxito" depende de otros. Es independiente del rendimiento del equipo, por óptimo que sea. Dicho de otra manera, no puedes simplemente construirlo e irte. Debe escuchar a los demás, involucrarlos, influenciarlos para que adopten y más.
Todo eso requiere liderazgo. Específicamente, liderazgo sin autoridad. Los miembros de un equipo de alto rendimiento deben poder emprender y ayudar a guiar al propio equipo de ingeniería de seguridad y generar y utilizar influencia fuera del grupo. Eso podría suceder con las partes interesadas del mismo nivel, o podría ser con los clientes internos de un servicio. Liderar sin autoridad acercará al equipo a resultados exitosos, independientemente de quién sea. Reunir relaciones sólidas, conocimiento y contexto organizacional y experiencia técnica para influir en otros.
Habilidades blandas para ingenieros de seguridad
Un ingeniero de seguridad y la base de habilidades del equipo en general deben continuar más allá de la comunicación y la colaboración. En este contexto, las habilidades blandas se referirán a la miríada de habilidades no técnicas que están más enfocadas internamente y son complementarias a las habilidades técnicas.
Gestión de tiempos y prioridades
Siempre habrá más que hacer, y la capacidad de ingeniería probablemente comenzará a invitar a solicitudes para construir, fortalecer, parchear o, en general, comenzar a entrometerse con el software en un entorno: más capacidad, más demandas, más cosas que hacer.
El tiempo es la limitación universal para todos los equipos. Por eso, tanto los individuos como los equipos deben volverse más efectivos a la hora de priorizar lo que importa. Ser eficiente pero hacer las cosas mal no genera progreso. Existen muchas técnicas para priorizar el trabajo, el valor frente a la complejidad y centrarse en la satisfacción del cliente o ponderar varios factores. Los requisitos del cliente y de cumplimiento son a menudo responsables de impulsar las prioridades del equipo. El enfoque de priorización importa menos que la adherencia despiadada a la priorización y la protección contra el impulso interminable de solicitudes que ocupan más tiempo precioso.
Adaptabilidad
Los equipos de ingeniería de seguridad deben poder adaptarse a los requisitos, tecnologías y circunstancias cambiantes. Esta es una de las alegrías de trabajar en seguridad y tecnología. Las cosas están cambiando constantemente.
La adaptabilidad es más que la priorización de una tarea sobre otra. Adaptar el enfoque a un problema en función de las necesidades de las partes interesadas. Adaptarse a los intereses de propiedad en función del crecimiento del equipo y las necesidades cambiantes de las partes interesadas e involucrar intencionalmente a un grupo diverso de voces en el proceso de resolución de problemas. Adaptación de procesos y flujos de trabajo en lugar de solo tecnología.
Todos estos son ejemplos de formas en que un equipo de ingeniería de seguridad puede adoptar la adaptabilidad. El beneficio para las partes interesadas y la organización de seguridad en general a través de todo esto es la agilidad y la fluidez. Un equipo ágil es un equipo más resiliente.
Aprendizaje continuo
Sobre la base de la adaptabilidad, un equipo que pueda aprender continuamente nuevas habilidades, contexto organizacional, políticas y formas de trabajar no solo es sabio sino necesario en el mundo en rápido movimiento en el que vivimos hoy.
Los miembros del equipo de ingeniería de seguridad deben evolucionar constantemente, renovarse y construir sobre modelos mentales y experiencias existentes. Adam Grant explora esto en detalle en Think Again, donde explora la noción de tomar modelos mentales de experiencias pasadas, extenderlos y conectarlos para resolver nuevos problemas. Esta construcción de modelo mental permite a las personas entrar en situaciones con atributos similares a algo en lo que pueden haber trabajado antes y comenzar a contribuir, explorar y hacer.
El aprendizaje continuo también puede tener un efecto dominó en la cultura de una organización. El conocimiento lleva a compartir; compartir crea discusión y discutir cosas nuevas despierta interés y conversación. Esta evolución colectiva de los modelos mentales que impregnan la organización y cómo los equipos se involucran y se relacionan con la seguridad hace avanzar la cultura colaborativa.
Trabajar en este campo altamente especializado no significa que un equipo de alto rendimiento solo pueda enfocarse en la tecnología. Las personas, la exploración de problemas, la construcción de relaciones y la priorización son ingredientes esenciales del equipo de ingeniería de seguridad de alto rendimiento. Tome nota para invertir y curar estos elementos a medida que construye el suyo.
