La evolución del liderazgo en seguridad en la alta dirección

Una conversación con Chris Rothe, cofundador y director de tecnología de Red Canary

La seguridad se ha convertido en una prioridad estratégica para casi todas las organizaciones en la actualidad; sin embargo, no siempre fue así. En esta entrevista a líderes de seguridad, hablamos con Chris Rothe, cofundador y director de tecnología de Red Canary, para conocer su perspectiva sobre la evolución del liderazgo en seguridad durante los últimos años.

Escuche el encuentro de Chris con Clarke Rodgers, Director of AWS Enterprise Strategy, en el que comparte sus opiniones sobre diferentes temas, desde el papel de la seguridad en la alta dirección hasta la contratación de talento en seguridad y cómo las empresas pueden beneficiarse de manera segura de la IA generativa.

Conozca a Chris Rothe, cofundador y director de tecnología de Red Canary

Experiencias digitales que generan confianza en los clientes

Clarke Rodgers (00:09):
Chris, muchas gracias por estar hoy aquí.

Chris Rothe (00:11):
Es un placer, gracias por invitarme.

Clarke Rodgers (00:13):
Bien, si te parece, háblame un poco sobre tu experiencia y tu función en Red Canary.

Chris Rothe (00:17):
Soy director de tecnología y cofundador de Red Canary. Nos movemos en el ámbito de la detección y la respuesta. Antes de fundar la empresa, trabajé en el procesamiento de datos satelitales, que consiste en “recopilar una gran cantidad de datos y aplicar algoritmos interesantes”. Después, pones todos los elementos de interés al servicio de los analistas para que tomen decisiones, lo que, dicho sea de paso, es muy similar a lo que hacemos en ciberseguridad.

Clarke Rodgers (00:39):
Llevas bastante tiempo en la industria de la ciberseguridad. Nosotros tenemos la broma de que antes tenían al director de seguridad en el sótano y ahora está en la sala de juntas. ¿Cómo has percibido esa evolución?

Chris Rothe (00:49):
Creo que lo más importante es que ha pasado de ser un rol técnico a otro mucho menos técnico y mucho más político, fundamental para abogar por la seguridad en toda la organización e incorporar la seguridad en la cultura. Además, para las personas como nosotros que tienen plataformas SaaS, también es un rol muy orientado al cliente a la hora de garantizar que los clientes confíen en que protegemos sus datos.  

Definir el valor empresarial de la seguridad

Experiencias digitales que generan confianza en los clientes

Clarke Rodgers (01:16):
Cuando hablas con los clientes desde tu rol, ¿cómo articulas el valor empresarial de la seguridad?

Chris Rothe (01:21):
A fin de cuentas, el riesgo empresarial tiene que ver con el riesgo financiero. Es un aspecto que toma diferentes formas según la industria en la que trabajes. Si te dedicas a los servicios financieros, lo importante es tu reputación y asegurarte de que las personas te confíen su dinero. Si te dedicas a la fabricación, la atención médica o algo parecido, se considera un riesgo operativo garantizar que las máquinas sigan funcionando o que las personas sigan con vida en el escenario de la atención médica.

Y de eso se trata realmente, si puedes llegar al punto en el que hablas de dinero, y luego de cómo podemos mejorar la relación entre riesgo y dinero, la conversación suele llegar a buen puerto.

A veces, la gente no quiere hablar de eso. Quieren hablar sobre los aspectos técnicos y sobre cómo me ayudas a reducir la cantidad de incidentes de seguridad que tengo, y ese tipo de cosas de nuestro mundo. Y eso también es estupendo. En última instancia, todas esas cosas se relacionan con los costos en algún momento.

Clarke Rodgers (02:06):
Entonces, de manera interna en Red Canary, ¿cómo se aumenta la eficacia del equipo de seguridad y se asegura de que ese desarrollador solitario se preocupe por la seguridad y piense en ella en su vida diaria?

Contratación, formación y creación de una cultura de seguridad en Red Canary

Experiencias digitales que generan confianza en los clientes

Chris Rothe (02:22):
Es extremadamente importante para nosotros. Como empresa de seguridad, estamos sujetos a un estándar más alto. Por lo tanto, es importante que todo el personal de la empresa se preocupe por la seguridad de nuestra empresa y de las de nuestros clientes. Hemos hecho varias cosas a lo largo de los años para asegurarnos de que sea algo nativo para todos los roles. Por ejemplo, en nuestro ciclo de vida de desarrollo de software, contamos con especialistas en seguridad de productos que forman parte de cada equipo Scrum. Por lo tanto, forman parte de la planificación del sprint, parte de la planificación inicial. No se trata de “vamos a armar un diseño y luego preguntarles a los de seguridad si está bien”. Están ahí durante todo el camino. Y eso es algo realmente fundamental.

Además, nos aseguramos de que las comprobaciones de seguridad y el análisis estático, o cualquier otra cosa que vayamos a hacer, sean nativos del entorno en el que trabajan los desarrolladores. Que estén integrados en la canalización de CI/CD. No hay que hacer un esfuerzo adicional. Solo tienes que aprobarlo todo antes de que fusionemos el código. De modo que este enfoque se adapta a los desarrolladores sin que suelan producirse interrupciones.

Clarke Rodgers (03:17):
Está muy extendida la dificultad de encontrar buenos profesionales de seguridad. Así que tienes que contratarlos, retenerlos o formarlos. ¿Cuáles son las estrategias que utilizaste en Red Canary para reforzar de veras las capacidades de los profesionales de seguridad?

Chris Rothe (03:31):
Nuestro objetivo es que los profesionales de seguridad de nuestro equipo no tengan que hacer un trabajo repetitivo, arduo e “indiferenciado”, por usar un término de AWS.

Clarke Rodgers (03:40):
Sí.

Chris Rothe (03:40):
No deben hacerlo durante más del 60 % de su día. Si pierden más del 60 % del día, traspasan una especie de umbral mágico en el que comienzan a aburrirse de la naturaleza repetitiva de ese trabajo. Así que creamos herramientas y recursos de automatización que puedan usar; buscamos patrones repetitivos y desarrollamos herramientas con machine learning, inteligencia artificial, etc., que les permitan delegar ese trabajo pesado e indiferenciado, de modo que puedan centrarse en otras cosas más interesantes.

Cómo aprovechar la IA generativa y, al mismo tiempo, minimizar los riesgos de seguridad

Experiencias digitales que generan confianza en los clientes

Clarke Rodgers (04:09):
Mencionaste las herramientas y la automatización. La IA generativa está de moda en estos días, ¿verdad? Como profesional de la seguridad, ¿qué opinas de esto? Es decir, “¿cómo voy a gestionar los riesgos que conlleva su uso?”, pero también como propietario de una empresa, ¿estás pensando en las ventajas que te puede aportar? ¿Podrías hablar un poco sobre eso?

Chris Rothe (04:31):
Desde el punto de vista del riesgo, creo que nuestro punto de partida fue: “asegurémonos de que contamos con las protecciones adecuadas para no utilizar contenido creado por una IA del que no tengamos claro quién es el propietario”. Por eso, hemos adaptado algunas barreras de protección para hacer frente a eso.

Aun así, en términos generales, queremos que todos los miembros del equipo de Red Canary utilicen la IA generativa de una manera que tenga sentido para sus roles. Si eres vendedor y cuelgas tras una llamada excelente con un cliente y necesitas preparar un correo electrónico de seguimiento, hagamos que eso sea más rápido y mejoremos la calidad de esa comunicación. Porque, en última instancia, eso es mejor para el cliente y mejor para ti, porque te llevó cinco minutos en lugar de quizás una hora. Así que ese ha sido nuestro enfoque, asegurarnos de que todo el mundo pueda usar esa tecnología de manera segura.

Sin embargo, creo que estamos en una etapa temprana en cuanto a descubrir cuáles son las dificultades y cuáles son los desafíos asociados a esta tecnología o qué tipo de cuestiones legales van a surgir en los próximos años en relación con la IA generativa. En lo que respecta a cómo la utilizamos específicamente en seguridad, la idea o construcción de un copiloto es lo que más nos gusta.

Durante años hemos pensado en nuestra plataforma de seguridad como… Es una analogía un poco tonta, pero es como un robot de combate pilotado, en el que podemos meter a un soldado relativamente normal en una máquina loca con lanzacohetes y con la que puede correr más rápido y saltar más alto, y todo ese tipo de cosas. La IA generativa nos brinda algunas herramientas nuevas y excelentes para ir aún más lejos y averiguar cómo podemos hacer que ese proceso de investigación sea más rápido, completo, preciso y, en última instancia, para que podamos encontrar y detener las amenazas antes.

Estas son algunas de las aplicaciones que estamos considerando. El gran desafío en materia de seguridad, en definitiva, es que no hay suficientes personas para todos. Por eso es tan importante el trabajo que realiza AWS para hacer que la plataforma sea más segura y los servicios más seguros, centímetro a centímetro, kilómetro a kilómetro. Además, fuera de ese mundo, es importante que aprovechemos los recursos bastante escasos que tenemos en términos de profesionales de la seguridad y no los agotemos con trabajos arduos. Hay que brindarles herramientas que les permitan hacer grandes cosas.

Consideraciones de seguridad al usar múltiples nubes

Experiencias digitales que generan confianza en los clientes

Clarke Rodgers (06:42):
Del mismo modo, hablas con muchos clientes y muchos de esos clientes utilizan más de una nube. ¿Cómo los asesoras sobre los aspectos de seguridad y los desafíos que puede presentar la protección de múltiples nubes?

Chris Rothe (06:58):
En términos generales, intentamos impulsar una agenda basada en “asegurémonos de que tienes el mismo conjunto de controles y la misma comprensión de los datos y el acceso en cualquier plataforma que utilices, ya esté en la nube o en las instalaciones”. Es algo así como los cimientos. Debemos asegurarnos de saber quién tiene acceso, a qué tienen acceso y cómo vamos a saber si pasa algo malo.

Clarke Rodgers (07:21):
Y supongo que los resultados de seguridad deberían ser los mismos que se están definiendo, ¿verdad?

Chris Rothe (07:25):
Por supuesto. Y si no puedes lograr ese resultado con una plataforma en la nube en particular o con alguna otra, tal vez sea el momento de ponerla en tela de juicio y considerar si debemos usarla o no. Si la seguridad no está en primer plano y no es posible de la manera en que debería serlo para ese tipo de conjunto básico de controles, ¿por qué está en tu arquitectura?

Y esas son conversaciones difíciles porque las personas invierten mucho en su estrategia relacionada con la multinube. Pero creo que, en última instancia, asegurarnos de que entendemos qué controles deben existir y cómo, en definitiva, vamos a encontrar al malo, es el punto de partida. Si no se puede responder a eso, entonces necesitamos repensar nuestra arquitectura o estrategia.

Clarke Rodgers (08:07):
Es una perspectiva estupenda. Chris, muchas gracias por estar conmigo hoy.

Chris Rothe (08:12):
Gracias por la invitación. Ha sido un placer.

Chris Rothe, cofundador y director de tecnología de Red Canary

Chris Rothe
Cofundador y director de tecnología de Red Canary

Chris cofundó Red Canary en 2014, dirige la estrategia técnica y ha creado muchas de las herramientas y los equipos que Red Canary utiliza para captar y atender a clientes en la actualidad. Antes de cofundar Red Canary, Chris dirigió equipos de desarrollo de software y diseñó grandes sistemas de procesamiento de datos para la comunidad de defensa e inteligencia.

Clarke Rodgers
Director, AWS Enterprise Strategy

Como Director of Enterprise Strategy de AWS con amplia experiencia y habilidades en seguridad, a Clarke le apasiona ayudar a los ejecutivos a explorar la forma en que la nube puede transformar la seguridad, además de trabajar con ellos para encontrar las soluciones empresariales adecuadas. Clarke se incorporó a AWS en 2016, pero su experiencia con las ventajas de seguridad de AWS comenzó mucho antes de formar parte del equipo. En su papel de CISO de un proveedor multinacional de reaseguros de vida, supervisó la migración total de una división estratégica a AWS.

  • Fecha de publicación
  • Orden alfabético (A-Z)
  • Orden alfabético (Z-A)
 No pudimos encontrar ningún resultado que coincida con su búsqueda. Intente realizar una búsqueda diferente.

Dé el siguiente paso

PÓDCAST

Escuche y aprenda

Escuche a los líderes ejecutivos y a los estrategas empresariales de AWS, todos ellos antiguos miembros de la alta dirección, hablar de sus procesos de transformación digital.

LinkedIn

Manténgase al tanto

AWS Executive Connection es un destino digital para líderes de tecnología y negocios, en donde compartimos información.

EVENTOS EJECUTIVOS

Vea bajo demanda

Obtenga información de sus homólogos y descubra nuevas formas de impulsar su camino hacia la transformación digital a través de esta exclusiva red internacional.

Conversaciones con la alta dirección

Inspírese

Escuche cómo los líderes de AWS y de los clientes debaten sobre sus prácticas recomendadas, lecciones y pensamiento transformador.