Entrevista exclusiva con LzBeth Malig
Para celebrar el último día del Mes de la Historia de la Mujer de este año, LzBeth Malig, Directora de Seguridad de la Información y Cumplimiento Normativo de Concord Technologies, se sentó en una entrevista exclusiva con Tyler Gowen , Director de Alyne en Norteamérica, para compartir cómo Concord Technologies aprovechó a Alyne para racionalizar sus procesos de seguridad de la información y cumplimiento normativo, así como algunas ideas del sector como mujer líder en seguridad.
Acerca de Concord Technologies
Concord Technologies es la empresa líder del sector en el desarrollo de nuevas tecnologías de Inteligencia Artificial. Concord se basó en un principio sencillo: cuidar de las personas y facilitar el intercambio de información. En los últimos 20 años, Concord ha pasado de ser una modesta empresa dirigida y gestionada en Seattle a una organización internacional en la que confían sus datos críticos más de 200.000 usuarios. En la actualidad, son responsables del envío y la recepción de millones de documentos diarios en los sectores sanitario, tecnológico y financiero. Con una tasa de retención de clientes del 97% y una fiabilidad de entrega sin parangón en el sector, Concord se compromete a ser el socio al que las organizaciones pueden confiar sus datos.
Acerca de LzBeth Malig
Lzbeth Malig es una jefa de seguridad de Concord Technologies que ve la seguridad como un factor de negocio, más que como un centro de costes. Cree firmemente que la seguridad debe ser un equilibrio entre riesgo, facilidad de uso y coste, y que la práctica de la seguridad debe ser una norma en cualquier organización. LzBeth Malig lleva más de 20 años en el campo de las tecnologías de la información y siempre ha estado interesada en el aspecto de la seguridad, que le parece sumamente fascinante. Según LzBeth, por suerte (o por desgracia), no es tan emocionante como lo pinta la industria del entretenimiento, y en este sector, los malos no llevan sudaderas con capucha. Son mucho más sofisticados. Su puesto actual la pone detrás de un escritorio leyendo y escribiendo mucho, ya que una gran parte de la seguridad son las políticas, los procesos y los controles, colaborando a diario con el departamento jurídico en lo relativo a contratos y acuerdos. También trabaja en toda la empresa para el programa de gestión de riesgos, la continuidad de las actividades, la obtención de apoyo para las "cosas" de seguridad, y también está a cargo de dirigir las auditorías anuales.
Cómo aprovecha Concord Alyne para agilizar sus procesos de seguridad y conformidad de la información
Tyler: ¿Cuáles eran los mayores retos a los que se enfrentaba su organización antes de utilizar Alyne?
LzBeth: Muchas herramientas GRC proporcionan una declaración de control sin proporcionar el contexto adecuado, por lo que el departamento de seguridad de la información y cumplimiento tiene que proporcionar detalles sobre los controles, convertir cada control en una pregunta, determinar los artefactos que se necesitan, etc. Esto requiere tiempo y esfuerzo.
Una función exclusiva de Alyne que ha resuelto este problema es el formato de preguntas y respuestas de Alyne, que facilita la documentación de los controles, su correspondencia con la normativa y la realización de evaluaciones. Con Alyne, aparte de la declaración de control, hay una pregunta de evaluación específica, opciones de respuesta específicas para la madurez y la capacidad de automatizar la sugerencia de pruebas pertinentes para respaldar las respuestas de la evaluación. Además, cada tema de evaluación o pregunta individual puede delegarse a diferentes personas, de modo que no hay que perseguir a nadie por correo electrónico. Esto ahorra tiempo y genera eficiencia operativa.
Tyler: ¿Cómo aprovecha su organización la solución de Alyne?
LzBeth: En la actualidad, en Alyne nos centramos en realizar evaluaciones de los controles.
Tyler: ¿Qué diría que hace única a Alyne?
LzBeth: Una singularidad que encuentro muy útil es el análisis de riesgos descendente. Alyne es la única herramienta que proporciona un análisis de riesgos automático a partir de las evaluaciones de control. Una vez que se responde a las preguntas específicas de la evaluación de control, aparece una lista de riesgos potenciales derivados de la respuesta a la evaluación. Esto se debe a que Alyne ha asignado cada control a una amplia biblioteca de riesgos, además de a reglamentos, leyes y normas globales. De este modo se identifican riesgos potenciales que, de otro modo, quedarían sin definir.
Tyler: ¿Qué consejo daría a los responsables de la toma de decisiones a la hora de elegir una solución RegTech como la nuestra?
LzBeth: Existen muchas soluciones, así que asegúrate de priorizar los requisitos antes de comparar proveedores. Algunas soluciones son mejores para el análisis de riesgos, otras para la revisión de procesos, etc.
Tyler: ¿Puede decirnos qué es lo próximo que hará su organización para utilizar las capacidades de Alyne?
LzBeth: Estamos planeando utilizar la funcionalidad "Documentos" de Alyne para crear y gestionar políticas nuevas y existentes directamente dentro de Alyne. Vincularemos nuestras políticas a la biblioteca de controles de Alyne para que las actualizaciones de las políticas y los controles sean automáticas.
Tener una carrera como líder de seguridad en Seattle
Tyler: Has afirmado: "Con demasiada frecuencia, los responsables de seguridad pueden tener fama de decir "no" como respuesta por defecto". Cómo te aseguras de no tener fama de decir que no y qué haces cuando te encuentras con alguien que te dice que no?
LzBeth: Creo que yo formularía la pregunta a Seguridad de la Información de otra manera. En lugar de "¿Puedo hacer x?" Me gusta pensar en ello como "Necesito hacer x, ¿cómo puedes ayudarme a conseguirlo de forma segura?". Con una discusión abierta, podemos trabajar juntos para encontrar la solución óptima, aunque puede que no sea la solución que uno tiene en mente. La seguridad de la información no debe ser ni es una barrera para el éxito, nuestro objetivo no es hacer la vida difícil, créanme, de verdad, nuestro objetivo es equilibrar riesgos y oportunidades.
Tyler: Usted tiene su sede en Seattle, un centro tecnológico. Qué diferencias regionales, si las hay, observa en el enfoque empresarial del riesgo?
LzBeth: No creo que haya mucha diferencia, ya que hoy en día todos estamos muy conectados. Seattle fue un núcleo de start-ups y sigue estando en el Top 10 nacional en crecimiento de start-ups. Como las start-ups tienden a alimentar mucha creatividad e invención, más ágiles para explorar nuevas tecnologías, ¿quizás hubo más ideas originales? Sin embargo, Seattle también alberga dos de las mayores empresas tecnológicas del mundo y cuenta con recursos extremadamente maduros. Creo que tiene un gran equilibrio entre enfoques fundacionales, convencionales e innovadores en todo lo relacionado con la tecnología.
Panorama actual de los riesgos
Tyler: ¿Cuál es actualmente el tema o problema de riesgo más sobrevalorado?
LzBeth: Esto me va a meter en todo tipo de controversias y problemas. En mi opinión personal, se pone mucho énfasis en las certificaciones más que en la capacidad real de seguridad. Seguir ciertas normas es un buen punto de partida, pero también he visto demasiados esfuerzos por "marcar la casilla" para conseguir certificaciones. Durante mis años de auditor: Empleados "no formados" que eran trasladados a diferentes plantas para evitar ser sometidos a las preguntas de los auditores durante la semana de la auditoría. Ojalá la empresa se esforzara tanto en hacer el trabajo real.
Como profesional de la seguridad, la razón de ser de las certificaciones debería ser la consecución de un estándar de seguridad, no impulsar las ventas. Sin embargo, como directivo, también entiendo que los ingresos son la razón de ser de cualquier empresa con ánimo de lucro. Es una vieja disputa que mantiene las cosas interesantes.
Tyler: ¿Qué tema de riesgo no recibe la atención que merece?
LzBeth: Llámame paranoica porque creo que existen riesgos inherentes a los propios procesadores informáticos. No oímos hablar tanto de ellos porque no son sensacionalistas y su impacto es difícil de cuantificar.
Estos son algunos artículos que LzBeth recomienda leer a los profesionales de la tecnología:
Un fallo recién descubierto en los procesadores Intel permite la existencia de malware indetectable
La evolución futura del riesgo
Tyler: ¿Cómo evolucionará el riesgo en los próximos cinco años?
LzBeth: Creo que el aprendizaje automático seguirá aumentando la toma de decisiones humana para mejorar la eficacia de las herramientas de seguridad, ayudando a eliminar el ruido, por así decirlo. Esto nos permitiría a nosotros, los humanos, centrarnos en lo importante en lugar de dedicar mucho tiempo a tratar de encontrar lo importante. La privacidad sigue siendo uno de los mayores riesgos para muchas empresas. Con el aumento de las normativas sobre privacidad introducidas en todo el mundo, a las empresas les resulta difícil conciliar todas las posibles lagunas de cumplimiento.
Hoy en día, trabajar a distancia es la norma para la mayoría de nosotros, y creo que la arquitectura de confianza cero para proteger los sistemas empresariales se convertirá en la norma. Defender el perímetro, utilizando sólo nombre de usuario y contraseña, ya no es suficiente, por lo que la necesidad de "Nunca confíes, siempre verifica" para cada solicitud, ya sea dentro o fuera de la red, es crítica. NIST SP 800-207 trata sobre la confianza cero, Microsoft tiene blogs dedicados a la confianza cero, depende de cada CISO decidir qué es lo mejor para su empresa.
Tyler: ¿Qué capacidad de riesgo no existe hoy en día que desearía que existiera?
LzBeth: Esto es interesante. Realmente me gustaría ver un protocolo de firma digital / cifrado de correo electrónico que funcione en todos los proveedores / plataformas / clientes de correo electrónico. Creo que la mayoría de las veces, la firma digital de correo electrónico sólo funciona dentro de la misma red / plataforma / proveedor, de lo contrario, el correo electrónico enviado no se mostrará correctamente para el destinatario. En mi caso, utilizo las firmas digitales sobre todo para evitar la suplantación de identidad y para la integridad de los mensajes. Es frustrante que no siempre funcione como se espera.
¿Cómo se mantiene LzBeth a la cabeza en su papel?
Tyler: ¿Qué recursos utiliza para obtener noticias y actualizaciones relevantes del sector?
LzBeth: ¡Estoy en tantas listas de correo electrónico que ni siquiera tiene gracia! Sin embargo, me gusta ICS-CERT, US-CERT, diferentes blogs, por ejemplo, Tripwire, Cisco Talos, Heimdal, Guardian, etc. También sigo blogs de personas como Bruce Schneier, Troy Hunt, Marco Ramilli, ya que cubren una amplia gama de temas en el espacio técnico.
Tyler: ¿Cuál es la idea errónea más común que tienen las líneas de negocio sobre usted y su función?
LzBeth: Depende mucho de la empresa. Tengo trabajos en los que se me considera sobre todo técnica y tomo decisiones técnicas, y a veces ayudo a los equipos técnicos. En otros casos, se me considera una persona no técnica y me ocupo sobre todo de cuestiones jurídicas y de cumplimiento. La mayoría de las líneas de negocio pensarían que "responde a preguntas de seguridad, se ocupa de la seguridad de los clientes, realiza auditorías, elabora políticas y requisitos de seguridad, explica GDPR, PCI, etc.".
Sin embargo, también hago muchas revisiones de soluciones técnicas, análisis de costes y beneficios, puesta en línea de sistemas y análisis de arquitectura de seguridad.
Tyler: ¿Cuál es la práctica de seguridad o riesgo más común que la gente realiza, pero que en realidad no hace?
LzBeth: Nunca escribo la contraseña. Siempre bloqueo el ordenador cuando dejo mi mesa.
