Estamos en el año 2024 y lo que hace algunos años parecía ser una moda ahora parece estar para quedarse, "Agile es parte de la cultura de muchas organizaciones". Sin embargo, aunque muchas son las áreas y modelos de negocio que han abrazado la agilidad, en más de un caso los equipos de ciberseguridad se resisten o son los últimos en la cola del cambio.
Trataré de contar desde mi experiencia y perspectiva; las bondades de las metodologías agiles para los equipos de ciberseguridad, los retos y alguno que otro dato sobre como podemos aplicarlas de forma efectiva.
¿Qué es 'Agile'?
Antes de seguir, repasemos un poco lo que entendemos por 'Agile'. Si nos basamos en su traducción al español 'ágil', lo primero que haremos será relacionar el concepto con rapidez o prontitud pero el Enfoque Agile abarca un poco más que eso.
Agile o las metodologías ágiles son un conjunto de prácticas que nos permitiran lograr la entrega oportuna de valor de forma iterativa e incremental.
El núcleo de las metodologías ágiles está definido en el 'Agile Manifesto' mediante 4 valores y 12 principios a seguir. Sin embargo, por practicidad prefiero utilizar los principios definidos por 'Modern Agile':
- Haz que las personas sean geniales
- Entrega valor continuamente
- Haz de la seguridad un prerrequisito
- Experimenta y aprende rápido
Si adaptamos estos principios como parte del ADN de nuestros equipos solo será cuestión de tiempo para obtener mejores resultados.
La agilidad solo funciona para los programadores...
Justo como el título que precede a esta sección empezaba la explicación de un estimado colega sobre los motivos por los cuáles consideraba que su equipo, ni otros equipos de ciberseguridad o áreas de control pueden sacar provecho de las metodologías ágiles y he allí el primer reto de ser Agile en ciberseguridad, el preconcepto de Agile como un marco de trabajo para el desarrollo de software.
Aunque por muchos años los equipos de desarrollo de software han aprovechado las ventajas de Agile mediante herramientas como Scrum o Kanban, si vemos la agilidad como el conjunto de principios y no como las herramientas sugeridas para su implementación comprenderemos fácilmente que es independiente de la industria o equipo.
No tenemos el tiempo, recursos o la disposición para equivocarnos
El segundo reto más común que he experimentado está intrínsecamente relacionado con dos tendencias muy comunes entre los profesionales de ciber (ojo que son compartidas con profesionales de otras muchas áreas) las cuales son:
- Querer resolver todo el problema desde el inicio, tengo más problemas que resolver
- Tomar siempre la opción que aparenta menor riesgo, no vaya a ser que algo falle y sea mi culpa
Podríamos pensar que estas dos tendencias son totalmente necesarias, al final el objetivo de los equipos de ciberseguridad es lograr la mayor protección de la información y servicios de las organizaciones mitigando en la mayor medida posible los riesgos relacionados. Y es justamente el enfocarnos demasiado en este objetivo lo que nos hace difícil pensar que podemos tomar los problemas, dividirlos en partes y aprovechar estás partes más pequeñas para probar soluciones innovadoras que por desconocimiento de los riesgos no podríamos aplicar sobre el problema completo. Una vez probadas las soluciones solo es cuestión de escalar al resto del problema pero al mantener una visión de las partes que componen ese problema más grande, también podemos ser flexibles e identificar cambios necesarios en nuestra estrategia de solución a medida que avanzamos.
De acuerdo, muy bonito todo pero... ¿funciona? ¿cómo lo hago?
Con el concepto de Agile en mente y considerando los retos comunes, ahora podemos aterrizarlo todo a la realidad de un equipo de ciberseguridad. Para ello tendremos que:
Visualizar la función de ciberseguridad de la organización como una pequeña empresa y definir cuales son las capacidades o servicios que proporciona cada uno de los equipos que la conforman. Por ejemplo, un equipo de Gestión de Identidades y Accesos puede ser proveedor de servicios como: Gobierno de roles, Aprovisionamiento de cuentas y Autenticación de usuarios.
Identificar que tareas y procesos corresponden a la entrega de valor para cada servicio.
Seleccionar de las tareas y procesos los componentes escenciales, evitando el reproceso o la documentación excesiva.
Entedender los distintos marcos de trabajo, escoger el que mejor se adapte a las tareas o procesos de cada servicio y ajustarlo a nuestras necesidades. Por ejemplo, para el aprovisionamiento de cuentas, el cual ocurre bajo demanda y suele ser bastante repetitivo podríamos utilizar Kanban que nos permitirá enfocarnos en lograr el mayor Throughtput posible. Por otra parte, en un servicio como la definición de políticas de DLP, el cuál requiere de un enfoque más creativo y tareas menos estructuradas podemos adaptar conceptos de Scrum como trabajar por Sprints, utilizar puntos de historia para medir la complejidad y definir un producto mínimo viable con un roadmap de mejoras a corto y mediano plazo.
Empoderar a nuestro equipo, el éxito o no dependerá de que tan involucrado esté nuestro equipo. Aprovechar el conocimiento, opinión y experiencia de cada uno de los miembros del equipo será sumamente importante para la mejora de tareas y procesos. Definir objetivos y resultados esperados, dando libertad al equipo de elegir cómo lograrlos será clave para impulsar la innovación y obtener soluciones efectivas.
Escuchar a los Stakeholders. Y no me refiero solo a la Junta Directiva o VPs, debemos ser capaces de aprender y obtener retroalimentación de los usuarios, de los equipos de TI, de los clientes y de nuestro entorno en general para poder visualizar oportunidades.
Es solo el principio...
Lograr la adopción de Agile en un equipo de ciberseguridad sin duda será muy útil, pero es solo el principio de la transformación; la automatización, la analítica de datos, el uso de inteligencia artificial y otros factores seguiran cambiando la forma en que nuestros equipos trabajan y son liderados.
No hay comentarios.:
Publicar un comentario