Un equipo de seguridad con diversas habilidades, el secreto de LinkedIn
- Seguridad Inteligente
La CISO de LinkedIn, Cory Scott, ha contado algunos de los secretos que hay detrásd e su estrategia de seguridad. Por ejemplo, que utiliza 'narrativas de seguridad' para contratar al equipo más exitoso y mejorar la función de seguridad de la compañía.
Crear una narración no es algo que hacen los escritores: los profesionales de ciberseguridad pueden construir una historia de trabajo para ayudarlos a mejorar en su trabajo, así como ayudar a los gerentes a crear los equipos más diversos y exitosos, según Cory Scott, CISO de LinkedIn.
Scott se unió al equipo de LinkedIn hace unos cinco años, después de dirigir una práctica de consultoría de seguridad. Desde entonces, el equipo de seguridad de LinkedIn ha crecido considerablemente, gracias en parte a los esfuerzos de Scott para construirlo.
El concepto de "identidad narrativa", nacido hace muchos años, se puede resumir en la idea de contar una historia sobre nosotros mismos, dijo Scott. "Cuando alguien me pregunta qué hago, trato de pasar menos tiempo hablando sobre el título o la posición", dijo. "En cambio, trato de contar una historia sobre el trabajo que hago, y cómo trabajo para asegurar esta plataforma, y trabajo para proteger a nuestros empleados. Tengo una narración sobre las cosas que hago y cómo llego allí".
Crear una narrativa de seguridad personal es particularmente importante para los CISO, dijo Scott. La narración está compuesta de dos partes. La narrativa actual se refiere al trabajo que estás haciendo actualmente: para Scott, esto significa cómo piensa sobre la privacidad de los miembros cuando construyen nuevas características de seguridad. La narrativa a largo plazo se refiere a su carrera como un todo, y lo que quiere que se conozca a través del trabajo que realizó.
"Es realmente importante tener esa narrativa en tiempos de adversidad o conflicto, y asegurarse de que no permita que otras personas definan su narrativa por usted", dijo Scott.
Creando tu historia de ciberseguridad
¿Cómo se crea una narrativa de seguridad propia? Primero, piense en algunas de las historias estándar que escucha que los profesionales de seguridad adoptan hoy, dijo Scott.
Uno es el defensor, impulsado principalmente por querer impedir que las cosas malas le pasen a las personas y compañías que protegen. Otro es el embaucador inteligente, que busca fallas en el software y la implementación. También hay una narrativa de ingeniería que considera la seguridad como un problema de ingeniería en su núcleo, al igual que el rendimiento, la escalabilidad o la confiabilidad. Otro es el asesor, que quiere alinear la seguridad con el negocio y priorizar la protección de los activos más importantes.
"Cuando hablo con diferentes CISO, se colocan tal vez en uno o dos de estos campamentos en función de su mentalidad actual, sus antecedentes profesionales y cómo quieren interactuar con su organización", dijo Scott. "Tener esa narración explorada realmente los ayuda en su desarrollo".
Es importante que cada individuo en el equipo de seguridad tenga una narrativa, dijo Scott. Descubrir las narrativas de cada individuo que solicita un trabajo o un proyecto puede ayudar al CISO a crear el equipo de seguridad más fuerte y diverso, agregó.
"Quiero tener esos embaucadores, pero también quiero que los defensores trabajen con ellos, para que ese defensor pueda descubrir cómo detectar un ataque que podría ser perpetrado por ese embaucador", dijo Scott. "Quiero un asesor actuarial tipo de gente que diga: 'Oye, ¿esto es realmente una prioridad de amenaza?' Quiero que una mujer de ingeniería diga 'Oye, podría escribir una biblioteca o un código aquí que elimine el ataque de una manera rentable'. Entonces, cuando lo miras desde esa perspectiva, terminas con personas que trabajan juntas usando esas narrativas para formar un equipo de seguridad sólido ".
Descubrir la narrativa de un practicante de seguridad idealmente debería comenzar en el proceso de la entrevista, dijo Scott. "He contratado personas sin experiencia en seguridad que tienen una de estas narraciones sobre cómo abordan la tecnología, las operaciones y la ingeniería de una manera que sé que encajará en la narrativa de los profesionales de la seguridad", dijo Scott. "Y podemos traerlos para el viaje y hacer que desarrollen su carrera".
Todas estas narrativas forman una amplia gama de perspectivas y antecedentes diversos, dijo Scott.
"He visto muchos CISO que contratan a mucha gente que se ven exactamente como ellos, que hablan como ellos, que tratan de resolver problemas de la misma manera que resolverían el mismo problema. Incluso me atrapé en eso. trampa de vez en cuando ", agregó. "La idea es que necesites asegurarte de que estás contratando personas que tienen narrativas diferentes a las tuyas, porque van a proporcionar la perspectiva e interfaz necesarias para otras partes de la organización, que también podrían tener ese mismo tipo de narración de una manera que no sería capaz de relacionar".
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.