Cómo Netflix toma decisiones de seguridad: un vistazo al inside …



Un ingeniero senior de riesgos de seguridad de la información explica cómo el programa de gestión de riesgos de Netflix ayuda a los líderes empresariales a tomar decisiones clave.

Es difícil para los administradores de riesgos ayudar a los tomadores de decisiones después de tomar una decisión arriesgada. Desafortunadamente para muchas organizaciones, así es como funcionan los programas tradicionales de gestión de riesgos, y cuando se realiza una evaluación, la decisión arriesgada ya ha hecho su daño.

«Todos aceptamos ciertas cantidades de riesgo para hacer negocios, pero ¿en qué punto es demasiado riesgo?» pregunta Tony Martin-Vegue, ingeniero senior de riesgos de seguridad de la información en Netflix, quien discutió el tema en la Conferencia Truthful de esta semana.

En la mayoría de las empresas, un programa de gestión de riesgos cubre cualquier aspecto de una empresa que asume riesgos. Los líderes empresariales toman una decisión y la implementan Luego, el equipo de riesgos entra, lo prueba e informa los problemas. La primera vez que se involucra un administrador de riesgos es cuando estos problemas se registran en el registro de riesgos, momento en el que es demasiado tarde para ayudar a los responsables de la toma de decisiones de la empresa, dice.

El análisis de riesgos es una previsión, explica Martin-Vegue. Los analistas deben querer estar más cerca del CEO, CFO, CIO y otros ejecutivos antes de que se tomen decisiones importantes para que puedan ayudar a tomar la decisión óptima. Netflix ha utilizado durante mucho tiempo modelos cuantitativos, incluido el modelo Honest, para tomar decisiones porque pone las amenazas en contexto y ayuda a explicar el riesgo a los ejecutivos de negocios.

La mayoría de las empresas utilizan el paradigma tradicional de decisiones de calificación como alta / media / baja o roja / amarilla / verde, dice. Si bien esto funciona para comparar tres o cuatro elementos similares o priorizar proyectos, hace poco cuando un analista de seguridad se enfrenta a tres alertas rojas que cuestan $ 10 millones, $ 15 millones y $ 20 millones cada una. ¿Cuál deberían remediar primero?

«No lo sabes», dice Martin-Vegue. «No se puede hacer ese tipo de comparación de valor en riesgo».

El riesgo cuantitativo, en lugar de decir que una alerta es «alta» o «roja», indicará cuánta exposición tiene la empresa. Si sabe que un riesgo tiene una exposición de $ 200 millones y puede reducir ese riesgo a $ 20 millones con una inversión de $ 10 millones, le ofrece un curso de acción distinto. Si un probador de lápiz tiene dos alertas rojas, y los analistas cuantitativos revelan que uno tiene $ 10 millones de exposición y el otro $ 50,000 de exposición, es obvio cuál debe ser remediado primero, señala.

«Ahora puede comenzar a hacer comparaciones utilizando dólares (y) la gente financiera reconocerá esto como un análisis de costo-beneficio», explica. «Estamos saliendo de la seguridad de la información y hablando con el CFO, el CEO, el CIO: &#39Esto es lo que puede obtener su inversión. Este es el riesgo que puede reducir&#39».

Esto resuena entre los ejecutivos que están acostumbrados a hablar en términos de dólares y centavos. Es más fácil tomar una decisión centrada en la seguridad cuando comprenden lo que les proporcionará una inversión, en lugar de tomar una decisión basada en una alerta de gravedad alta, media o baja.

«No es de extrañar que siempre haya fricciones entre la empresa y la gente de seguridad de la información», dice Martin-Vegue. «Se lo estamos poniendo difícil». Al enmarcar la conversación sobre el riesgo en torno a la exposición, las inversiones y la reducción del riesgo, «la gente lo entiende de inmediato, especialmente en el lado comercial».

Tomando grandes decisiones, desde ejecutivos hasta profesionales
Hay tres niveles diferentes de abstracción de riesgos que se pueden usar para enmarcar una evaluación de riesgos de seguridad, dice Martin-Vegue, señalando que usa libremente el marco de gestión de riesgos del Instituto Nacional de Estándares y Tecnología (NIST). Estos incluyen decisiones estratégicas, tácticas y operativas.

El nivel uno apoya la toma de decisiones estratégicas Por lo general, esto implica importantes decisiones de inversión tomadas con unos cinco años de antelación. Algunos ejemplos: ¿Cómo deberían los ejecutivos enmarcar la estrategia de una empresa? ¿Deberían hacer la transición a la nube? ¿Debería la empresa poner sus servicios en Amazon World-wide-web Companies o hacer el alojamiento ellos mismos? ¿Deberían desarrollar el código internamente o subcontratarlo?

Todas estas son decisiones no triviales, dice, y generalmente se toman sin un analista de riesgos que pueda explicar el análisis de costo-beneficio y el análisis de ROI de las principales estrategias empresariales.

El nivel dos respalda la toma de decisiones tácticas para los gerentes de nivel medio que están considerando sus iniciativas, presupuesto y planificación del recuento de personal con uno o dos años de anticipación. Esos gerentes están haciendo preguntas como «¿Empleamos la virtualización de servidores?» «¿Qué proveedores deberíamos utilizar?» «¿Podemos hacer un análisis de riesgo del proveedor antes de pasar al proveedor?»

La mayoría de las organizaciones se enteran de un problema de seguridad de un proveedor después de haber firmado un contrato, dice Martin-Vegue. Esto debe estar en el registro de riesgos antes de que comience la asociación con el proveedor.

El nivel tres apoya la toma de decisiones operativas, que es para los contribuyentes individuales y sus equipos. Esto puede incluir arquitectos de seguridad, probadores de lápiz o desarrolladores del lado comercial que diseñan aplicaciones world wide web orientadas al cliente. Si un codificador desea un handle de seguridad y puede elegir entre solo contraseña o contraseñas y autenticación multifactor (MFA), ¿cuál debería elegir?

Lo que puede parecer una opción de inversión fácil para los profesionales de la seguridad, es más difícil para los ejecutivos de negocios. Las organizaciones de hoy tienen un presupuesto limitado y la implementación de MFA es costosa. El riesgo cuantitativo requiere que los profesionales de la seguridad utilicen los datos para argumentar y demostrar por qué una inversión vale la pena.

Los responsables de la toma de decisiones operativas se enfrentan a varias opciones que pueden evaluarse con un análisis de riesgo cuantitativo: ¿Cómo configuramos la protección de endpoints? ¿Cómo configuramos el software package antivirus? ¿Deberíamos utilizar el cifrado de disco completo? ¿Cómo configuramos las herramientas de prevención de pérdida de datos?

Modelado cuantitativo de riesgos: introducción
Para las organizaciones que quieran adoptar el modelo Reasonable u otros modelos de riesgo cuantitativo, Martin-Vegue aconseja comenzar lentamente. Los analistas de riesgos no necesitan arrancar su modelo precise e implementar Fair en una revisión importante. Empiece con un par de decisiones. Busque a alguien en la organización que intente tomar una decisión difícil basada en datos y ayude a utilizar el modelo cuantitativo.

Su otro consejo es una advertencia: «Hay un gran mito que tenemos que romper sobre el riesgo cuantitativo hay una percepción que la gente tiene de que es necesario tener datos cuantitativos históricos perfectos para realizar una evaluación, y no es así». Martin-Vegue dice que los profesionales del riesgo pueden usar el juicio subjetivo de las personas dentro de la organización para hacer una evaluación creíble.

Kelly Sheridan es la editora de personalized de Dim Examining, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary