SolarWinds y la ciberseguridad: Uso de Scrum para mejorar la seguridad nacional
El pirateo de SolarWinds es una pesadilla hecha realidad. Los servidores de los principales departamentos gubernamentales y empresas se vieron comprometidos.. Tantos como 250 organizaciones quedaron vulnerables durante meses: sus alertas y protecciones quedaron inutilizadas.. El impacto global y el alcance del hackeo siguen siendo desconocidos.
El mundo moderno funciona efectivamente con software. La ciberseguridad debe evolucionar continuamente, adaptarse y desplegarse con rapidez para mitigar los riesgos. Si no se sigue el ritmo de la innovación de los "malos actores", el software del que dependemos se convierte en flancos digitales desprotegidos, listos para la explotación y el ataque.
Aunque este blog se centra en la ciberseguridad en el ámbito de la seguridad nacional y el Departamento de Defensa de Estados Unidos (DoD), las amenazas son universales.
Estoy dispuesto a apostar que las lecciones que aquí se exponen se aplican tanto a su sector y organización como al público principal.
La ciberseguridad es seguridad nacional
Un informe del Consejo de Innovación de Defensa deja bien claro lo que está en juego;
La seguridad nacional de Estados Unidos depende cada vez más del software para ejecutar misiones, integrar y colaborar con los aliados y gestionar la empresa de defensa. La capacidad de desarrollar, adquirir, garantizar, desplegar y mejorar continuamente el software es, por tanto, fundamental para la defensa nacional.
De hecho, la mayoría de los cinco mayores contratistas de defensa de Estados Unidos están implantando Scrum y Scrum@Scale en proyectos para gestionar mejor los requisitos cambiantes y ofrecer valor más rápido que nunca. Otras organizaciones del Departamento de Defensa también están adoptando las técnicas Scrum y Agile. Sin embargo, estos movimientos han hecho que algunos se pregunten cómo pueden estas organizaciones estar seguras de que no están sacrificando la ciberseguridad a medida que avanzan hacia la Agilidad. ¿Cómo pueden estas organizaciones desarrollar rápidamente soluciones de alto valor que también sean productos seguros utilizando Scrum?
Dediquemos un momento a abordar estas preocupaciones.
La falacia de la velocidad o la seguridad
Los equipos de desarrollo tradicionales pueden abordar la ciberseguridad en una fase tardía del ciclo de desarrollo. Cada departamento específico trabaja de forma independiente, lo que puede provocar una falta de integración y, al mismo tiempo, no detectar posibles problemas de seguridad en las primeras fases del desarrollo.
A menudo, la ciberseguridad sólo se aborda una vez que el producto está totalmente desarrollado.
En un entorno ágil, los equipos de desarrollo tienen la oportunidad de integrar la seguridad con mayor fluidez y, por tanto, detectar los problemas en una fase más temprana del proceso, cuando son menos costosos y requieren menos tiempo. Algunos podrían argumentar que el rápido ritmo de desarrollo de un entorno Agile obstaculizaría la seguridad, pero la mentalidad Agile y las mejores prácticas Scrum animan a incluir la ciberseguridad de forma iterativa e incremental.
Scrum Los equipos también pueden enfrentarse a retos a la hora de implementar la ciberseguridad de forma ágil porque tienen que cumplir con procesos obsoletos y burocracia, como las listas de comprobación manuales que se utilizan para cada versión o la estandarización obligatoria.
Scrum fomenta el uso de una Definición de Hecho para garantizar el cumplimiento de las normas de calidad y seguridad.
Otro problema habitual al que se enfrentan los equipos Scrum es el acceso y la colaboración con las partes interesadas y los expertos en la materia, incluidos los especialistas en ciberseguridad. La incorporación de especialistas en ciberseguridad al equipo Scrum permite identificar y abordar posibles amenazas a la seguridad durante todo el proceso de desarrollo. Scrum fomenta el compromiso y la colaboración haciendo que los equipos interfuncionales trabajen en estrecha colaboración.
En resumen, Scrum permite a las organizaciones no sólo desarrollar mejores productos con mayor rapidez, sino también garantizar que la ciberseguridad se aborda de la forma más eficaz y económica posible.
Esto no es sólo mi experiencia o creencia, los propios estudios de casos del Gobierno de EE.UU. lo demuestran.
Casos prácticos de ciberseguridad
A principios de este año, la Oficina de Rendición de Cuentas del Gobierno de Estados Unidos, de carácter no partidista, publicó su Guía de evaluación ágil. Este informe incluye varios estudios de casos independientes que examinan la agilidad y la ciberseguridad. Me gustaría destacar dos de ellos.
Estudio de caso 1 de la GAO: MANDOS Y CONTROLES ESPACIALES Una planificación y supervisión exhaustivas podrían ayudar al Departamento de Defensa a adquirir capacidades críticas y hacer frente a los retos.
En el Mando y control espaciales Estudio de casola GAO analizó las medidas de ciberseguridad en las primeras fases de desarrollo. Las prácticas líderes de la industria de desarrollo de software animan a los programas a desarrollar medidas de ciberseguridad sólidas en las primeras fases de desarrollo del programa. Además, el programa Space C2 declaró que está aplicando prácticas DevSecOps para abordar los problemas de ciberseguridad en el diseño del programa.
La ciberseguridad está en primera línea de la actualidad mundial y es especialmente importante para organizaciones como Space Command & Control. Pasar de los métodos tradicionales de desarrollo en cascada de soluciones de ciberseguridad a incorporar la agilidad a las prácticas cibernéticas puede reforzar las defensas de una organización frente a los ciberataques.
Estudio de caso 2 de la GAO: DOD SPACE ACQUISITIONS Incluir a los usuarios desde el principio y con frecuencia en el desarrollo de software podría beneficiar a los programas
En Sistema de control operativo de nueva generación del Ejército del Aire (OCX) está diseñado para sustituir al actual sistema de control en tierra de los satélites GPS antiguos y nuevos. El programa OCX se está desarrollando en una serie de bloques: El bloque 0 proporciona el sistema de lanzamiento y comprobación y soporta las pruebas iniciales de los satélites GPS III y los avances en ciberseguridad. Los bloques 1 y 2 están previstos para proporcionar mando y control para las generaciones anteriores de satélites y los satélites GPS III, así como seguimiento y control para las señales actuales y modernizadas.
El objetivo de la IA (también denominada ciberseguridad) es garantizar que los sistemas del Departamento de Defensa puedan resistir y seguir funcionando durante los ciberataques mediante la gestión de los riesgos y la aplicación de salvaguardias. Funcionarios del contratista de este proyecto describieron las amenazas a la ciberseguridad como en continua evolución, y que tanto ellos como el Ejército del Aire han tenido que adaptar con el tiempo su interpretación de cómo cumplir los requisitos de IA en el desarrollo de OCX para hacer frente a las amenazas cambiantes.
Dada la importancia del GPS para las comunidades militar y civil, y con el aumento de las amenazas a la ciberseguridad, el Ejército del Aire no renunció a ningún requisito de IA para OCX. En consecuencia, el contratista descubrió que había subestimado en gran medida el coste y el tiempo necesarios para cumplir estos requisitos. Según los responsables del programa, la mayoría de los problemas relacionados con los requisitos se resolvieron a principios de 2015.
Una lección que puede deducirse de esto es que los líderes deben alinear sus organizaciones con los objetivos y normas de ciberseguridad desde el principio, y asegurarse de que los equipos Agile incorporan estas normas de ciberseguridad en la definición de tareas de su equipo. Los equipos pueden considerar cuándo y cómo llevar a cabo prácticas de ciberseguridad como revisiones de código, evaluaciones de vulnerabilidad y pruebas de penetración en una fase más temprana del proceso. Los contratistas del DoD deben animar al personal de ciberseguridad a colaborar con los equipos de desarrollo para garantizar que el trabajo se realiza de forma segura.
Conclusión y CMMC
Las organizaciones del DoD que deseen incorporar prácticas de ciberseguridad a sus equipos Scrum pueden empezar poco a poco y adoptar los principios de seguridad ágil de forma incremental e iterativa, como harían con cualquier otro esfuerzo de desarrollo ágil. Aunque gran parte del desarrollo se centra en las necesidades funcionales, los equipos Scrum también deberían incluir requisitos no funcionales, como la seguridad y la privacidad, en una fase temprana y a lo largo de todo el proceso de desarrollo.
Los equipos que pasan por alto requisitos no funcionales pueden desarrollar un sistema que no cumpla las normas federales vigentes, como la recientemente implantada Certificación del Modelo de Madurez de Ciberseguridad (CMMC)que pretende medir las capacidades, la preparación y la sofisticación de los contratistas de defensa en el ámbito de la ciberseguridad.
Tanto si trabaja para una organización del Departamento de Defensa como para un contratista, la experiencia y los datos demuestran que los equipos ágiles son más receptivos. El uso que hace Scrum de ciclos rápidos de retroalimentación, inspección y adaptación, y equipos interfuncionales reduce el riesgo al permitir que la ciberseguridad esté plenamente integrada en un producto y no sea un añadido una vez que la producción está a punto de finalizar.
Como la propia agilidad, la ciberseguridad es un viaje, no un estado final. Sus equipos deben ser al menos tan receptivos, innovadores y capaces de aportar valor tan rápidamente como sus adversarios si quiere tener éxito.
Este blog ha sido actualizado con noticias sobre el hack de SolarWinds.
Spanish 
English 
French