Mucho hablamos del crecimiento de la ciberseguridad, pero poco de como éste se traslada a los departamentos, a su composición y tareas. Lo que hace un tiempo era “simplemente” un departamento con algunos (más bien pocos) integrantes, ahora es una amalgama de colores intentando agrupar a dichos profesionales.
Este abanico cromático hace que nos encontremos con los equipos rojos y azules como formación más habitual en las empresas, siendo los primeros encargados de la seguridad ofensiva, es decir, de poner a prueba los sistemas propios; y los equipos azules, encargados de las tareas defensivas. Pero en ciertas empresas podemos ver una mayor segmentación de estos equipos e incluso añadiendo tareas que, o bien no se realizaban, o bien estaban diseminadas en los equipos ya compuestos. De esta forma nos podemos encontrar con un equipo violeta, del cuál muchas veces encontramos disparidad de opiniones sobre sus responsabilidades, apostando ciertos sectores por su función de intermediación y coordinación de las tareas de los equipos azules y los rojos, o bien por ser un equipo que reparte su tiempo intercambiándose la gorra azul y la roja.
Mucho hablamos del crecimiento de la ciberseguridad, pero poco de como éste se traslada a los departamentos, a su composición y tareas
Los más osados, o afortunados de poder dimensionar así sus equipos, incluyen un equipo naranja, uno amarillo, otro blanco e incluso uno verde. Las tareas de dichos equipos se pueden centrar en el desarrollo de código y arquitectura cuando hablamos del amarillo, facilitación de la interacción entre equipos y formación para los naranjas, mejoras de la automatización des de el diseño y el código, y por último el equipo blanco, cuyos quehaceres están más centrados en la parte normativa y de compliance.
Todo esto debería llevarnos a la reflexión si realmente no estamos microsegmentando los departamentos, creando nichos innecesarios y lo que es peor, diluyendo el “accountability” de los profesionales, y es que la granularidad que estamos proporcionando al departamento no tiene reflejo en las líneas de negocio, haciendo muy difícil asignar únicamente un equipo a un proyecto, y convirtiendo en vital uno de los defectos que muchas empresas y profesionales tienen, que no es otro que la comunicación y colaboración entre ellos.
Ésto debería hacernos pensar si Julio César tenía razón cuando decía “Divide et impera”
