Mike Wagner, experto en seguridad de la información de Johnson & Johnson desde hace mucho tiempo, ayudó a desarrollar el enfoque y la pila de seguridad de la empresa Fortune 100. Wagner se convirtió recientemente en el primer CISO de Kenvue (anteriormente división de atención médica al consumidor de J&J), fundada hace un año por J&J. En su nuevo cargo, Wagner pretende combinar lo mejor de J&J con un enfoque eficiente y moderno adecuado a una empresa nueva e independiente.
“Queríamos crear una arquitectura optimizada y rentable con la máxima seguridad”, explica Wagner.
El primer paso fue definir los roles clave necesarios para construir un programa de seguridad eficaz. Esto incluye arquitectos e ingenieros para implementar las herramientas, expertos en gestión de identidades y accesos (IAM) para permitir una autenticación segura, líderes en gestión de riesgos para alinear la seguridad con las prioridades comerciales y operaciones de seguridad para responder a los incidentes, incluido el personal dedicado a cada función cibernética. .
Para garantizar la máxima eficacia y escalabilidad futura de la arquitectura cibernética, el equipo cibernético recién formado sabía que necesitaba incorporar el aprendizaje automático y la inteligencia artificial (IA). Esto incluye la automatización de IAM, la optimización de la evaluación de proveedores con encuestas automatizadas, la implementación de IA para el análisis del comportamiento y la mejora de la detección de amenazas mediante el aprendizaje automático.
Decidir qué herramientas cibernéticas conservar o reemplazar
Una vez solidificada la base, el siguiente paso fue elegir qué herramientas y procesos de J&J conservar y cuáles reemplazar. La arquitectura de ciberseguridad de J&J era sólida, pero era una mezcolanza de sistemas creados a lo largo de décadas de adquisiciones.
Para tomar la decisión, el equipo de Wagner primero tomó una lista de herramientas de J&J, las asignó al modelo operativo de Kenvue y seleccionó herramientas con la funcionalidad que Kenvue necesitaba. En muchos casos, el equipo descubrió que las herramientas de seguridad de J&J eran más ricas que las que necesitaban las empresas derivadas más pequeñas. En otros casos, las tecnologías de J&J se superpusieron. Además, en algunos casos, la tecnología existente de J&J no era asequible o no proporcionaba la máxima seguridad para la misión de Kenvue.
Y a veces, todo se reducía simplemente a qué tan bien integrada estaba la arquitectura de seguridad de J&J.
“Tomemos algo como la detección y respuesta de puntos finales”, dijo Wagner. “J&J ha realizado varias adquisiciones a lo largo del tiempo, por lo que en lugar de tener potencialmente dos o tres piezas de software en el terminal para cumplir esta misión, ahora estamos utilizando uno moderno integrado en la solución.
La decisión final respecto a cada tipo de elemento de seguridad también depende del número y tipo de dependencias. Por ejemplo, las aplicaciones tienden a depender de IAM, por lo que Kenvue seguirá utilizando el sistema IAM de J&J por el momento. Sin embargo, Wagner planea pasar a un sistema IAM más moderno en el futuro.
Al final, Kenvue decidió adquirir aproximadamente la mitad de su tecnología de J&J.
Elegir qué conservar y qué reemplazar puede ser difícil, señala Scott Crawford, director de investigación del canal de seguridad de la información 451 Research de S&P Global Market Intelligence. Pero normalmente querrás sopesar las capacidades de la herramienta y qué tan bien encaja en la arquitectura de la nueva empresa frente a otras opciones que podrían encajar mejor. En algunos casos, es posible que se requieran nuevas inversiones, mientras que es posible que sea necesario determinar los términos de suscripción o licencia como parte de los costos derivados, afirma.
Con las personas adecuadas trabajando juntas
Otro desafío que enfrentó Wagner fue encontrar la combinación adecuada de experiencia para su equipo cibernético. Después de evaluar las capacidades de los empleados existentes de J&J y de los candidatos externos, seleccionó una combinación de ex empleados de J&J con un profundo conocimiento empresarial y nuevos empleados con la última tecnología y habilidades cibernéticas. Entre ellos se encontraban arquitectos e ingenieros que implementaban controles defensivos, expertos en IAM, líderes de gestión de riesgos y personal de SecOps.
Wagner también optó por incorporar otro tipo de persona a su equipo: un responsable de seguridad de la información empresarial (BISO), que actúa como intermediario entre la ciberorganización y las distintas unidades de negocio. Wagner dice que el papel del BISO es fundamental para el éxito del equipo.
“Están centrados en ver qué hay de nuevo, en qué dirección van y cómo pueden asegurarse de que su negocio avance de forma segura”, explica.
Con las herramientas y el equipo implementados, el desafío final fue mantener la seguridad tanto de J&J como de Kenvue durante el período de transición. Se requería una comunicación continua entre varias funciones para garantizar que todo funcionara sin problemas, incluidas las reuniones diarias en las que participaban los líderes de J&J, Kenvue y los proveedores.
Aunque los cimientos ya están establecidos y el equipo de seguridad de Kenvue está en marcha, Wagner dice que todavía queda mucho trabajo por hacer. A continuación, se centrará en estrategias de seguridad modernas, incluida la adopción de confianza cero y el fortalecimiento de los controles técnicos.
Mejorar continuamente un programa de ciberseguridad es fundamental para garantizar la escalabilidad y adaptabilidad a lo largo del tiempo, afirma Crawford. Eso significa aprovechar una mayor automatización para procesar enormes cantidades de datos a alta velocidad y escala.
“La automatización necesita ser aún más confiable para abordar los problemas a escala y a nivel granular”, afirmó. “Los CISO con visión de futuro definitivamente están considerando seriamente estas oportunidades”.
Fuente: https://www.darkreading.com/identity-access-management-security/jj-spin-off-ciso-maximize-cybersecurity