iStock

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Nuevo CISO de Walmart discute cómo proteger al retailer más grande del mundo

El CISO de Walmart, Jerry Geisler, habla sobre la evolución de la estrategia de nube del gigante minorista, la gestión de vulnerabilidades y los riesgos en los que se centra la empresa en todos sus entornos.

Asegurar al empleador privado más grande del mundo, con más de dos millones de personas en todo el mundo y un entorno de TI en constante expansión, es un desafío desalentador, pero eso esa es exactamente la tarea que Jerry Geisler tiene que hacer.

Geisler entró en el puesto global de CISO en Walmart Inc. en enero. Como empleado desde la universidad, Geisler se había abierto camino desde el piso de ventas minoristas hasta las oficinas corporativas. Una vez allí, su interés personal en la tecnología encajó con crecientes responsabilidades en investigaciones forenses y fraude en el gigante minorista de Bentonville, Arkansas.

Con la transformación digital y la expansión minorista de Walmart en 27 países fuera de los Estados Unidos, mucho ha cambiado en 20 años. En esta entrevista, el nuevo CISO de Walmart habla sobre la seguridad de TI del minorista antes y ahora, los principales riesgos de los cuales el gigante minorista está preocupado hoy, y la nueva estrategia de la compañía para encontrar talento tecnológico.

Nota del editor: Esta entrevista ha sido editada por espacio y claridad.

¿Qué tan grande es la infraestructura que usted está administrando como CISO global de Walmart?

Jerry Geisler: Es bastante grande. Si solo miramos las direcciones IP, estamos en los millones. Si miramos los puntos finales o los activos de servidor, ciertamente estamos en los cientos de miles. ¿Cómo vamos a evaluar eso como equipo de seguridad de la información? Siempre será un enfoque múltiple; no vamos a confiar en una metodología o una revisión para decirnos cuál creemos que es la postura de seguridad en nuestros estados IP o en nuestra huella tecnológica.

Un ejemplo sería cómo hemos madurado nuestro programa de gestión de vulnerabilidades a lo largo de los años. Cuando comenzamos por el camino de la administración de vulnerabilidades, para nuestro programa de escaneo, estábamos algo limitados en términos de lo que era posible debido a las velocidades de red y, realmente, a los conjuntos de herramientas disponibles. Mi desafío para nuestro equipo fue: ‘Estamos analizando el entorno o una parte del entorno trimestralmente; tenemos que estar mirando todo el entorno diariamente'.

Jerry Geisler, CISO de Walmart.

Al abandonar lo que probablemente se vio en ese momento como un objetivo inalcanzable, realmente les hizo pensar de forma diferente sobre cómo abordar ese desafío. Empezaron a revisar nuestra arquitectura y las herramientas con las que estábamos evaluando nuestro entorno. Y, hoy, podemos escanear un millón de direcciones IP en aproximadamente cuatro días. No hemos llegado al punto en el que hemos desafiado al equipo, pero hemos avanzado mucho en términos de entender cómo se ve nuestro entorno en cualquier momento dado.

Por supuesto, si está escaneando un millón de direcciones IP cada pocos días, también debe poder ingerir el resultado de esos números continuos de escaneo. Entonces, hemos construido prácticas enteras o equipos completos en torno a segmentos de esa práctica. Tenemos equipos que solo se encargan de escanear e incorporar los datos escaneados, y [tenemos] equipos que se encargan de evaluar y priorizar, con la ayuda de algunos algoritmos, cómo es realmente ese riesgo. Hemos desarrollado roles dentro de esas prácticas a las que nos referimos como nuestros ‘ciber actuarios’. Realmente están tratando de determinar: '¿Cuál es el riesgo real de esta vulnerabilidad para la organización?'. Y no se trata solo de enfocarse en los números. Si tenemos un Microsoft Patch Tuesday, y tenemos quizás 50.000 instancias de una vulnerabilidad, pero no está expuesta a internet, puede que no sea un riesgo tan significativo para la organización como una vulnerabilidad que esté expuesta.

Y luego tenemos toda una práctica separada para arrastrar el [conjunto general] de la vulnerabilidad a través de la organización por el propietario del sistema y el propietario de la aplicación. Cuando comenzamos eso, uno de nuestros desafíos fue identificar quién posee qué y dónde existe. Entonces, comenzamos a agregar aproximadamente 30 fuentes de datos diferentes para contarnos todo lo que pudiéramos saber sobre cada activo dentro de nuestro entorno, y eso movió nuestros porcentajes en términos de quiénes eran los propietarios de los sistemas y aplicaciones desde un porcentaje relativamente bajo, y hasta mucho más allá del 95% de cualquier punto final. Sabemos exactamente dónde está ese sistema y quién es el responsable de él. Y el 5% restante solo está impulsado por la rotación de la organización o las personas que están cambiando roles, entregando los sistemas a otros equipos y cosas en ese sentido.

Muchas empresas minoristas luchan con la segregación de datos y la segmentación de la red. ¿Cómo se manejan estos tipos de decisiones en Walmart?

Geisler: En términos de segmentación de datos, sí, tenemos absolutamente esquemas de datos donde hemos definido lo que consideraríamos datos altamente confidenciales versus datos confidenciales versus otros datos. Dentro de esas categorizaciones, hemos estratificado otros tipos de datos, como 'tarjeta de pago', donde estamos creando o diseñando segmentos de nuestro entorno alrededor de ese tipo de datos.

Walmart fue uno de los primeros en adoptar la tecnología, y tenía una deuda técnica, como cualquier organización. Pero si miramos nuestro entorno actual, ciertamente priorizamos una estrategia segmentada, no solo de redes, sino también de aplicaciones y tipos de datos, junto con los controles de acceso de datos apropiados alrededor de esos entornos o tipos de datos. Y ese trabajo nunca terminará, sinceramente, porque la tecnología siempre se está construyendo para las nuevas demandas comerciales. Siempre estamos evaluando dónde estamos creando nuevas instancias de almacenamiento de datos: ¿Lo tenemos adecuadamente segmentado? ¿Lo tenemos apropiadamente protegido?

Regularmente probaremos esa postura de seguridad de las operaciones ofensivas de nuestros equipos rojos internos y externos. Aprovecharemos nuestras prácticas de mesa para identificar nuestros entornos de punto de venta para garantizar que estén configurados adecuadamente. Aprovecharemos lo que llamamos nuestros ingenieros defensivos dinámicos en nuestro centro de operaciones de seguridad para garantizar que tengamos una visibilidad adecuada de los nuevos entornos. Contamos con análisis de riesgo de seguridad y cumplimiento que realmente consideran cualquier cosa nueva para garantizar que nos apeguemos no solo a los estándares de arquitectura de referencia, sino también a todas nuestras políticas de seguridad y los estándares subyacentes que respaldan esas políticas.

Como el nuevo CISO de Walmart, pero también como alguien que ha estado en la compañía por mucho tiempo, ¿se enfoca principalmente en iniciativas en curso? ¿Hay algún proyecto nuevo que espera implementar, quizás, en torno a la web móvil y los sistemas de pago?

Geisler: En términos de iniciativas de seguridad, nos enfocaremos mucho en las cosas de las que ya hemos hablado: ¿Tenemos una segmentación adecuada donde necesitamos segmentación? ¿Tenemos implementado el cifrado en términos de datos en tránsito y datos en reposo y en todos los lugares en los que construiríamos nuevos modelos? Un ejemplo de ello sería, al migrar a la nube, determinar cómo debe lucir la pila de seguridad para una pila de seguridad definida por SOC [control de organización de servicios], reconociendo que a medida que la tecnología innova y surgen nuevos modelos, la industria de la seguridad completa tiende a quedarse un poco atrás. Está reevaluando la pila que tenemos hoy y [mirando] qué nuevas herramientas podemos necesitar incorporar para cubrir esas lagunas en la nube, de modo que no permitamos que nuestra postura de seguridad se erosione.

Considerar la experiencia del usuario es bastante importante en nuestra lista de prioridades: La modernización de nuestro servicio de autenticación para proporcionar una experiencia fluida y sin problemas para nuestros usuarios mientras navegan de una aplicación a otra, o de un entorno a otro, de una manera que mantiene esa postura de seguridad que creemos que es necesaria para mitigar el riesgo.

Cuando nos fijamos en nuestro entorno en general, donde vemos riesgos provenientes de hits reales en tres grandes segmentos: Credenciales de usuario, nuestra postura de seguridad y si tenemos una vulnerabilidad expuesta o explotable. Estamos evaluando constantemente cuán efectivamente estamos administrando esas credenciales de usuario, y la higiene o la salud de nuestro entorno y nuestra seguridad relacionada, e identificando y agitando eficazmente ese portafolio de vulnerabilidades.

También tomaremos escenarios de incumplimiento que vemos en toda nuestra industria, y ejecutaremos esos escenarios de brechas en nuestro entorno. Si este escenario de incumplimiento se desarrollara aquí en Walmart, ¿qué tan bien nos iría? Y [trataremos] de identificar vacíos o lugares donde seríamos vulnerables e intentaremos identificar planes sobre cómo mitigaríamos eso y luego ejecutaremos contra esos planes. La verdadera clave para nosotros es la visibilidad [y] nunca permitir que la organización cree entornos que no podemos ver, lo que significa que no podemos protegerlos de manera efectiva, y comenzaríamos a erosionar esa postura de seguridad.

Y no se trata solo de lo nuevo. Siempre hay proyectos nuevos que la tecnología está impulsando, y vamos a estar muy cercanos sobre las ganancias de la infraestructura y las aplicaciones. Pero también, en gran medida, tiene que ver con el entorno operativo actual. Una de las cosas en las que siempre presiono a mi equipo es, ¿cómo sabemos que lo que creemos que es cierto sigue siendo cierto? Lo último que quiero que ocurra es un incidente de seguridad, y lo estoy revisando con nuestros equipos y les pregunto: '¿Cómo sucedió eso? Porque pensé que teníamos un cierto control'. Y que el equipo dijera: 'Bueno, hubo un cambio de control hace un tiempo, y no nos dimos cuenta de que eso degradaba nuestra postura de seguridad'.

Por lo tanto, siempre presiono a los equipos: No den nada por hecho. No asuma que los controles que ponemos en funcionamiento todavía están allí. Validemos constantemente lo que creemos que es la postura de seguridad de nuestro entorno, adoptando el enfoque de que nunca podemos estar satisfechos. No de una manera que desmoralice y desmotive a nuestros equipos y nuestros talentosos ingenieros, sino de una manera en la que no nos permitiremos descansar en nuestros laureles. Aprender de los demás, de lo que vemos en la industria, desafiando constantemente nuestras impresiones de nuestro entorno, buscando formas de cumplir con la misión. La compañía depende de nosotros, y nuestros clientes dependen de nosotros para ofrecerla día tras día.

Habló sobre la importancia de la visibilidad, y esa es una de las principales preocupaciones en la nube. ¿Cómo se está acercando Walmart a ese problema?

Geisler: Trabajamos muy estrechamente con nuestros socios proveedores, y el modelo en la nube está comenzando a emerger como un modelo viable. No nos sentíamos cómodos con el grado de visibilidad que teníamos en el entorno [de nube] o las herramientas que estaban disponibles en esos entornos, o incluso las herramientas que podemos implementar en esos entornos. Por lo tanto, en los últimos tres años, hemos trabajado estrechamente con esos proveedores y los hemos visto avanzar a pasos agigantados no solo en lo que podemos implementar en la nube, sino también en lo que los proveedores pueden ofrecernos en esos entornos.

Cuando comenzamos nuestro viaje por la nube, el departamento de seguridad realmente trazó una línea en la arena que decía: ‘Oigan, no podemos poner cargas de trabajo altamente confidenciales en la nube, porque no podemos verlas lo suficientemente bien’. E incluso si está perfectamente configurado, aún representa un punto ciego para nosotros. Ahora, sabemos que las cosas no siempre están perfectamente configuradas, por lo que tuvimos que observar de cerca la administración de la configuración. Tuvimos que descubrir: ¿Cómo escaneamos esos entornos con eficacia? ¿Cómo obtenemos visibilidad en esos entornos? Y a medida que esas capacidades han evolucionado y mejorado, hemos llegado al punto en el que permitiremos cargas de trabajo más sensibles en nuestros entornos de nube. No sucedió de la noche a la mañana. Fue todo un viaje llegar allí. Y lo que diría es que no es donde estaría una pila empresarial local; es hasta el punto en que podemos obtener una visibilidad acorde a lo que esperaríamos tener localmente frente al entorno de la nube.

¿Cómo Walmart, especialmente con el creciente segmento en línea, aplica 'confía, pero verifica' a los socios externos?

Geisler: Depende de qué es lo que vamos a compartir con ellos, o lo que nos van a hospedar; eso realmente determina qué tipos de certificaciones vamos a buscar de esas organizaciones o qué tipo de evaluación vamos a realizar. Luego, con base en lo que aprendemos de esas evaluaciones, volveremos al negocio o al equipo de tecnología que está buscando realizar transacciones con ese tercero en particular con una recomendación. Y la recomendación puede requerir mitigación o remediación por parte de un tercero. Puede haber un aviso de riesgo para nuestros socios internos.

Walmart ha abierto varios centros tecnológicos. Se abrió uno en Plano, Texas, en marzo, y se habló sobre internet de las cosas, aprendizaje automático y otros proyectos. ¿Alguno de esos proyectos se relacionará con la seguridad?

Geisler: Ciertamente. Cuando evolucionemos a un punto donde esperamos implementarlo en un entorno de producción y obtener algún valor comercial, nos comprometeremos con él. La apertura de los centros tecnológicos es una estrategia de localización para acceder a otros mercados que son ricos en talento tecnológico. Para incluir la seguridad, tenemos la intención de utilizar algunos de esos centros para expandir algunas de nuestras propias prácticas en términos de reclutar el talento que necesitamos en Walmart.

¿Le preocupa que los atacantes usen el aprendizaje automático y la inteligencia artificial? Se ha debatido mucho en la industria de seguridad sobre el uso de estas tecnologías por parte de los actores de amenazas.

Geisler: Conforme las capacidades para esas tecnologías evolucionan, sin duda, es razonable esperar que los adversarios aprovechen esas cosas para atacar a las organizaciones. Y mi punto de vista es que, cuando comencemos a dar vuelta esa esquina, las organizaciones se defenderán utilizando el mismo tipo de tecnología.

Cuando ves nuestra solución SIEM que está recopilando todos los eventos para nosotros en todo el mundo, tenemos que aprovechar un cierto grado de aprendizaje automático para comprender lo que está ocurriendo en todo el entorno, y también lo aprovechamos para evaluar cuándo tenemos eventos que no son necesariamente gestionados automáticamente por una de nuestras capas de seguridad, sino que son emergentes para uno de nuestros ingenieros. [Observamos] cómo están respondiendo, y luego lo comparamos con cómo los compañeros respondieron previamente a eventos similares para que podamos entender a nivel humano cuál es la eficacia de nuestra respuesta. ¿Tenemos oportunidades de capacitación porque alguien encontró una mejor manera?

Hay un evento llamado Cyber Grand Challenge; lo pone DARPA y demostraron en el evento del año pasado cómo un sistema autónomo podría defenderse. Y fue realmente fascinante verlo, porque estos sistemas estaban completamente aislados de la intervención humana. Tres de los sistemas fueron instruidos para identificar vulnerabilidades en un sistema objetivo y atacarlas y explotarlas. Y a medida que los sistemas lo hicieron, en realidad estaban identificando días cero que no se habían conocido previamente, y estaban explotando esta superficie de ataque.

Al mismo tiempo, el sistema encargado de defender el sistema pudo identificar esos ataques, mitigar los ataques y, finalmente, comenzar a buscar de forma proactiva la superficie de ataque y arreglar las cosas antes de que pudieran ser explotadas. Fue realmente vanguardista. Ciertamente, no es nada que esperemos ver a gran escala en este momento, pero sí abrió esa puerta para decir: 'Esto es lo que es posible'. Creo que a medida que vea que estos tipos de herramientas se vuelven más accesibles y disponibles donde se usan para diversos fines, se usará la misma tecnología para defenderse de aquellos que tienen intenciones maliciosas.

Estoy seguro de que ha seguido algunos de los problemas de la Regulación General de Protección de Datos y de privacidad de datos que han surgido con respecto a Facebook y otras compañías. ¿Walmart está capturando una gran cantidad de datos? ¿Cómo se usan o aseguran esos datos?

Geisler: Nuestras prácticas de privacidad recaen en otra oficina; puedo hablar de ello hasta cierto punto. Publicamos nuestras políticas de privacidad en lo que respecta a los consumidores, y tenemos muy claro qué datos recopilamos y cómo los utilizaríamos. Y, ciertamente, Walmart ha recopilado una cantidad considerable de datos que son impulsados por nuestras operaciones minoristas. Estamos buscando capturar esa experiencia omnicanal del consumidor. La misión de Walmart de ayudar a las personas a ahorrar dinero y vivir mejor está realmente en el corazón de la empresa. Y ahorrar dinero no solo se puede encontrar en el punto de precio; también se puede encontrar en cómo vamos a hacer que ese viaje de compras semanal sea mucho más eficiente para usted como consumidor para darle ese tiempo de vuelta y pueda aplicarlo a otras prioridades en su vida.

¿Qué piensa sobre los problemas de privacidad de los datos de los consumidores que se discuten en Facebook?

Geisler: Ciertamente, ha habido un flujo y reflujo en términos de clientes o incluso en lo que ciertas generaciones sienten sobre la privacidad y cómo se utilizan sus datos. Creo que se está viendo la vanguardia de eso en Europa con el derecho a ser olvidado, con el cual los consumidores pueden decir: 'No quiero que me rastreen; no quiero que guardes cosas sobre mí’.

Como profesional de seguridad, mi prejuicio es que menos datos es mejor, porque si tenemos incidentes de seguridad, tenemos menos datos [que pueden ser expuestos]. Obviamente, las empresas pueden considerar eso de manera bastante diferente en términos de: ‘Queremos datos para poder entender a ese cliente’. Y no estoy hablando de Walmart aquí, solo estoy hablando en general. Se remonta exactamente a lo que Facebook está haciendo: ¿Ellos están viendo cómo obtenemos información a través de esa información? Personalmente, tiendo a sesgar más hacia la privacidad y los derechos individuales, así que creo que es una conversación que la sociedad en general necesita tener [sobre] dónde las personas pueden elegir cómo se usan sus datos.

Este artículo se actualizó por última vez en junio 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close