La Seguridad es un elemento esencial en Cualquier Empresa, Independigenction del secteur en el que opere. El ciso se ha convertido en una figura figura imprescinable y tinene una función cada vez más important en la estrategia y el negocio de las organisaciones. Si su Labor est fondamental, en el caso de una compañía tecnológica se multiplica: no sólo tiene que protéger a la empresa para la que trabaja, sino también desarrollar y hacer que las soluciones que desarrolllan, seang seguras. Es El Caso de Andrew Cunje, Ciso de Appian. Hablamos con él sobre su trabajo y la importancia creciente que tinene la ciberseguridad.
Entrevista Con Andrew Cunje, Ciso de Appian
¿Cuál es su función en appian?
Llevo Cinco Años en Esta Compañía. Antes de Appian, estuve en Salesforce, Donde Tenía Mucho Trabajo Relacionado Con la Infrastrucura. Al Llegar A Appian, El Equipo Que Dirijo se Encarga de la Seguridad Tanto de la Productción Como de la Empresa. Así que tenemos doses equipos de ingeniería séparados que crean Servicios en la empresa, protegen la empresa y Crean Servicios para la productción, construyendo los bloves de la infrastrectura. Tambiénn contamos con e equipo de respuesta a incites y con la función de comeralización. Así que nos encargamos de la Confianza, El GRC, las vendas y la seguridad, y también cuando hay cuestionarios o Auditorías. Tambiénn contamos con dos abogados especializados en ciberseguridad. El equapo ha crecido Mucho. Ahora Somos Unas 70 Personas. Es una gran inversión.
¿Cuál es la Estrategia de Cibreguridad de la Empresa? ¿Aplican la Misma Estrategia A SUS Clients?
Si. La Mejor Manera de décrivant la seguridad en appian es que contamos con 30 Certificaciones Diferentes, por lo que estamos muy regullados para nuestros Clients. Y Tomamos ESAS Certificacantes en Todos los países en los que operamos. Y es un Lenguaje Común para nosotros. Cuando Pensamos en Cualquier Control, Parámetro o Solución de Seguridad, Intentamos Hacerlo Para Todos los Clients. Y en ese escenario inclumos une client de Como Appian.
ENES ESAS 30 CERTIFICACIONES, APlicamos la Seguridad en Todos los Casos, Porque Lo Que es Bueno Para un Clientte ES Bueno Para El Siguiente, A Menos Que se trate de algo Concreto Como, Por Ejemplo, la Seguridad Fips (Esándares Federalces de ProCesamiento de Información). Quizás El Gobierno Español no Quiera Seguridad Fips o Cifrado Fips. Así Que, en amorce lugar, lo reductimos a ese concepo básico. Lo siguiente que hacemos es fijar los fondamentos de la seguridad, y punto. Lo que Quiero décor esto es Que, Cuando Incorporamos la Seguridad en el producto, queremos asegurarnos de que los composants básicos fondamentales que lo hacen seguro estén présente. Así, Si Creamos una carga de trabajo en la empresa o para la infraestrucura de un client, ésta contará con todos los elementos básicos o la cadena de suministro adecuados que le permitirán iniciar un servicio de forma segura. Nuestra Idea Pasa, en Definitiva, por sentar las bases de la seguridad y, a continuación, ampliarla.
Hoy en Día, Los Agenttes de Ia Ocupan Varios Casos de Uso y Parece La Tecnología de Moda. ¿Qué Implicaciones Tienen los agents en Términos de Seguridad, ya que Actúan dentro de la plataforma y Desencadenan diffates accions dentro de la plataforma de appian? ¿Esto tambiéna adecta a su área de responsabledad?
Si. Cualquier Producto Desarrollado Internramente Para Nuestros Clients O Cualquier Solución Para nuestros Empleados Interactuaría Con El Equipo de Seguridad. Así que contamos Con una Evaluación de Amenazas, contrôle de Cumplimiento y contrôle les normativos. En Definitiva, La Seguridad Está Integrada en Nuestro Ciclo de Vida del Desarrollo de Software, Ya Sea en Productción O en la EMPRESA. En cuanto a los agentes de ia y cómo lo vemos de forma diffete, la mejor manera de empezar a pensar en ese panorama o en nuestra forma de verlo es que se trata si simpmente de una identidad no humana. Es solo otra identidad que interactúa con los datos. Y toda nuestra seguridad sigue los datos. Así Que, indépendance de Dónde se passrend los datos, dépendance del contexto de esos datos, dépendancedo de losgos asociados a esos datos oa esa aplicación, se les aplicará una política diff. Y esto es lo que ofremos o ampliamos a nuestros client Cuando Trabajan con Appian.
¿Cómo pUeden los atacantes Acceder a los datos? Por ejemplo, yo podría crear un agente sobre la Marcha y pedirle que buscara los datos que me interesan. ¿Cuáles fils los eccenarios que ha evaluado y qué medidas correctivas ha aplicado?
Con la seguridad de la ia, se trata tanto de protéger los datos como de comprobar los modelos. Por eso, una de las cosas que appian tiene muy Claras es, en amorce lugar, que se trata de una ia privada. En Segundo Lugar, tenemos un objeto. SE LLAMA «Lista De Materiales de Software». Se trata de la lista de matériaux de ia. Algunas de las cosas que hacemos fils como una desinfección de la entrada. Queremos Asegurarnos de Que no Intentan Engañar al Modelo de Para que haga algo que no te gustaría que hiciera. Pero, de Nuevo, Todo se remonta a la base de nuestra infrastructura, que cuenta con todas estas Barreras de Seguridad, empezando por el acceso a los objetos. Pas de queremos que tengan un acceso excisivamete permisivo. Por Supuesto, esto es algo que se intégra en el proceso en cada paso del camino para los client.
Pero, ¿qué hay de protéger al propio agente?
LOS PROPIOS Agenttes Se Crean Dentro de la Plataforma Appian. ESA Plataforma Cuenta Con Todos los Marcos Normativos y Todos los Elementos de Seguridad. Está construida con La Misma Plataforma de infrastrucura en la que se Basa Appian y crea la Misma infrastrucura de agents dentro de Appian.
Todas las Plataformas, incluidas las de appian, se basan en tres elementos, que fils la tecnología, la seguridad y el cumplimiento normativo. ¿Es muy difícil combinar estos tres factores en una plataforma como la de appian?
La Mejor Manera de Combinar Los Tres Elementos debe Partir Siempre Desde El Punto de Vista de la Seguridad. En appian impleftimaremos todo lo que sea necesario para Garantizar la Seguridad. Nunca vamos a relajar los contrôle. Ahora bien, la pregunta es: ¿cómo se puede avanzar rápidamete a gran escala? Creo que se remonta a lo que dije al Princio, que es tener una Estrategia de Seguridad sólida Basada en Princimios de innovación segura. Así que, si vamos a crear este nuevo Servicio, sabemos que va un récurrent a los Servicios adecuados para los certificados y los condenedores seguros, de modo que podamos escalar muy rápidamete. Porque lo último que quereremos es ralentizar la innovación. Para mí, la seguridad y la innovación pas de fils incompatibles. Fils complémentarias.
