Célia Séramour: ¿Cuál es exactamente el alcance de su función?

Larkin Ryder: Soy director sénior de seguridad de productos en Slack, donde he trabajado durante más de seis años. Me contrataron originalmente en 2016 como Director de Riesgos y Cumplimiento. Luego ocupé varios puestos, incluido el de director de seguridad interino, antes de asumir mi puesto actual.

CS: ¿Cómo llegó a ser tan importante el tema de la seguridad en Slack?

LR: Antes de la creación del equipo de seguridad, Cal Henderson, cofundador y CTO de Slack, creó un programa de recompensas por errores en 2014. Luego, Slack contrató a su primer profesional de seguridad y yo probablemente fui la cuarta persona contratada en esa área.

El entonces jefe de seguridad de productos inició dos proyectos. El primero consistió en asociarnos con el equipo de desarrollo para asegurar que los desarrolladores tomaran en cuenta el tema y utilizaran las mejores prácticas en esta área, alineadas con el Top 10 de OWASP. En 2018, cuando asumí como director del programa, tuve la oportunidad para desarrollar este proyecto. Allí trabajaron seis personas en estrecha colaboración con los desarrolladores. Ampliamos el rol del equipo, reclutando más personas, aprovechando más herramientas y ampliando las capacidades de las soluciones que ya están en uso y enfocándonos más en áreas con riesgo identificado.

El segundo proyecto consistió en integrar directamente un equipo de desarrolladores dentro de la división de seguridad, algo bastante inusual. La mayoría de las organizaciones de seguridad no tienen la flexibilidad para hacer esto. Este equipo escribió los componentes más sensibles del producto. Entonces, mientras los profesionales de la seguridad solo se ocupan de la seguridad, los desarrolladores de Slack se centran en las complejas cuestiones de confiabilidad, escalabilidad, usabilidad, accesibilidad y funcionalidad que nuestros clientes necesitan.

CS: Desde una perspectiva organizacional, ¿cómo se gestiona la seguridad de Slack?

LR: El equipo actualmente cuenta con alrededor de 70 personas, está dividido en tres actividades. Mi equipo se encarga de todas las características y funciones de la plataforma que opera en un entorno seguro. También garantiza la seguridad de todo el código de Slack. Esto incluye servicios web, así como aplicaciones cliente que se ejecutan en su escritorio o dispositivo móvil. El equipo de operaciones de seguridad, la segunda actividad, es responsable de la infraestructura. Gestiona el sistema de monitoreo y alertas y mantiene un registro de los eventos de seguridad en toda nuestra infraestructura. También crearon la red de cifrado Nebula que utilizamos hoy. Es una solución que desarrollamos, antes de AWS Nitro, para conectar computadoras de todo el mundo de manera transparente y segura. Finalmente, la tercera actividad es gestionada por el equipo de riesgo y cumplimiento. Este es el que me contrataron inicialmente para desarrollar en 2016.

CS: ¿En qué consiste el trabajo de su equipo en la plataforma?

LR: Siempre he dicho que lo más fácil que puede hacer un responsable de cumplimiento es atribuirse el mérito de un excelente programa de seguridad (en este caso, ya existente). Sin embargo, desde sus inicios, Slack ha integrado la seguridad en el entorno operativo a un nivel muy fundamental. La empresa era extremadamente competente en el seguimiento y alerta sobre eventos de seguridad en el entorno operativo. Una vez adquirido y manejado bien, el resto del programa de seguridad fluye de él, porque puede ver muy rápidamente cómo es una situación normal en su entorno. Cualquier anomalía se convierte entonces en un evento que puede ser objeto de una alerta y usted puede impedir el acceso a su entorno..

También realizamos evaluaciones con proveedores externos. Esto nos ha permitido obtener diferentes certificaciones, como SOC 2, SOC 3 o las normas ISO 27 001, 27 017 y 27 018. Pero también tenemos que integrar la seguridad en el producto. Y ahí es donde mi equipo realmente entra en juego. Garantiza que cuando los desarrolladores construyen, lo hacen de forma compatible. Uno de los grandes cambios de los últimos dos años es que comenzamos a trabajar con agencias gubernamentales de EE. UU. para usar Slack, incluida la adaptación a algunos de los estándares de seguridad más altos del estado. La mayoría de empresas como Slack, proveedores de soluciones SaaS, deben cumplir con FedRAMP (Programa Federal de Gestión de Autorizaciones y Riesgos) para poder trabajar con este tipo de organizaciones. Para ello, proporcionan un entorno separado y extremadamente seguro donde aíslan estos organismos, con cierre reforzado. Los demás clientes se encuentran en un entorno más ágil y amigable, pero menos protegidos. Sin embargo, decidimos mejorar este entorno para que todos nuestros clientes trabajen en Slack con el mismo nivel de seguridad que las agencias gubernamentales.

CS: Hoy hablamos mucho de ciberseguridad. ¿Qué tipo de amenazas encuentras?

LR: La principal amenaza que vemos es la motivada por motivos económicos. Las personas buscan acceso a datos de personas para chantajearlas o implementar ransomware. Algunos quieren acceso a potencia informática para la minería de bitcoins, para utilizar servicios de ingeniería social para lanzar ataques contra el personal directamente responsable de las transacciones financieras de una empresa, con el fin de obligarlos a transferir un millón de dólares en cuentas en Suiza, por ejemplo.

CS: El sector de la salud se ha visto particularmente afectado últimamente, sobre todo por la falta de protección. ¿Es esto una prioridad para usted?

LR: Sí. Uno de los primeros proyectos en los que trabajé cuando me uní al equipo de Riesgos y Cumplimiento fue el cumplimiento de HIPAA, que protege la información de salud en los Estados Unidos. La protección de los datos de salud es una de nuestras prioridades con la capacidad de los profesionales de la salud de concentrarse en la atención sin preocuparse por la seguridad de los datos. Y en este sector que trata con datos muy sensibles, prestamos especial atención al ransomware. En este sentido, la nube supone un auténtico valor añadido.

CS: ¿Puedes volver al incidente de diciembre de 2022 que afectó a los repositorios de GitHub?

LR: No hubo ningún compromiso, solo una pérdida de integridad de nuestro entorno operativo. Fue un proveedor externo con el que trabajamos el que se vio comprometido al intentar acceder a los datos de GitHub para brindarnos su servicio. Seguimos trabajando con él para garantizar que haya recuperado la integridad de su servicio. Realizamos un análisis exhaustivo de cualquier evento de este tipo para comprender el impacto potencial en los datos de nuestros clientes o la integridad futura de nuestros sistemas. Y la conclusión de esta investigación es que no existe ningún impacto actual ni futuro en los datos de los clientes.

CS: ¿Cuáles son las demandas de sus clientes en términos de seguridad?

LR: ¡Tantas cosas diferentes! La mayoría de las veces quieren todo gratis. Esto es completamente comprensible y me gustaría poder satisfacerles. Pero la prestación de funciones de seguridad, a veces delicadas, tiene aspectos económicos, con costes asociados. Una de las primeras solicitudes de nuestros clientes es más ayuda. Debemos apoyarlos en su trabajo con los diferentes servicios de autenticación disponibles. Es interesante cuántas veces los usuarios de la plataforma no utilizan la autenticación de dos factores. Con todos los servicios SaaS que operan, deberían usarlos. Para reducir el riesgo de apropiación de cuentas, por ejemplo, estamos proporcionando más registros de auditoría y, recientemente, identificamos más eventos "anormales" en estas auditorías. La mejor respuesta a este tipo de amenaza es monitorear constantemente los eventos de inicio de sesión y el comportamiento de la sesión del usuario. También es necesario garantizar la posibilidad de restablecer sesiones si surge un evento inusual.

Surgen muchas preguntas sobre cómo colaborar de forma segura en Slack, de forma remota y asincrónica. Slack Connect satisface en gran medida esta necesidad. Entonces, lo que muchos de nuestros clientes no saben es que ya hacemos algunas comprobaciones: cuando cargas un archivo en Slack, lo escaneamos por ti. Analizamos 500 millones de archivos al día en busca de malware. Esto es especialmente importante cuando se trata de una empresa externa porque no tienes control sobre el estado del equipo que interactúa con tu empresa a través de Slack Connect. No es aceptable que algún día esta herramienta se convierta en un vector de compromiso.

CS: Ha mencionado varias veces Slack Connect y sus especificidades, en particular la posibilidad de comunicarse con personas externas. ¿Qué implica esto desde el punto de vista de la seguridad?

LR: Proporcionamos muchas funciones de seguridad adicionales para Slack Connect. Así, un usuario propietario de un canal y que lo comparte con una estructura externa puede gestionar en parte la forma en que se intercambian los datos en este canal. Esto incluye gobernanza de datos, DLP, configuración de retención, eDiscovery y más habilitado en la organización de Slack. Estas configuraciones se aplican a todos los datos compartidos en el canal Slack Connect y Slack proporciona notificaciones sobre cómo se utilizan estos datos. En concreto, si has añadido un archivo a un canal de Slack Connect y este archivo se está viendo y descargando, lo descargarás y también tendrás visibilidad de las acciones realizadas. Esto va mucho más allá del correo electrónico, ya que puede mantener visibilidad y control sobre esta información. Puede revocar el acceso, limitar el acceso para el equipo remoto o eliminar el archivo, asegurándose de que este equipo solo tenga permisos de visualización. También puedes personalizar los permisos de descarga en tu organización para este canal.

CS: ¿Cómo encaja Slack en el panorama de las soluciones de Salesforce? ¿Qué capas adicionales de seguridad se necesitan?

LR: Todavía estamos en los primeros días y estamos tratando de descubrir cómo integrar Slack con los diferentes productos de Salesforce. Esta no es nuestra primera integración con otros productos. Gran parte del trabajo de mi equipo consiste en garantizar que la API funcione de forma segura y que tenga las funciones necesarias para mantener seguras a las personas que utilizan estas integraciones. Se trata entonces de garantizar que estas funciones cumplan con las expectativas del cliente. Contamos con un modelo de seguridad existente para trabajar con Slack en el que solicitamos a nuestros proveedores de aplicaciones que proporcionen tokens muy específicos para que puedan controlar las funciones que necesitan. En el evento Salesforce World Tour en Nueva York en diciembre de 2022, anunciamos características integración entre Slack y Sales Cloud.

Este es uno de los ejemplos más recientes. En términos más generales, nuestra API muy escalable realmente pone todas las funcionalidades del producto a disposición de los clientes. En este contexto, mi equipo se asegura de que todas las aplicaciones de este catálogo sean seguras. Por eso, trabajamos con el equipo de administración del catálogo de aplicaciones para determinar los criterios de seguridad que se deben revisar para cada aplicación enviada y luego realizamos pruebas de penetración reales de las aplicaciones de alto riesgo. Aquellos que potencialmente podrían leer los datos de una organización de usuarios y mantener el acceso a ellos. Por supuesto, nuestros clientes más preocupados por la seguridad realizarán sus propias pruebas de nuestra plataforma y eso lo agradecemos. Es muy difícil tener siempre confianza como responsable de seguridad. Nuestro trabajo es ser escépticos.