Stu Hirst de Trustpilot es un profesional experimentado en seguridad de la información cuya motivación radica en utilizar una variedad de herramientas y técnicas para mantener su negocio en línea seguro y protegido de los depredadores externos.
“Internet es un lugar tan salvaje que la confianza es un imperativo para atravesarlo”, dice el director de seguridad de la información (CISO). “La seguridad cibernética sigue desempeñando un papel importante en la protección no solo de los datos, sino también de las experiencias que tienen las personas y su confianza en los productos que utilizan”.
Después de haber trabajado anteriormente en seguridad para Trainline, en el equipo de liderazgo cibernético en Capital One UK y como director interino de seguridad de la información en Just Eat, Hirst se unió al sitio web de reseñas de consumidores Trustpilot en marzo de 2021. hacer crecer el negocio era una propuesta atractiva.
“Era la misión: crear la capa de confianza de Internet y centrarse en cómo encaja la seguridad en eso”, dice. “Me uní justo antes de la salida a bolsa, por lo que la empresa estaba pasando de una empresa privada a una pública, con todos los requisitos que eso conlleva, incluso desde el punto de vista de la seguridad. Era una oportunidad de entrar y realmente impulsar las cosas”.
tomando las riendas
Trustpilot se fundó en Dinamarca en 2007 y, tras salir a bolsa a principios de 2021, cotiza en la Bolsa de Valores de Londres. Hirst, quien habló con Computer Weekly en la conferencia tecnológica anual ScotSoft organizada por el organismo comercial ScotlandIS, explica cómo tiene una variedad de roles y responsabilidades como Trustpilot CISO.
“Soy responsable ante la junta y, cada trimestre, presento el estado actual de la seguridad”, dice. “En el día a día, me he centrado en construir y escalar el equipo. También formo parte del liderazgo tecnológico y de productos en esta empresa, por lo que a menudo me involucro en otros aspectos del negocio”.
“Internet es un lugar tan salvaje que la confianza es un imperativo para atravesarlo. La seguridad cibernética sigue desempeñando un papel importante en la protección no solo de los datos, sino también de las experiencias que tienen las personas y su confianza en los productos que utilizan”.
Stu Hirst, Trustpilot
El equipo de seguridad de Hirst cubre cuatro áreas principales: operaciones de seguridad, que incluye la búsqueda de amenazas y los requisitos de respuesta a incidentes; seguridad en la nube en los entornos de Amazon y Google de la empresa; seguridad del producto, que incluye codificación, prueba y búsqueda de vulnerabilidades; y riesgo, cumplimiento y auditoría, que dice que se ha convertido en una mayor prioridad en los últimos 18 meses.
Como una adición adicional a su función, Hirst asumió recientemente la responsabilidad de la ingeniería de confiabilidad del sitio. Él dice que Trustpilot ahora ha combinado los equipos de seguridad y confiabilidad del sitio debido a las “sinergias diarias” entre su trabajo.
Después de llegar a la cima de la profesión de seguridad, Hirst dice que convertirse en CISO es el trabajo de sus sueños. “Me encanta llevar a las empresas en un viaje cultural y técnico. También me encanta el aspecto de liderazgo de la seguridad y tratar de construir y motivar equipos”, dice.
“Me gusta resolver problemas que no se han resuelto antes, ya sean específicos de la industria o relacionados con la economía de Internet en general. Siento que la seguridad todavía es bastante nueva en gran parte de la industria de TI en general, a pesar de que hemos estado dando vueltas un poco. Siento que estamos resolviendo algunos problemas de nicho en seguridad cibernética”.
Desarrollando una fuerte capacidad
Después de 18 meses en el rol de CISO en Trustpilot, Hirst dice que su mayor logro hasta ahora es construir y escalar el equipo de seguridad interna.
“Una de las principales razones por las que me uní fue que se me dio la capacidad de decirle a la junta lo que creía que necesitábamos desde el punto de vista de la mano de obra, el punto de vista de la capacidad técnica y cómo todo ese enfoque en la seguridad debería integrarse en el organización. Hemos hecho un gran progreso, pero todavía estamos en ese camino”, dice.
“Me encanta llevar a las empresas en un viaje cultural y técnico. También me encanta el aspecto de liderazgo de la seguridad y tratar de construir y motivar equipos. Me gusta resolver problemas”
Stu Hirst, Trustpilot
Hirst ha logrado captar la capacidad demandada que su negocio necesita a través de una variedad de medios. Además de aprovechar los contactos de la industria, desempeña un papel importante en la comunidad escocesa de seguridad cibernética. Hirst dice que esta sólida red significa que recibe buenos candidatos para nuevas oportunidades en el equipo.
Ahora mismo, el equipo de seguridad de Trustpilot se centra en dos áreas clave. En primer lugar, la gestión de incidentes y eventos de seguridad, que implica implementar las herramientas adecuadas para identificar las amenazas que podrían estar ocurriendo en la infraestructura y las aplicaciones de la empresa. Hirst dice que su equipo utiliza algunos “productos líderes en el mercado”.
La segunda área clave de trabajo se centra en la seguridad del producto, lo que implica escanear el código en busca de vulnerabilidades y errores antes de que algo llegue a un entorno de producción. Una vez más, el equipo utiliza una herramienta líder en el mercado, pero Hirst dice que el trabajo depende de la integración de la tecnología en las prácticas generales de codificación de la empresa.
“Eso es un poco de un viaje”, dice. “No sucede de la noche a la mañana. Tienes que mejorar las habilidades de los ingenieros, para que entiendan lo que significan algunas de esas prácticas de codificación, y necesitas que el equipo de seguridad trabaje junto a ellos para ayudarlos a navegar a través del ruido”.
Empujando el cambio rápidamente
Hirst dice que el uso eficaz de DevSecOps, que implica la introducción de la seguridad antes en el ciclo de vida del desarrollo de software, es una táctica crucial en el trabajo de su equipo. “Se trata de eliminar cosas tan pronto como sea posible en el proceso porque luego tiende a no volver y morderte más adelante”, dice.
DevSecOps tiende a ser una práctica popular en empresas de rápido movimiento como la suya, dado que estas organizaciones ágiles envían código de 10 a 100 veces al día.
“Te das cuenta de que esos entornos están cambiando casi constantemente en comparación con la forma en que probablemente era hace 20 años”, dice Hirst. “Y debe tratar de encontrar una forma de integrar la seguridad en un entorno que cambia cada minuto y cada hora. DevSecOps consiste en incorporar la mayor cantidad posible de elementos de seguridad en el desarrollo del producto o código”.
Gartner también reconoce a DevSecOps como una tendencia creciente, con nuevas técnicas que continúan surgiendo. La firma de analistas dice que más del 70 % de las iniciativas empresariales de DevSecOps incorporarán la vulnerabilidad de seguridad automatizada y el escaneo de configuración para componentes de código abierto y paquetes comerciales para 2023, lo que representa un gran aumento con respecto a menos del 30 % en 2019.
“En general, es muy específico del código”, dice Hirst, refiriéndose a los esfuerzos de DevSecOps de su empresa. “Por lo tanto, mucha automatización, como el escaneo de códigos y el intento de solucionar errores. Y parte del trabajo tiene más que ver con el aspecto cultural: hacer las cosas a su ritmo, incorporar DevSecOps en entornos ágiles y tal vez no hacer algunas de las cosas más tradicionales que podría hacer una empresa que no trabaja en un entorno de nube”.
La empresa es un gran usuario de Amazon Web Service (AWS) y Google Cloud Compute, por lo que la seguridad en los entornos de nube también es crucial. El equipo de Hirst evita los procesos enrevesados e intenta impulsar el cambio en sus entornos de TI lo más rápido posible: “Tenemos que encontrar formas de ver lo que está sucediendo o de solucionarlo en el momento”.
Lidiando con desafíos
Hirst reconoce que todos los CISO enfrentan una batalla interminable cuando se trata de seguridad de la información. “El panorama de amenazas en evolución es lo que me mantiene despierto por la noche porque todavía no sé lo que no sé”, dice.
“El panorama de amenazas en evolución es lo que me mantiene despierto por la noche porque todavía no sé lo que no sé. A veces solo estás tratando de reaccionar a las cosas a medida que suceden. Las cosas en las que pensaba hace un año ahora no están en lo más alto de la lista o ha sucedido algo más que cambia sus prioridades”
Stu Hirst, Trustpilot
“A veces, solo estás tratando de reaccionar a las cosas a medida que suceden, en lugar de tener la previsión de lo que podría venir. Las cosas en las que pensaba hace un año ahora no están en lo más alto de la lista o ha sucedido algo más que cambia sus prioridades. Esa es la principal preocupación”.
Hirst dice que otro desafío clave es poder comprender qué es la nueva amenaza y qué podría significar para el negocio: “A veces, hasta que alguien más sufre un incidente, no estás seguro de quién viene detrás de ti o por qué”.
De manera más general, todos los CISO enfrentan un entorno de seguridad cada vez más complejo en este momento, especialmente dadas las condiciones macroeconómicas más amplias y las preocupaciones geopolíticas y de seguridad relacionadas con la invasión de Ucrania por parte de Rusia. Agregue la continua demanda de talento y Hirst dice que todos los CISO tienen una lista repleta de tareas pendientes.
“Hay un nivel de desgaste en la industria de la tecnología y la gente se está moviendo mucho. Ha habido algunas ventajas en estas cosas, como el trabajo remoto y la capacidad de tener personas talentosas de todas partes ahora, en comparación con donde se habrían ubicado históricamente”, dice.
“Pero el clima global sigue complicando las cosas. También hablamos de una escasez de habilidades a veces, y hay algunas áreas de nicho más de seguridad que son bastante difíciles de llenar. Eso puede ser difícil. Y todavía tenemos un problema de diversidad que llevará mucho tiempo resolver”.
Incorporación de prácticas de seguridad
El papel de Hirst es ayudar a sus colegas de Trustpilot a enfrentar estos desafíos y superar cualquier obstáculo que se interponga en su camino. Su objetivo para los próximos dos años es garantizar que la seguridad de la información esté en el centro de las actividades organizacionales.
“La seguridad no es solo un aspecto técnico, es culturalmente importante en toda la empresa”
Stu Hirst, Trustpilot
“Quiero llegar al punto en que la seguridad esté realmente integrada en todo lo que hacemos”, dice. “Y no se trata solo de los productos que construimos, sino que todos los empleados realmente piensan en la seguridad como parte de su trabajo diario. Quiero que sea parte de los ciclos de planificación en diferentes equipos”.
Hirst reconoce que es afortunado de trabajar con una junta que apoya su visión. Incluso antes de unirse a Trustpilot en 2021, la empresa reconoció el papel fundamental de la seguridad. El objetivo de Hirst es garantizar que su equipo proporcione los procesos y las políticas correctos para reducir los riesgos potenciales.
“Mi objetivo es brindarles la información correcta en el momento adecuado sobre cuáles son los desafíos y qué estamos haciendo al respecto. Les gusta ver un plan. Quieren saber que estás lidiando con lo que sea que esté surgiendo y que existe un plan para hacer algo al respecto”, dice.
“La seguridad no es solo un aspecto técnico, es culturalmente importante en toda la empresa. Quiero que podamos posicionarnos para enfrentar lo que sea que nos depare como empresa los próximos 24 meses y navegar esos desafíos con éxito”.
