La importancia de una CMDB sólida para la seguridad de su organización

Sean Dawson: Hola, y bienvenidos a otro episodio del Podcast Distillery de Cask, donde realmente profundizamos y desbloqueamos todo el potencial de ServiceNow con ideas de expertos y estrategias prácticas, sólo aquí en el Podcast Distillery de Cask. Y yo soy su anfitrión, Sean Dawson. 

Y tengo el placer de tener conmigo a Mike Stolp, que lleva 29 años desplegando algunos de los entornos informáticos más grandes y complejos del mundo. Tiene un CISSP, es un pensador creativo -y he trabajado con él personalmente- con 20 años de experiencia en diseño de sistemas y actualmente es el director del área de práctica de seguridad aquí en Cask. Y de lo que vamos a hablar hoy es de la importancia de una CMDB sólida para la seguridad de su organización.

Muchas gracias, Mike, por sacar tiempo de tu apretada agenda para hablar hoy con nosotros. Muchas gracias. 

Mike Stolp: Absolutamente. Es genial estar aquí. 

Sean Dawson: Oh, bien. Va a ser una gran conversación. Y tengo algo que siempre me gusta empezar para nuestros oyentes, observadores, sin embargo, están consumiendo el podcast, es hablar de lo básico. Y una de las cosas que recuerdo estar en una llamada con usted y estábamos hablando de CMDB y la forma en que fue a través de él - era simplemente elocuente. Y yo quería obtener su punto de vista de que y hablar con nuestros oyentes / espectadores acerca de una visión general de alto nivel de CMDB y lo que es para que la gente puede sentarse a su alrededor y entenderlo.

Mike Stolp: Absolutamente. Desde el punto de vista de la seguridad, ¿verdad? Todo el mundo que esté familiarizado con la CMDB sabe que se trata básicamente de tu repositorio central para todos los activos y capacidades de TI de tu organización. Pero cuando lo miras desde el punto de vista de la seguridad, lo que realmente es es que te proporciona la fuente principal de información que puedes utilizar para averiguar muchos aspectos en términos de cómo proteger tu organización, dónde están tus riesgos potenciales, dónde están tus amenazas potenciales, gestionando esos riesgos, gestionando esas amenazas. Y podemos profundizar un poco más en cada uno de ellos.

Pero piense en esto: Piense en si usted es dueño de una casa y se le preguntó-que quería asegurar esa casa de cualquier persona tratando de entrar y mantener a su familia protegida y así sucesivamente, pero usted no sabía cuántas puertas que tenía. No estabas seguro de cuántas ventanas tenías. Tal vez ni siquiera estás seguro de cuántos pisos tienes o en qué parte de la calle vives. Y si no tienes esa información, es imposible proteger lo que no conoces. Y todo está ligado a esa casa. Si tienes una puerta trasera abierta o una ventana o una puerta lateral, puedes tener el mejor sistema de alarma del mundo. Pero si no están cubiertos todos los puntos de entrada y salida, tienes un problema.

Sean Dawson: Es una buena forma de decirlo. Otra cosa que suele surgir cuando hablamos de la CMDB -y es algo que veo que se vuelve aún más confuso- es qué papel desempeña CSDM en todo esto. ¿Puedes darnos una visión general de lo que es CSDM y cómo está relacionado? 

Mike Stolp: Por supuesto. El CSDM es, fue llamado el modelo de datos de servicios comunes. Y lo que hace es proporcionar taxonomía y ontología, ¿verdad? Esas son tus palabras de cinco dólares para hoy. La taxonomía es esencialmente sólo una definición de cuando digo "servicio técnico", ¿qué quiero decir con eso? Cuando digo "plataforma", ¿qué es una plataforma? ¿Es una plataforma de hardware? ¿Es una plataforma de software? ¿Cuáles son las subplataformas? ¿Forma parte de ellas? ¿Qué es un servicio empresarial? ¿Qué es un consumidor? ¿Qué es un proveedor? ¿Qué es el propietario de una plataforma? 

Todas estas cosas necesitan una taxonomía. Tenemos que definirlas para disponer de un modelo de datos común, de modo que, en toda la organización -desde TI hasta la ciberseguridad, pasando por las unidades de negocio-, cuando digamos: "Esto es un servicio de negocio definido", entendamos perfectamente que siempre estamos en la misma definición, ¿verdad?

Y de esa manera, lo que hace es que nos permite entonces, básicamente, ponerlos en los dominios correctos. Actualmente, hay cinco dominios dentro de la CSDM, y esos dominios nos permiten categorizar y gestionar la información que se encuentra dentro de la CMDB. Si lo piensas, es un diccionario de datos, es un marco, y es realmente crítico, y es crucial para cómo categorizamos e identificamos la información.

Básicamente es información sobre información, o datos sobre datos. 

Sean Dawson: Estupendo. Y de hecho empezaste llevando a esto. En conversaciones que hemos tenido en el pasado, has hecho una buena correlación entre la diferencia de datos e información. La CMDB es básicamente datos. Pero, ¿cuál dirías que es la diferencia entre los datos y la información?

Mike Stolp: Es una gran observación. Los datos son... piénsalo así: Si echas un vistazo a cualquier área metropolitana, es sólo una lista de direcciones, ¿verdad? ¿Cómo se hace un mapa de eso? Bien. Es el código postal, número de calle, apartamento o número de edificio. Es sólo una lista de información. Puedes ponerla en una hoja de cálculo. Y puedes saber muchas cosas a partir de eso. ¿Cuántas casas tenemos? ¿Cuántas personas tenemos en esas casas? Cosas por el estilo. Pero no te dice nada. No te da información sobre qué tipo de personas viven allí. ¿Cuáles son los diferentes tipos de comunidades? ¿Las casas son grandes o pequeñas? ¿Son unifamiliares? ¿Son multifamiliares? 

Y si echas un vistazo a eso y aplicas ese mismo concepto a un entorno de TI, esencialmente, puedes tener una lista de direcciones IP. Puedes tener una lista de, vale, tenemos 9.000 servidores. Tenemos 2.200 puntos finales, portátiles, ordenadores de sobremesa, etcétera. Eso es sólo una lista de datos. Lo que hace el CSC o la CMDB es contener esa información. Y eso es un montón de datos, pero no te dice nada acerca de, bueno, ¿cuántos parches necesito tener? ¿Qué ha estado fuera de servicio? ¿Dónde estoy en sus ciclos de vida? ¿Dónde están mis vulnerabilidades? ¿Dónde están mis amenazas? 

Con una buena CMDB, que son los datos, a continuación, puede utilizar que en un conjunto de herramientas diferentes dentro de la plataforma ServiceNow para empezar a extrapolar y decir: "¿Qué información necesito saber?" "¿Cuántos sistemas tengo que conforman un sistema crítico de negocio?". "¿Cuántos servidores, verdad? ¿Son servidores de nivel medio? ¿Son servidores de bases de datos? ¿Son on-prem o off-prem?". Todas estas cosas, de nuevo, con los datos correctos, se pueden extraer y convertir en información. Y entonces lo que eres capaz de hacer es actuar sobre esa información. 

En realidad, actuar a partir de datos es muy difícil. Tenemos que convertirlos en algo que realmente podamos utilizar. Una lista de direcciones de tu ciudad no te da mucho más que una lista de direcciones. ¿Una lista de activos en una CMDB? Eso sólo te dice que tienes un montón de cosas en tu CMDB. Pero lo que no hace es darte la información.

Ahora, ¿acompañas una buena CMDB con una buena plataforma que pueda consumir esa información de la CMDB? ¿Adivine qué? Los datos de la CMDB te dan esa información. Y entonces puedes empezar a tomar decisiones. ¿Cuáles son mis riesgos críticos? ¿Las vulnerabilidades? ¿Cómo los gestiono? Y así sucesivamente. 

Sean Dawson: Eso es genial. Porque una de mis esperanzas para esto era que los líderes miraran esto. Y, a veces, mirando, yendo, y la actualización o incluso la construcción de su CMDB puede ser costoso. Y no entienden por qué lo necesitan, y no entienden el panorama general. Vas a sacarle mucho partido cuando esté ahí. Y avanzando por la hoja de ruta de las cosas futuras, te da mucha flexibilidad en el futuro. Eso me encanta. Me encanta. 

¿Cómo puede una organización estar segura de que tiene los datos en la CMDB en primer lugar? 

Mike Stolp: Una de las cosas que puedes hacer es utilizar diferentes fuentes de autoridad de información. Piensa en un entorno informático. Tienes puntos finales. Tienes plataformas virtuales, ¿verdad? Las llamaremos servidores. En este punto, tenemos dispositivos virtuales. Tienes puntos de entrada y salida. Cada uno de ellos tendrá una fuente diferente de autoridad. 

Basta con echar un vistazo a, por ejemplo, todos sus puntos finales, ¿verdad? Uno de los... de hecho, hemos tenido organizaciones que vuelven a finanzas porque... piénsalo: Finanzas sabe si entienden los datos o no. No se trata de criticar a los financieros, por supuesto, porque pueden decirte cuánto dinero te has gastado en terminales. ¿Cuántos portátiles compró esta empresa u organización en los últimos dos años? Vale, coges esa lista y dices: "¿Cuántos puedo ver realmente? ¿Dónde están? ¿Los tengo todos? ¿Tengo más portátiles, o tengo más puntos finales conectados a mi entorno de los que realmente hemos comprado?". Esa es incluso la peor respuesta, ¿verdad? Cuántos de esos puntos finales ni siquiera conoces, o no... ni siquiera lo sabes.

Es decir, ese es el tipo de cosas en las que dices: "Vale, busca la fuente autorizada. ¿Cuántos deberíamos tener?" Y entonces usted tiene que ir a su entorno y decir: "Bueno, ¿cuántos tenemos?" 

Ahora hay diferentes maneras de equilibrar esos dos. Puedes usar diferentes herramientas de escaneo. Puedes usar herramientas de gestión de vulnerabilidades. Puede utilizar diferentes herramientas de escaneo de red. También puede, obviamente, utilizar la capacidad de descubrimiento de ServiceNow. Usted instrumento que, y esa cosa funciona fantástico. Encuentra todo lo que tienes, revuelve todas las piedras, mira debajo de los cojines del sofá y todo eso.

De nuevo, fuentes fidedignas. Compáralo con las exploraciones reales de lo que encuentres y comprueba si hay un delta, que suele haberlo. 

Sean Dawson: Cuando pensamos en CMDB, también quiero asegurarme de que estamos compartiendo la amplitud. ¿Qué toca la CMDB en el entorno de ServiceNow? ¿Cuáles son todas las cosas a las que se extiende?

Mike Stolp: Esencialmente, la CMDB es realmente el motor de la plataforma ServiceNow, ¿verdad? La CMDB contiene todos esos datos sobre un entorno de TI. Y no es sólo hardware y software. Es una definición de servicios de negocio, ¿verdad? Básicamente, se compone de lo que se denomina elementos de configuración. Estos elementos de configuración pueden ser físicos, lógicos y conceptuales. Además de eso, la CMDB también contiene información sobre otros aspectos de su entorno, como su estructura organizativa, ¿verdad? Que es-puede venir bajo un tipo de entidad de una estructura, que es parte de la CMDB.

Además, dispone de servicios empresariales. Tiene información financiera. Todo eso, si piensas en lo que contiene una CMDB muy rica, robusta y amateur, es más que una lista de cosas que posees o tienes. Cuando digo "desglosado", me refiero a un conjunto de datos muy lógico y disciplinado sobre la organización que, a través de múltiples lentes, incluida la seguridad, permite gestionar la organización mediante ese conjunto de datos de la CMDB.

Sean Dawson: Hemos Hemos hablado de lo que es la CMDB, de cómo se relaciona con la CSDM, de cómo asegurarse de que se está cogiendo todo lo que hay que meter en ella. Pero, ¿cuáles son los retos que ves asociados a la implantación y el mantenimiento de una CMDB? 

Mike Stolp: Ante todo, hay dos retos fundamentales. Uno es conseguir el patrocinio ejecutivo adecuado. Tener a alguien a un nivel lo suficientemente alto que se haga a la idea de que es crítico. Se necesita un nivel de esfuerzo. A veces es un nivel de esfuerzo que es bastante incómodo para la mayoría de las organizaciones, especialmente si estás empezando desde cero. Simplemente lleva su tiempo. Eso no significa que sea imposible. Hemos realizado implantaciones para organizaciones de todo el mundo, muy, muy grandes, ¿verdad? Las instituciones financieras que operan en todo el mundo y así sucesivamente. Hemos visto esta escala a escalas masivas. Ese es el primer reto es sólo conseguir la organización a nivel ejecutivo para comprar en él.

El segundo reto es establecer una estructura de gobierno y propiedad. Piense en esto: Es la CMDB es el repositorio central de todos los datos sobre los datos básicos sobre usted / su organización. Los individuos o el equipo que posee sus puntos finales es casi siempre diferente del equipo que posee su red, que posee, que es diferente del equipo que posee sus recursos de terceros, que es diferente del equipo que posee AWS o Azure o todos esos. Y es necesario asignar la propiedad de esa información en la CMDB. Nadie, ni una sola persona ni siquiera un equipo de personas, puede ser el propietario autorizado de la fuente o el propietario de los datos para todos estos tipos de datos. Tiene que ser lo que llamamos un modelo federado de propiedad de datos. Sí, eso significa que otras partes de la organización van a tener que implicarse y, obviamente, todo el mundo se ha suscrito en exceso, pero para que funcione, hay que establecerlo. 

Una vez establecido, se convierte absolutamente en la fuente de autoridad para la organización en su conjunto, si quieres saber cuántos de los que sea tienes, dónde están, qué están haciendo, cuántos años tienen, cuál es su postura de seguridad, cuánto te están costando, cuáles son sus riesgos. Si tienes un verdadero patrocinio ejecutivo y un modelo de propiedad de datos federado, podrás mantenerlo. 

Sean Dawson: Es una gran respuesta. La última pregunta que me gustaría plantearte, y es abierta en el sentido de, ¿hay algo que te gustaría compartir con la audiencia -con respecto a CMDB y la seguridad de la organización- hay algo que te gustaría compartir para aquellos que están considerando CSDM, CMDB, y la seguridad? ¿Algo más que quieras compartir con los oyentes? 

Mike Stolp: Sí, desde luego: No dejes que la desalentadora tarea te impida hacerlo. Es factible. Porque aquí está la cosa: Tienes todo eso ahí fuera. Tienes un entorno de TI muy complejo (prem, off prem, híbrido), tienes vendedores y proveedores de servicios y demás. Cuando empiezas a ver todo esto y piensas, vale, tienes que hacer todo esto y juntarlo todo, es -para usar la vieja frase que probablemente se usa demasiado- no trates de hervir el océano. No lo hagas. Empieza con lo que sabes, ¿vale? Comience con sus puntos finales. 

Piénsalo desde el punto de vista de la seguridad. Si usted fuera capaz de obtener una imagen, una imagen precisa de sólo sus puntos finales, que se conecta a su red, ¿verdad? Sobre una base muy fiable, o incluso mejor, quién debería estar conectado y quién lo está realmente, que muchas veces es diferente. Imagínate, sólo desde el punto de vista de la seguridad, lo que eso te da. O mejor aún, ¿cuántas plataformas tenemos realmente en nuestro entorno? ¿Por cuántas estamos pagando? ¿Por cuántas deberíamos pagar? ¿Cuántas estamos pagando que ni siquiera estamos utilizando? Todo eso empieza por una cosa. Empiece por un aspecto de su entorno informático y siga a partir de ahí. 

Lo segundo que te diría es que te busques un socio, alguien que haga esto todo el tiempo. Y esto suena como auto-venta, pero en realidad, es que es complejo de hacer. Ciertamente no es imposible. Es realmente muy necesario si quieres ser un entorno seguro, altamente operativo y altamente fiable: Coge un socio. Encuentra a alguien que pueda acompañarte en el viaje. Te dirá dónde, qué escollos evitar, cómo navegar. Y no va a tomar tanto tiempo como usted piensa. Requiere esfuerzo, pero merece la pena.

Sean Dawson: Estupendo. Genial, Mike. Muchas gracias de nuevo por sacar tiempo para hablar con los oyentes y nosotros y pasar tiempo juntos. Quiero pedir a la audiencia que, cuando vean esto, les guste y se suscriban. Si tienen algo que les gustaría oír de nosotros o vernos hablar más, nos encantaría saber de ustedes.

Comente, envíenos un mensaje, envíenos un correo electrónico... como quiera ponerse en contacto con nosotros. Háganoslo saber. Nos encantará saberlo. Y de nuevo, muchas gracias y cuídate.