Unas pocas columnas atrás1,utilicé el término “Oficial de Ciberseguridad”. Yo no había pensado en una posición con ese nombre hasta cuando lo escribí, pero el término se me pegó. Mientras escribía este artículo hice una búsqueda sobre este término, y no encontré nada2. Esto ha quedado dando vueltas en mi cabeza por largo tiempo. Por esto creo que ha llegado el momento de argumentar la necesidad de contar con esta posición (en nuestras organizaciones).
El Oficial de Seguridad de Información y el Oficial de Ciberseguridadr
Puedo oír la réplica ahora: No hay ninguna necesidad de un Oficial de Ciberseguridad porque esa función la realiza el Oficial de Seguridad de la Información (CISO).
Claramente Google piensa lo mismo. Una búsqueda para “ Oficial de Ciberseguridad”, en la mayor parte de los casos, entrega referencias de la posición del CISO. Yo mantengo mi postura de que existe una necesidad de ambas posiciones con, quizás, una relación de subordinación entre éstas, ya sea bien con una línea de puntos o una sólida. Veo al Oficial de Ciberseguridad teniendo más responsabilidad que solo la relacionada a la seguridad de la información, tal como la hemos conocido.
Esto no pretende ser una acusación contra la función del CISO o de los mismos CISOs u otros profesionales de la seguridad de la información. Debemos recordar que las amenazas de ataques cibernéticos son todavía nuevas. El término de ciberseguridad (o si lo prefieres “seguridad cibernética”) no entró en al idioma anglosajón hasta principios de esta década. El hecho de la existencia de los ciberataques es más importante que el término.
No puedo encontrar referencias con anterioridad a mediados de los 2000 para poder deliberar y determinar la existencia de ataques maliciosos sobre los sistemas de información (que es mi definición de la ciberseguridad), distintos de espionaje internacional3. Pero, los profesionales de la seguridad de la información estuvieron trabajando duro desde antes de esa fecha. Los temas de la época eran -y todavía lo son—los virus y gusanos, el fraude, el uso indebido de información privilegiada, la fuga de datos, la encriptación, la infraestructura de clave privada, la firma digital y la planificación de la continuidad del negocio. Estas preocupaciones pueden no tener el atractivo en la confrontación a los gobiernos extranjeros, terroristas y criminales, pero siguen siendo esenciales para asegurar el uso de los recursos personales y organizacionales de la información.
El mandato de un Oficial de Ciberseguridad incorporaría algunos aspectos de la seguridad de la información, pero debiera ir más allá de éstos. Fundamental para la diferenciación de estos roles, es mi opinión que los sistemas de información no son vulnerables a los ataques cibernéticos simplemente porque esten mal protegidos, sino más bien porque están mal construidos4. Por lo tanto, se deduce que la lucha contra estos ataques va más allá del ámbito de un departamento de seguridad de la información. ¿Qué haría un Oficial de Ciberseguridad que un CISO no está haciendo?
Actualizando las Arquitecturas de los Sistemas
El problema de fondo, y que permite a los atacantes entrar en los sistemas de información, es que históricamente los sistemas tienen “una cubierta exterior crujiente y un centro masticable suave”5. Si alguien puede penetrar las barreras externas de los firewalls y los filtros antivirus, él o ella tendrá libertad para pasearse sobre el ambiente de TI de una organización. Por lo tanto, el punto más débil en una red define la penetrabilidad del ambiente como un todo.
La solución de este problema requiere no sólo parchar los agujeros, sino también reconstruir la totalidad de la arquitectura de sistemas de una organización, y no sólo su arquitectura de seguridad. Esta es una tarea que consume tiempo, es difícil y extremadamente cara, y que debe ser llevada a cabo con prudencia y cuidado. Con la ciberseguridad como la razón fundamental para la reconstrucción de una arquitectura de sistemas, se requiere el conocimiento, la autoridad, y el contar con un ejecutivo que tenga una amplia gama de conocimientos en arquitectura de sistemas, la supervisión de administradores de sistemas, ingenieros de redes, administradores de bases de datos, así como de especialistas en seguridad de la información.
La re-arquitectura de un ambiente de TI no se va a lograr rápidamente. Se debe desarrollar a lo largo de un período de años, tal vez muchos años. Lo que se requiere, en primer lugar, es una arquitectura de referencia de modo que a medida que los sistemas sean actualizados y cambien, éstos puedan ser acomodados al ambiente tal como se prevé. Esta es una misión de ingeniería de sistemas, no de la seguridad de la información por sí sola.
Toma de decisiones
No hay, quizás, ninguna función es más importante para un Oficial de Ciberseguridad que reconocer que está en marcha un ataque e iniciar una acción de respuesta. Esto significa que los sistemas de prevención han sido violados y se han activado, de preferencia al momento del ataque, los mecanismos detectivos. Este no es siempre el caso. El Instituto Ponemon reporta que, “Los ataques maliciosos pueden tomar 256 días, en promedio, en ser identificados, mientras que identificar las brechas de datos causados por errores humanos toma en promedio 158 días”6.
Los Gerentes de Informática (CIOs) suelen esperar a que los líderes del negocio los autoricen a cerrar un centro de datos o una red. Los ataques cibernéticos demandan decisiones rápidas. Por lo tanto, un Oficial de Ciberseguridad debe estar facultado para tomar esas decisiones y estar respaldado por el Consejo de Administración (BoD) de las críticas por parte de los gerentes del negocio.
Preparación y Recuperación
Mientras que un ataque cibernético es, de hecho, un incidente de seguridad, la respuesta a ello tiene que ver con la restauración de los servidores y bases de datos, no con los sistemas de seguridad de la información. Estos están involucrados sólo en la medida en que deba ser erradicado cualquier defecto que permitió ejecutar el ataque. Las personas que llevan a cabo la identificación del problema, la eliminación del malware, la restauración de los sistemas y los datos, son aquellos responsables por los sistemas y los datos—desarrolladores de aplicaciones, administradores de sistemas y administradores de bases de datos (DBAs).
Cuando y sí se produce un ataque, la respuesta debe ser rápida y disciplinada. Esto requiere formación y ejercicio contínuo por parte del personal técnico. Un Oficial de Ciberseguridad podría proporcionar el liderazgo y la supervisión de lo que yo llamo un CyberCERT7 en el cual debería ser desplegada la primera noticia de un potencial ataque cibernético. Muchas alarmas serán falsas, por lo que la experiencia de un CyberCERT sería esencial para poder identificar un ataque real y entonces moverse con la agilidad necesaria para responder a este.
Coordinación
Veo el Oficial de Ciberseguridad como un ejecutivo que se apoya en las habilidades de muchas funciones. Estas seguramente incluirían especializaciones técnicas y de seguridad de la información, como también las de comunicaciones, entrenamiento, seguridad física, gestión de riesgos. En la medida en que se requieren defensas de seguridad cibernética en una organización, el Oficial de Ciberseguridad sería el principal canal entre la Junta de Dirección (BoD), el nivel superior de la dirección y todos los especialistas antes mencionados.Hacia afuera, cuando surjan los problemas de seguridad cibernética, el Oficial de Ciberseguridad representaría a la empresa u organismo en su trato con las agencias policiales y los organismos de seguridad, así como con los medios de comunicación, clientes, accionistas.
Políticas
Esto no será un trabajo fácil de proveer o ejecutar. La efectividad de una posición de Oficial de Ciberseguridad dentro de una organización es dependiente de la credibilidad en las amenazas de los ataques cibernéticos. Sin eso, no hay forma de que un Oficial de Ciberseguridad pueda demostrar que él / ella está en realidad logrando algo. Durante un año, y en casi todos sus días, no habrá casi ningún ataque cibernético así que no hay manera de mostrar progreso, mucho menos éxito. Esto ha sido un enigma durante años para los CISO, por lo que no debería ser una sorpresa.
La relación entre el Oficial de Ciberseguridad y el CISO podría estar llena de celos, rivalidad y luchas internas. Éstas podrían ser resueltas, como he dicho anteriormente, manteniendo a una reportando a la otra. Sin embargo, ello genera una competencia por los limitados fondos asignados a la seguridad de la información, lo cual solo crearía una lucha política. El potencial de una lucha política interna podría ser eliminado (o al menos disminuido) con el nombramiento de la persona que hoy es el CISO como Oficial de Ciberseguridad. Si se establece esa posición, es decir, moviendo al CISO a ella, sería un movimiento lógico de la carrera de este último. Sin embargo, esto se basa en que el CISO que tiene las destrezas y experiencias para el papel más amplio que se ha descrito. Muchos CISOs que conozco están muy preparados para ser Oficial de Ciberseguridad, pero algunos no tienen las habilidades verbales e interpersonales que serían esenciales para el éxito en un papel de coordinación.
Creo que hay CISOs y Directores de TI (CIOs) que son de facto en la actualidad Oficial de Ciberseguridad. Desde el punto de vista de la gobernabilidad empresarial, es el momento de reconocer ese hecho y separar la función de seguridad cibernética de la construcción e implementación de medidas de seguridad de la información y de la dirección de departamentos de TI.
Notas Finales
1 Ross, S.; “Cyber/Privacy,” ISACA Journal, vol. 1, 2016, www.isaca.org/resources/isaca-journal/issues
2 Al momento de escribir esto, Google me dice que hay algunas referencias al “to chief cybersecurity officer”, que les diré es bastante cerca de la misma cosa. Sin embargo, cuatro referencias, en la práctica no marcan tendencia.
3 El diccionario en línea Merriam-Webster cita el uso del término fi en el año 1994, sin atribución. No creo que el término era de uso general hasta alrededor de 2010. www.merriam-webster.com/dictionary/cybersecurity. Los acontecimientos de mediados de la década de 2000 a los que me refiero son los ataques al sistema del gobierno de Estonia y el robo de 45,7 millones de tarjetas de pago utilizados por los clientes de los Estados Unidos del minorista TJX. See NATO Review Magazine, 2013, www.nato.int/docu/review/2013/cyber/timeline/EN/index.htm, and Franscella, Joe; “Cybersecurity vs. Cyber Security: When, Why and How to Use the Term,” Infosec Island, 17 July 2013, www. infosecisland.com/blogview/23287-Cybersecurity-vs-Cyber-Security-When-Why-and-How-to-Use-the-Term.html
4 Ross, S .; “Microwave Software,” ISACA Journal, vol.1, 2015, www.isaca.org/resources/isaca-journal/issues
5 No es original, pero citado por Kindervag, “Developing a Framework to Improve Critical Infrastructure Cybersecurity,” National Institute of Science and Technology, USA, 8 April 2013, p. 3
6 IBM Ponemon Institute, 2015 Cost of Data Breach Study: Global Analysis, 27 May 2015, p. 3, www-03.ibm.com/security/data-breach/
7 Ross , S .; “CyberCERT,” ISACA Journal, vol. 5, 2014
Steven J. Ross, CISA, CISSP, MBCP
Es director ejecutivo de Risk Masters International LLC. Desde el año 1998 Steven J. Ross ha estado escribiendo en una de las columnas más populares de esta revista. Steven Ross puede ser contactado en la dirección stross@riskmastersintl.com