Los profesionales de seguridad entienden y reconocen que hay una gran cantidad de desafíos que enfrentan los equipos de ciberseguridad en la actualidad. Sin embargo, no todos los desafíos son relevantes para todas las organizaciones en un momento dado. Es importante comprender cuáles son los verdaderos desafíos para la gran mayoría de los equipos de ciberseguridad y los oficiales de seguridad de la información (CISO) en lugar de los desafíos que enfrenta la minoría de organizaciones de vanguardia. Este artículo discute algunas conclusiones sobre la relevancia de los desafíos basados en la experiencia del autor, además de los esfuerzos en el ámbito de las redes sociales. Estas conclusiones provienen de un intercambio continuo de experiencias y opiniones con pares de diversos sectores, industrias, geografías y organizaciones de todos los tamaños y niveles de madurez. Tan obvio como pueden parecer estas conclusiones, muchos artículos sobre ciberseguridad parecen desconocerlas. Muchos artículos parecen dirigirse a organizaciones de alto perfil que están lejos de ser representativas de la mayoría de las organizaciones. Las conclusiones discutidas aquí se pueden aplicar a la gran mayoría de las organizaciones. Los puntos que siguen están más cerca de un mapa mental escrito que de un marco estructurado formalmente.
Afirmando la tecnología de seguridad
Dejando de lado las organizaciones de vanguardia o de perfil de alto riesgo, los proveedores de servicios críticos y otras empresas similares, las siguientes lecciones parecen ser ciertas:
- Las organizaciones compran la tecnología que pueden pagar—Esa es la realidad. Las características técnicas son buenas de saber y el ajuste tecnológico en el entorno de TI de la organización puede ser un factor de peso, pero, al final del día, el dinero disponible para gastar en un firewall, sistema de gestión de eventos e información de seguridad (SIEM), sistema de prevención de pérdida de datos (DLP) o cualquier otro control de seguridad es, en la gran mayoría de los casos, el criterio más influyente utilizado para tomar la decisión. Esto se debe principalmente a que debe haber una proporcionalidad inevitable entre el valor de los activos que la organización pretende proteger y el costo de los recursos que la organización dedica a protegerlos realmente. Más que la tecnología en sí misma, es probable que la principal restricción de la organización sea el precio que puede pagar por la tecnología, y eso está estrictamente relacionado con el valor de los activos que protege (figura 1).
- La gran mayoría de las organizaciones no están por delante del mercado—O representan “el mercado” o están detrás del mercado. Entonces, aunque ciertamente hay debates sobre las limitaciones de la tecnología actualmente disponible en el mercado para prevenir, proteger, detectar y responder a ataquescibernéticos, y las discusiones sobre dónde conducirá la inteligencia artificial, esas conversaciones en realidad se aplican a una minoría muy limitada. En términos globales, al mantenerse firme, queda claro que las limitaciones que las tecnologías actuales pueden tener son probablemente un problema para una minoría muy pequeña. La mayoría de las organizaciones no están en esa clase élite. Puede compararse con los comentarios sobre los posibles defectos de un McLaren, mientras que la verdad es que la mayoría conducirá un Volkswagen. La figura 2 muestra esto con más detalle.
La mayoría de las organizaciones definitivamente puede hacer con la tecnología disponible. Los desafíos reales permanecen en lo básico en torno a tener esas tecnologías en pleno funcionamiento.
- La alta dirección vive lejos de los marcos, las metodologías, los modelos de madurez, los estándares y otras herramientas del comercio de ciberseguridad—Marcos de referencia y buenas prácticas de ISACA®, el Marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. (CSF), la Organización Internacional de Normalización (ISO) con todos sus controles recomendados, y otras normas/orientación relevantes son de hecho valiosos activos, pero es necesario construir el puente entre estos marcos y la administración superior. La realidad más común es que en prácticamente todos los dominios, no es raro encontrar, no una gran brecha, sino un océano de brechas entre lo que las buenas prácticas recomiendan y lo que realmente sucede. La mayoría de las organizaciones utilizan un marco de seguridad más como una inspiración, una guía o un objetivo estimulante, en lugar de un objetivo real, a menos que una parte interesada realmente logre demostrar claramente la relevancia de esos marcos y controles para el negocio particular y su administración principal particular. Es crucial pensar detenidamente sobre los controles para implementar y la relevancia que tienen para el negocio.
- Las organizaciones saben lo que hay que hacer—Gracias a todos los buenos consejos que circulan, incluso antes del ataque de Wannacry, pero particularmente después de las infracciones de alto perfil que son cada vez más frecuentes, y las presentaciones bellamente formateadas, infografías y otras herramientas de comunicación, las organizaciones saben qué hacer. La mayoría de los lectores han visto docenas de imágenes con los mensajes clave: Parche, inviertan en detección y prevención, ganen resistencia. Qué hacer es conocido por la mayoría de los profesionales y organizaciones. Lo que la mayoría no sabe es cómo hacerlo porque hay un gran paso entre el objetivo (por ejemplo, los sistemas deben estar parcheados) y su realización (por ejemplo, actualmente parchear los sistemas). El desafío tiene mucho que ver con la organización, la definición de responsabilidades, los acuerdos de nivel de servicio (SLA), la gestión de personas, etc.
En este contexto general, gran parte del contenido de ciberseguridad que circula en blogs y revistas especializados podría considerarse como un error, ya que aparentemente parecería que las características adicionales que faltan en la tecnología actual y la obtención de características aún más avanzadas son los problemas más comunes las organizaciones se enfrentan cuando, de hecho, no lo son.
El verdadero desafío
Las recomendaciones básicas de ciberseguridad que aparecen en muchas fuentes son buenas y suficientes para la mayoría de las organizaciones, pero el desafío sigue siendo cómo hacerlo y cómo hacer las cosas. Las organizaciones luchan por hacer las cosas.
Tener a un tercero escanear la red de la organización para encontrar vulnerabilidades; verificar los controles para ver cuáles faltan; señalar las debilidades de la red, los sistemas y las aplicaciones; y entrevistar a los interesados clave para completar la imagen es relativamente fácil, especialmente en la parte más técnica, ya que las herramientas disponibles son efectivas.
Traducir todas esas debilidades y vulnerabilidades en un programa que tenga sentido para ese negocio en particular es un desafío clave. El programa será un conjunto de actividades y proyectos, algunos de ellos realizados como una secuencia, algunos de ellos en paralelo. Nuevamente, esto es relativamente fácil, particularmente si no existe un compromiso particular en cuanto a la viabilidad de los plazos.
Construyendo un modelo simple
Esto conduce a un modelo muy simplista donde, por un lado, se implementan y despliegan nuevas soluciones, sean lo que sean (basadas en tecnología, personas, procesos u organizaciones) y, por otro lado, el negocio como de costumbre, las operaciones. La implementación y despliegue de nuevas soluciones se refiere a nuevos proyectos, que pueden abordar cualquier dominio de seguridad de la información: un nuevo marco regulatorio, un nuevo diseño de arquitectura de seguridad, la implementación de un nuevo firewall perimetral, un sistema DLP, un intermediario de seguridad de acceso a la nube (CASB), una identidad y administración de acceso (IAM), un SIEM, etc. Algo nuevo. Algo que la organización no tenía previamente que ahora debe implementarse y ponerse en funcionamiento.
La referencia al negocio como siempre apunta a todas las operaciones de seguridad: monitoreo de alertas, ajustes de sistemas, monitoreo de cumplimiento de políticas, respuestaaincidentes, informesdeseguridad, etc. Todos los nuevos sistemas, proyectos y soluciones terminan agregando nuevas tareas al lado del negocio como siempre.
Gobierno
Todos estos proyectos y actividades comerciales deben realizarse bajo una determinada dirección, sabiendo por qué se hacen las cosas; sabiendo que lo que se está haciendo es bueno para los objetivos de la organización; y sabiendo que estas actividades son consistentes con una dirección bien definida que no ha sido establecida como resultado de la improvisación, sino formalmente por la alta gerencia de la organización. Todo esto se puede describir extensamente en procesos y conceptos, pero todo se reduce a una sola palabra: gobierno. Como muestra la figura 3, las desviaciones deben progresar hacia el objetivo final.
Además de las definiciones más precisas del término “gobernanza”, es importante enfatizar que la gobernanza es, entre otras cosas, sobre cómo establecer la dirección. En el curso de la gestión de proyectos y operaciones, abordar las desviaciones del plan, manejar obstáculos no planificados y tomar decisiones constantes, la gobernanza es lo que permite la coherencia con la dirección establecida y la evitación de la deriva.
El gobierno proporciona la orientación que es necesaria para permitir una toma de decisiones adecuada sobre qué hacer, qué posponer, qué riesgo aceptar y qué factores de riesgo mitigar. Con demasiada frecuencia, al reflexionar sobre por qué un equipo de TI hizo esto o aquello, es fácil llegar a la conclusión de que la decisión se tomó sobre criterios técnicos y no sobre la base del riesgo. Por lo tanto, tiene que haber un esfuerzo explícito para incorporar la gestión de riesgos en las decisiones de ciberseguridad para que las decisiones estén determinadas por el riesgo sobre otros criterios, como la tecnología. Por supuesto, se debe reconocer que los factores económicos compiten de igual a igual con los factores de riesgo, cuando se trata de ser la base de las decisiones de ciberseguridad.
Un modelo operativo
Una vez que el plan se ha definido correctamente, la definición de un modelo operativo consiste en realizar actividades en el nivel del proyecto y ejecutar la seguridad como una actividad normal. Una vez más, administrarlo no es realmente una cuestión de tener tecnología de punta ni de desarrollar una tecnología que esté por delante de lo que el mercado puede ofrecer. Por el contrario, sobre todo, varias disciplinas o dominios se destacan como mucho más importantes que la tecnología misma.
Un modelo operativo completo puede construirse con sensatez en ITIL. Sin embargo, para aquellas organizaciones que no pueden permitirse un modelo tan completo, la siguiente guía puede ser útil:
- Personas—Administrar la seguridad se trata de administrar personas: dirigir un equipo; organizando personas; y transmitir mensajes claros en cuanto a las prioridades, la misión, los criterios generales y la orientación que deben guiar todas las decisiones en las que el líder no participará directamente. Para aquellas decisiones que se delegan en los equipos y los proveedores de servicios sean consistentes, la misión y la visión deben establecerse claramente y comunicarse de manera efectiva. Otra cosa relacionada con las personas es la motivación. El líder debe mantener la motivación y transmitir un futuro desafiante que involucre a un equipo que, en muchos casos, cubrirá un servicio las 24 horas, los siete días de la semana y, en caso de un incidente grave, se mantendrá despierto durante largas horas realizando análisis forenses, buscando amenazas y monitoreando la red en un nivel de pulgada por pulgada.
- Procesos—Incluso en diferentes niveles de madurez, todas las organizaciones necesitan procesos claros. Si el contexto y la cultura correctos están en su lugar para crear una organización perfectamente definida, entonces los procesos, sus entradas y salidas, sus actividades y su medición deberán definirse de manera formal. Si el contexto, la cultura o el tamaño de la organización no se ajustan a una definición formal, se debe hacer un esfuerzo para implementar una organización similar a un proceso que permita a la organización trabajar de la mejor manera posible.
- Roles y responsabilidades se encuentran en algún lugar entre los procesos y las personas—Ellos definen quién hace qué y cuanto más concreto, mejor. Esto es especialmente importante cuando se trata de varios equipos, como operaciones de seguridad, gestión de infraestructura, arquitectura empresarial y gestión de servicios. Esto se vuelve no solo importante, sino crítico, cuando varios proveedores de servicios interactúan entre sí. La organización debe enfrentar la definición de responsabilidades en la etapa más temprana posible. Cuanto antes se identifiquen los posibles conflictos, más pronto se podrá idear una solución que, en la mayoría de los casos, será un compromiso. Las definiciones borrosas, poco claras o informales de roles y responsabilidades son un problema. Y, si la organización tiene que gestionar un incidente de seguridad, lo cual, desafortunadamente, es probable, una definición confusa de responsabilidades explotará.
- Marco regulatorio interno—Es decir, la política de seguridad de la información de la organización y los documentos relacionados, sean los que sean: directrices, estándares, líneas de base, procedimientos. Vale la pena dedicar tiempo a la creación de estos documentos para adaptarse a la organización en lugar de simplemente descargar una política de Internet. El marco regulatorio debe adaptarse al contexto particular, el tamaño, la cultura y, lo más importante, el mapa de riesgos de la organización. A menudo hay muchas partes interesadas que tienen voz en la elaboración de una política de seguridad de la información: TI, legal, recursos humanos, seguridad de la información, incluso finanzas. Pero una vez que todo está escrito, se debe dedicar algo de tiempo a obtener la aprobación explícita y el respaldo de la alta gerencia. Esto puede llevar tiempo, algunas explicaciones y algunos cambios menores, pero valdrá la pena porque un marco normativo adecuado permitirá más decisiones relacionadas con los proyectos de seguridad que surjan como consecuencia de lo que se establece en la política.
Conclusión
Gestionar la ciberseguridad o, más específicamente, gestionar el riesgo de ciberseguridad, es mucho más que solo tecnología y, en la mayoría de los casos, no tiene nada que ver con tener el dinero para pagar por la tecnología de vanguardia.
Gestionar el riesgo de ciberseguridad es generalmente una cuestión de adquirir tecnología asequible y, sobre todo, tener los conceptos básicos correctos: administrar personas, procesos y organización, y establecer modelos de gobierno y operativos que funcionen. Esto es fácil de decir, pero es un gran desafío en sí mismo, particularmente en las organizaciones más grandes donde participan varios equipos y proveedores de servicios, cada uno de ellos con un acuerdo de nivel de servicio específico. Cuantas más piezas haya en el rompecabezas, más complejo se vuelve. Y la realidad demostrará que definir roles y responsabilidades, los procesos y la organización resultarán ser más importantes que la característica técnica particular que tiene el último firewall de próxima generación adquirido por la organización.
No hay una solución mágica, ni un enfoque único que se adapte a todos. Conocer la organización, la industria en particular en la que opera, el riesgo y los recursos dará como resultado una mejor posición para desarrollar la solución correcta.
Ramón Serres, CGEIT, CISM, CSX Fundamentals, CCSK, CISSP
Es un ingeniero industrial con una larga carrera en TI y una pasión por la seguridad de la información y la gestión de riesgos. Después de haber sido consultor de administración y comercio electrónico en sus primeros años, ocupó varios cargos directivos en bienes de consumo y productos farmacéuticos. En los últimos años, Serres ha liderado con éxito un proyecto de transformación en su empresa actual, llevando la función de seguridad de la información al negocio y al nivel C y empujando a la organización a un nivel de madurez más alto.