Encontrar el balance adecuado en la implementación de medidas y la gestión de la seguridad es uno de los grandes desafíos que enfrentan hoy las organizaciones en lo que se abren camino hacia la digitalización de su negocio. En este contexto, la debilidad en ciberseguridad se considera una “enfermedad silenciosa”, tal vez metafóricamente comparable con la hipertensión arterial y la diabetes, que si no se trata a tiempo puede ser letal en estos tiempos que corren.
“Yo no soy un coloso empresarial”, “A mí no me va a pasar eso” o “Mi presupuesto no alcanza”, son quizás de los pensamientos más desafortunados para quien está al frente de su negocio y es responsable de protegerlo.
El más reciente informe de Ciberseguridad de Cisco echa luz sobre el panorama de las amenazas y el comportamiento que están tomando los que intentan defenderse. Con cierta licencia poética nos permitimos abordar la postura de ciberseguridad en un juego de Pecados y Mandamientos, como recomendaciones para quien pudiera estar un poco a ciegas en el tema … aún sin saberlo.
Comencemos por los “Pecados Capitales” que solemos cometer y que pueden costarnos tiempo, productividad y dinero.
1.- PEREZA Con frecuencia escuchamos decir que lo urgente prevalece sobre lo importante y es posible que, si eso ocurre con frecuencia y no como evento, estemos en medio de una atmósfera desorganizada o con responsabilidades no asignadas específicamente. O, peor aún, tengamos alguna tendencia a apagar fuegos o poner parches para el “más tarde” que nunca llega, lo que nos hace tomar decisiones signadas por lo reactivo y no por lo previsto. En cualquier momento, las consecuencias de un ciberataque serán ineludibles. Así lo han demostrado incidentes conocidos como el de WannaCry, donde en muchos casos la falta de disciplina a la hora de emparchar vulnerabilidades y de deshabilitar puertos de comunicación que no son necesarios para el negocio causó una situación de pánico y reacción desordenada ante la inminente infección. La pereza es a su vez el mayor enemigo de las tareas de planificación, documentación y buenas prácticas que suelen ser tediosas y por ello caen en las garras de la procrastinación. Por este motivo, están cobrando especial relevancia las capacidades de visibilidad, automatización y orquestación que permiten entender con mayor claridad el ambiente dinámico que estamos protegiendo y aplicar políticas de forma ágil, sin caer en las garras de la pereza.
2.- SOBERBIA “No me va a pasar”, “Si sucede, yo sé cómo resolverlo”, “Mi sistema es invulnerable”. A menos que se desconecte, todos estamos expuestos y somos blanco de un ataque cibernético. Insistimos: el tamaño de su empresa, lo específico de su nicho, el número de empleados o el modo operativo no lo exime del riesgo. No, no nos las sabemos todas. El capital humano especializado en seguridad es muy escaso y aún si tenemos la suerte de contar con algunos gurúes, la seguridad efectiva no se logra con héroes “que lo tienen todo bajo control” e intentan resolver todo lo posible “in-house”. Mismo los fabricantes de seguridad sensatos reconocen que con sus portafolios de seguridad no pueden proteger contra todos los vectores de ataque y por ello la estrategia correcta implica integración y apertura para la interoperabilidad de diversas tecnologías. En contrapartida, aquellos que se aproximan al mercado con “balas de plata” van a tener que pasar por el confesionario.
3.- GULA A lo largo de los últimos años, con el afán de robustecer la seguridad, muchas organizaciones, en especial las que tienen la posibilidad y conciencia para abrir la billetera a la hora de invertir en tecnologías de defensa, han sucumbido ante la “gula” de consumir más productos de seguridad de los que su “cuerpo humano” de operadores de la seguridad pueden “digerir”. Así resultan saturados de tecnologías para implementar, integrar y operar, cada una cumpliendo una función aislada de seguridad y al fin sin lograr una arquitectura que habilite una gestión sistémica y eficiente. Por esa razón, cada vez mas las organizaciones intentan consolidar su plataforma de seguridad reduciendo la cantidad de productos y de fabricantes dispares de forma tal de eliminar complejidades y lograr una mejor integración. Digamos que hay que ponerse a dieta y si bien el menú sigue siendo variado, porque como dijimos, no hay una píldora mágica de la seguridad, se trata de resolver la estrategia con menos jugadores y productos. En Latinoamérica, la mayoría de las organizaciones tienen tecnologías de entre 5 y 20 fabricantes distintos de seguridad.
4.- ENVIDIA Siempre el césped del vecino se ve más verde. Tienen más presupuesto, mayor estructura para ocuparse de la seguridad, etc. Con esto algunas organizaciones caen en una postura de auto-justificarse en las razones por las que tienen una estrategia débil en ciberseguridad. No obstante, desafiando esta visión, podemos decir que hoy toda empresa, pequeña o grande puede construir una estrategia tecnológica adecuada siempre y cuando sepan escoger las herramientas correctas y fundamentalmente a través de una buena evangelización interna sobre lo que hace falta y el impacto al negocio. Por otra parte, no hay dos compañías iguales, y por ende tampoco se debe pretender copiar la estrategia tecnológica y políticas de seguridad del otro “más afortunado”. Al fin, lo que hace la diferencia no es la tecnología o la política escrita en papel, sino el cómo se lleva a la práctica, se optimiza y se gestiona día a día, y eso depende de las personas directa e indirectamente responsables de mantener el negocio a flote frente a los riesgos que existen.
5.- IRA Un incidente de seguridad, y el consiguiente tirón de orejas, puede derivar en acciones restrictivas casadas por el enojo. Por ejemplo, limitar accesos de forma excesiva e indiscriminada, afectando la productividad de los empleados…sin pensar que las restricciones se inventaron para ser salteadas. En muchas organizaciones se ve a las claras como una postura “miope” de los responsables de seguridad basada en la restricción termina obstaculizando el negocio y generando rispideces con otras áreas de tecnología que tienen una filosofía más bien opuesta: que todo funcione con agilidad y sin reclamos. A no enojarse y echarse culpas. Las organizaciones que están haciendo un buen trabajo en materia de ciberseguridad son las que logran insertar a la seguridad lo antes posible en todos los procesos de negocio y en definitiva se logra una responsabilidad compartida en la consideración e implementación de las medidas necesarias desde el vamos. Por otra parte, esta integración entre áreas de tecnología y de negocios sensibiliza a los miembros de seguridad en cuanto a las prioridades del negocio y en consecuencia adquieren una visión más realista sobre el trade-off adecuado entre seguridad rigurosa y experiencia de usuario de baja fricción.
6.- LUJURIA Aquí nos referimos a la desmesura en adoptar sistemas o portafolios de seguridad que no se justifican. Como en todo aspecto de la vida, los extremos suelen no ser buenos. En términos de la estrategia de ciberseguridad, lo más parecido a la lujuria se ve en los (pocos) casos en que se implementan soluciones excesivamente sofisticadas y costosas pasando la línea de lo razonable en función del riesgo afrontado y el contexto del negocio a proteger. O sea, tampoco se trata de implementar “la seguridad de la NASA” en toda empresa aún si se lograra sembrar la suficiente paranoia en los directores para que aprueben una inversión desmedida. Esta postura, si bien poco común, se puede ver en algunos casos de “early adopters”
7.- AVARICIA Olvide el concepto “hecho en casa” en el tema de ciberseguridad. Su negocio es otra cosa. Y, créalo: hay presupuesto para todo. No es un gasto, es una inversión que le permitirá seguir funcionando y permaneciendo operativo y productivo. Capacite y entrene a su personal, prepare las defensas porque los incidentes están a la orden del día. Aquí la clave está en lograr el cambio de percepción de la seguridad como centro de costo, para comenzar a verlo como habilitador del negocio. Nadie quiere aumentar el gasto en defensas, especialmente de situaciones teóricas, que afortunadamente tal vez nunca ocurrieron, y esto eventualmente se paga muy caro. En cambio, cuando se hace un análisis serio de los beneficios de una estrategia correcta de seguridad y se comunican efectivamente a la junta directiva, se puede lograr el cambio de postura que exima a la organización de caer en este pecado de la “avaricia”
Por fortuna, hay buenas noticias. Los resultados arrojados por el informe de Cisco 2018 sobre Ciberseguridad refleja que cada vez son más las empresas que están siendo dirigidas por personas que son conscientes de la necesidad de blindar los sistemas y procesos de posibles ciberataques y estar preparados tanto administrativamente como en capacitación de recursos humanos prestos a responder ante eventuales situaciones de riesgo.
Teniendo en cuenta que, en la región, las expectativas sobre estas amenazas están ubicadas en el orden del 40% de los encuestados que considera que estos ciberataques no tardarán en afectar los el ámbito de OT, (que es la médula del negocio de las empresas) y que son los menos los que se mantienen incrédulos ante tal posibilidad (-10%), se hace necesario tener en cuenta los mandamientos que, en materia de ciberseguridad, se recomiendan seguir para contrarrestar una eventual actitud pecaminosa.
MANDAMIENTOS / PRINCIPIOS
1.- LA SEGURIDAD DEBE SER UN HABILITADOR Cuando maneja su auto y presiona el freno, está usando un sistema de seguridad que le permite detener el vehículo. Sin embargo, este freno, paradójicamente es lo que le permite acelerar su vehículo. Para poder acelerar, sin que sea catastrófico, hay que poder frenar. Visto de este modo, el freno como dispositivo de seguridad es un habilitador para poder llevar adelante el propósito fundamental de un vehículo que es transportarnos de forma ágil. De la misma forma, el sistema de seguridad que construyan las organizaciones para evitar los ataques cibernéticos debe ser concebido como un habilitador del negocio. Esto es especialmente importante en estos tiempos donde las empresas están atravesadas por la digitalización y están cambiando la forma de interactuar con sus clientes, y de operar de forma móvil, virtual, en la nube, cambiando el contexto a proteger y generando nuevas superficies de ataque para los adversarios. Concebir y poner en práctica a la seguridad como habilitador implica un cambio fundamental de paradigma. El hecho es que hoy en día la seguridad se percibe mayormente como un obstáculo, un mal necesario. Sin embargo, en los tiempos que corren, la seguridad puede ser inclusive un valor de marca, un aspecto de diferenciación para que los clientes prefieran a un proveedor frente a otro por ofrecer una experiencia no solo ágil sino también segura. Esto es fundamental por ejemplo en el ámbito financiero: los clientes prefieren un banco más digital, siempre y cuando se sientan resguardados.
2.- LA SEGURIDAD DEBE SER INTEGRADA Y USABLE Si concebimos la seguridad como un habilitador de negocios y no una experiencia traumática, entonces estaremos frente a un proceso diseñado para que las personas puedan usarlo sin complicaciones y que las conduzca a la facilitación de su labor, desde lo más sencillo como los pasos de autenticación, hasta los accesos más privados. La integración y usabilidad son entonces aspectos fundamentales para que el usuario, ya sean los empleados de la empresa tratando de hacer su labor como los clientes de la empresa tratando de utilizar sus servicios, tenga una experiencia segura, pero de baja fricción y no se vea tentado a buscar caminos alternativos para sortear las medidas incómodas de seguridad.
3.- DEBE SER TRANSPARENTE E INFORMATIVA Lo menos posible perceptible para el usuario. El sistema de seguridad debe permitir que la experiencia sea segura y que el usuario sea consciente de ello, que no le agregue fricción o duda. Por eso, las organizaciones están invirtiendo en capacitar a su personal y va en franco descenso el número de aquellas que no cuentan con personas preparadas para asumir estas responsabilidades. Según el reporte de Ciberseguridad de Cisco 2018, en Latam, más del 70% de las empresas considera que esta cultura organizacional es ya un hecho. El equilibrio entre transparencia y seguridad perceptible es uno de los aspectos que requieren de una estrategia bien pensada y que contemple los diversos casos de uso con buen criterio. La parte informativa es también muy importante para que el usuario entienda, por ejemplo, cuando está violando una política de uso aceptable o cuando se le impide el acceso a un sitio malicioso que sepa que fue protegido de una amenaza. De esta forma el usuario aprende y no se crea una falsa percepción de que no pudo lograr su tarea porque algo “no funciona”.
4.- QUE HABILITE VISIBILIDAD Y RESPUESTA En los últimos años las empresas se han enfocado en construir defensas, preventivas y en particular en armar perímetros para separar el mundo confiable, el interior, del desconfiable, el exterior. Esto ya no se ajusta a la realidad de hoy. Los hechos demuestran que aun con las mejores defensas perimetrales y tecnologías meramente preventivas los incidentes ocurren, el malware llega a tomar control de los sistemas, la información se fuga, etc. Entonces surge la necesidad de complementar esas defensas y perímetros, que hoy ya están desdibujados, con tecnologías que permitan ver lo que está pasando, detectar situaciones y tomar acciones de respuesta, conteniendo las amenazas y remediando al fin el incidente. Ante la pregunta incómoda: “cuanto tiempo tardas en detectar una amenaza dentro de tu red?”, nadie se siente cómodo en articular una respuesta. De allí surge que en el reporte se de cuenta de la tendencia global por adoptar tecnologías de machine learning y analíticos para poder detectar lo que ya está ocurriendo en la red y descubrir comportamientos anómalos antes de que se conviertan en una brecha.
5.- LA SEGURIDAD ES UN PROBLEMA DE PERSONAS En el trinomio Tecnología + Personas + Procesos que define toda estrategia de seguridad cada uno de los tres elementos comparten fundamental importancia. Sin embargo, el elemento humano es muchas veces menospreciado en favor de las tecnologías y los procesos. Aquí debemos desafiar esa postura porque justamente suele ser el aspecto humano el eslabón más débil en la seguridad, tanto desde el punto de vista del usuario como de los responsables y operadores de la seguridad. Estos últimos son, al final, la clave a la hora de tomar decisiones y acciones para optimizar las defensas y para responder ante incidentes una vez que ocurren. Al fin, son también personas los que intentan perpetrar los sistemas y son personas los que deciden y toman acciones adecuadas o no en armarse de una defensa efectiva.
6.- EN LA SEGURIDAD NO EXISTEN BALAS DE PLATA No hay magia, no hay recetas. Lo que debe existir es una caja de herramientas, que en el trinomio antes descripto es utilizada correctamente por las personas siguiendo los procesos correctos. Muchas veces la “navaja suiza” parece una buena solución que intenta hacer todo con una sola pieza, pero yo me pregunto: como ha sido su experiencia quitando un tornillo con esa navaja? o alguna vez la has usado para quitarte esa pequeña fibra de carne que inportunamente se aloja entre los dientes en una romántica cena?. Los adversarios son especialistas en eludir defensas puntuales, por eso solo se puede sobrevivir al cibercrímen con una estrategia de seguridad en capas bien integradas.
7.- NO ES CUESTIÓN DE SI, SINO CUÁNDO Bien lo ha asegurado John Chambers, expresidente ejecutivo de Cisco, existen dos tipos de empresas, las que fueron “hackeadas” y las que aún no saben que han sido “hackeadas”. La lucha existe y se trata de evitar que sea desigual. Nadie está exento de un ataque. Si somos todos vulnerables ante la automatización del cibercrimen y no sabemos cuándo seremos elegidos, resulta fundamental tener un sólido plan de respuesta ante incidentes y asegurarse de que exista el conocimiento y la gimnasia para ponerlo en acción cuando haga falta. En hechos conocidos de brechas de seguridad el impacto se podría haber reducido significativamente si la respuesta al incidente hubiera sido más eficiente, en términos de entender el problema, contener la amenaza y restaurar la operación normal.
8.- ES CUESTIÓN DE TIEMPO No se trata de vivir amenazados, sintiendo el acecho respirando en el cuello. Las herramientas de seguridad deben ofrecer justamente lo contrario: la consciencia de contar con las respuestas idóneas que reduzcan los tiempos de acción. El reloj del tiempo en la seguridad cibernética tiene tres agujas: detección del problema, respuesta y operación ante una amenaza. Resulta fundamental minimizar el tiempo que nos lleva detectar de forma que a su vez reducimos el tiempo que le damos a los adversarios para operar “bajo radar” en nuestra red.
9.- LA SEGURIDAD SE CONSTRUYE EN CAPAS Imagine un suculento queso suizo. Seguramente evoca su aroma y sabor, y es muy probable que sus agujeros también sean parte de esa foto que tiene en mente ahora. Si esos agujeros se alinean sin obstáculos, también es muy seguro que un ratón de figuras animadas se pasee gustoso sin ningún tipo de interrupción. Si, en caso contrario, el ratón encuentra cortapisas, le tomará un tiempo devorar esa pared fantástica antes de pasar a otra estancia.
Así mismo funciona la seguridad: dado que somos de origen vulnerable, es necesario identificar dentro de los procesos cuáles son aquellos posibles agujeros por los que un ataque nos puede perjudicar. Si sumamos este control, a un buen sistema de seguridad que nos ofrezca tiempo y usabilidad, el ratón tendrá que buscar otro queso que atacar.
10.- NO EXISTE 100% SEGURIDAD Es muy importante tener en cuenta que, así como no existe la magia, ni las balas de plata, no existe ningún sistema de seguridad que ofrezca el 100% de blindaje a su organización. Existen personas capacitadas y entrenadas, interesadas y conscientes de sus roles y responsabilidades. Existen organizaciones compuestas por seres humanos que operan, producen e interactúan con otras personas utilizando cada vez mejores plataformas de comunicación y defendidas por los más idóneos materiales tecnológicos.
Estamos más cerca de la incorporación de plataformas de seguridad de menor o mayor espectro en todos los estratos de la economía de los países de la región.
Esto también reporta el Informe de Ciberseguridad de Cisco 2018, permitiendo ver que la gran mayoría de las empresas adquiere los mejores productos puntuales: 70% de las organizaciones compra para satisfacer necesidades específicas, lo que supondría limitantes en suites más completas de defensa, mientras que el 30% invierte en paquetes de productos diseñados para trabajar en un espectro más amplio y complementando otros sistemas.
Similar a lo que ocurre en países como Francia, Alemania o Estados Unidos, en Latinoamérica, la distribución de porcentaje de proveedores de los que las empresas se sirven para protegerse de posibles ataques es de 80-20. 80% se mueve entre 1 a 20 proveedores de servicio de seguridad, mientras que el 20% invierte en mayor número para diseñar sistemas de protección de ataques cibernéticos.
Pocas organizaciones se consideran de poco valor para un posible ciberataque. Se deja ver, entonces, que todos los sectores han entendido que su operación dentro del sistema económico y social de la región es sumamente importante y que su actividad impacta positivamente en sus países y sociedades.
Ergo: A mantenerse fuera del camino del pecado y sigamos las buenas prácticas o “mandamientos” para que la seguridad sea una inversión razonable que habilite al negocio en el camino hacia la transformación digital.