Retos del Director de Seguridad en la era de la ciberseguridad
Un objetivo (casi) inhumano
Por Juan Manuel Gil Bote, Director Gerente F24 Servicios de Comunicación S.L.U.
Ser Director de Seguridad es quizá una de las opciones profesionales más ingratas.
Yo, que no soy Director de Seguridad, admiro a todas esas personas que trabajan para que no ocurran incidentes. Principalmente porque cuando esos eventos no suceden, nadie se da cuenta, y por ello nadie lo agradece. Ahora bien, si pasan entonces todo el mundo los busca y les pide responsabilidades.
Los retos:
Casi todo el mundo coincide en que la inversión en seguridad nunca es generosa, con lo cual el responsable de Seguridad enfrenta un reto adicional, cual malabarista, tratando de hacer lo posible con lo disponible.
Para complicar más la situación los entornos de amenaza se acrecientan en un mundo más globalizado. Temas como la ciberseguridad, donde el mundo interconectado facilita la exposición al riesgo; como cuando se trata de nuevas tecnologías aplicadas, como en la integración IT/OT, de donde se obtiene información valiosa para la gestión de Seguridad, pero que generan un volumen mayor de datos para analizar; o ahora con el tema de la protección de la información y la aplicación de la GDPR. Todos estos retos, no son nuevos, pero si novedosos para profesionales que con frecuencia no han recibido formación específica en ellos.
Manejo de crisis:
En las empresas, en general, se han adoptado dispositivos modernos como los teléfonos inteligentes, mientras que los sistemas de alerta para cualquier incidente grave pasan por cadenas de llamadas que se han demostrado ineficientes y lentas, además de fuertemente dependientes del factor humano. Cualquier estudio de manejo de crisis habla de la importancia de la rapidez de la respuesta.
Todos coinciden que las primeras horas, a veces minutos, son críticos para impedir o minimizar daños mayores (cf. Kaji, J., Devan, P., Khan, A. & Hurley, B.: Deloitte Insights. Stronger, fitter, better. Crisis management for the resilient enterprise., 2018). Lo que no es compatible con el uso de árboles de llamada, donde cadenas pequeñas de aviso en seguida alcanzan los 30 minutos de duración y es bastante habitual que con cadenas de más de 50 participantes se requieran tiempos cercanos a la hora. A partir de ahí hay que poner en marcha la respuesta.
En una encuesta informal realizada entre los asistentes durante el evento
“Open Day PICE 2018” sobre el tema de las infraestructuras críticas en Madrid, la mayoría de las empresas asistentes reconocieron daños típicos entre uno y diez millones de euros por impacto, con una duración habitual de entre 12 y 24 horas. En la “golden hour”, como se suele llamar a menudo a la primera hora después del comienzo de una crisis, es esencial que se tomen rápidamente las medidas necesarias para contener cualquier daño que se produzca. Las pérdidas significativas pueden ser causadas por una comunicación demasiado lenta en una crisis. El valor añadido que ofrece la aceleración de la respuesta a la emergencia se traduce en un retorno de inversión de varios órdenes de magnitud. Por ello no se entiende que se sigan modelos de alerta que ya se usaban en los años 90.
IoT:
Con el añadido de la multiplicidad de fuentes de información provenientes de dispositivos de monitoreo interconectados se abre un mundo nuevo. Al componente de la seguridad sobre los contenidos que proveen, se le añade la “digestión” de la información para que aporte valor a la gestión de la seguridad. En lo relativo a la primera parte empieza a existir mayor conciencia de la vulnerabilidad de los dispositivos y, por ende, esto influye en el proceso de selección, más si se trata de Infraestructuras Críticas.
Sin embargo, en la gestión de la información proveniente de estos sistemas hay enormes carencias. Muy a menudo existe poca automatización del procesado de los datos y finalmente estos confluyen en consolas vigiladas por operadores donde, de nuevo, el factor humano se convierte en limitante del proceso. Por ello es tan frecuente que indicadores de alerta temprana pasen inadvertidos, o se retrase su atención. Al solaparse aquí los ámbitos, se está ignorando en muchos casos la participación conjunta de IT y Seguridad y afectando, sin intención, la respuesta temprana de Seguridad.
De nuevo aquí, la tecnología proporciona posibilidades que sin ser costosas automatizan el procesado para evitar que estas alertas pasen inadvertidas y, reducir los tiempos de reacción, evitando la omisión involuntaria de participantes, y con el evidente ahorro que en el coste final del evento puede suponer.
Ciberseguridad:
Hasta hace poco, entre las primeras cosas que se nos podían pasar por la cabeza al oír “mundo interconectado” estaba el impacto reputacional, relacionado con las redes sociales. La tendencia era evitar verse en minutos en las redes por una fuga de información, además de colaborar con la Comunicación Corporativa en la mitigación de bulos en las redes. Algunas pocas empresas ponían en práctica el monitoreo de redes para poder tener información temprana como una fuente de información adicional que integrar en la gestión de crisis.
Hoy en día, cuando la amenaza reputacional forma parte ya de la gestión de crisis, la amenaza emergente es la ciberseguridad. Es fácil comprender que nos enfrentamos a amenazas que se adelantan a nuestro conocimiento creando la sensación de que nos enfrentamos a un enemigo con las manos atadas a la espalda, pues siempre van a tratar de ir por delante. El reto de la gestión de un evento ciber reside en un hecho fundamental que se pudo ver en el caso del WannaCry: ¿cómo manejar una situación cuando mi empresa se ve obligada por precaución a un apagón IT?
Realmente, casi ninguna empresa está preparada: empezando porque difícilmente puedes usar las tecnologías habituales que implementabas para gestión de emergencias. Por ejemplo, podrían no funcionar: los correos electrónicos, la telefonía (la mayor parte de las empresas son VoIP), los repositorios documentales, las herramientas de monitorización, etc. Con la capacidad de alertar mermada y sin agilidad documental, es realmente un reto poder ser ágiles.
La única alternativa resiliente para dar una respuesta ágil en un escenario ciber, que reduzca el impacto, tiene que recaer necesariamente en soluciones externas que puedan ser fácilmente accesibles desde el entorno exterior de la empresa y que no tenga dependencias tecnológicas con ella: un esquema de servicio externo. Desde este se debe poder acceder a los documentos esenciales de gestión del evento, iniciar procesos de alerta con los repositorios de personal en un modo multicanal y poder colaborar en la coordinación de las actuaciones. Sólo desde un entorno independiente a la infraestructura IT de la empresa se puede considerar la resolución ágil y con un mínimo de garantías de respuesta ante un ciberataque.
Con este panorama, y por todo lo expuesto anteriormente, es fácil entender por qué tengo tanta simpatía por los Directores de Seguridad. En un entorno de contracción económica se enfrentan a retos de gestión de crisis, a integración de tecnologías y amenazas quasi-desconocidas de tipo ciber, por lo que se requiere un gran talento para ponerse al día y desarrollar soluciones prácticas que minimicen el impacto económico que una empresa pueda sufrir ante las amenazas actuales.
Este artículo fue publicado en el número de noviembre de 2018 de la revista Seguritecnia.