25 de abril de 2018.- Encontrar el balance adecuado en la implementación de medidas y la gestión de la seguridad es uno de los grandes desafíos que enfrentan hoy las organizaciones en lo que se abren camino hacia la digitalización de su negocio.
En este contexto, la debilidad en ciberseguridad se considera una “enfermedad silenciosa”, tal vez metafóricamente comparable con la hipertensión arterial y la diabetes, que si no se trata a tiempo puede ser letal en estos tiempos que corren.
“Yo no soy un coloso empresarial”, “A mí no me va a pasar eso” o “Mi presupuesto no alcanza”, son quizás de los pensamientos más desafortunados para quien está al frente de su negocio y es responsable de protegerlo.
El más reciente informe de Ciberseguridad de Cisco da luz sobre el panorama de las amenazas y el comportamiento que están tomando los que intentan defenderse. Con cierta licencia poética nos permitimos abordar la postura de ciberseguridad en un juego de Pecados y Mandamientos, como recomendaciones para quien pudiera estar un poco a ciegas en el tema … aún sin saberlo.
Comencemos por los “7 Pecados Capitales” que solemos cometer y que pueden costarnos tiempo, productividad y dinero. Para en los próximo días abordar los 10 mandamientos en la Seguridad de la Información:
1.- PEREZA
Con frecuencia escuchamos decir que lo urgente prevalece sobre lo importante y es posible que, si eso ocurre con frecuencia y no como evento, estemos en medio de una atmósfera desorganizada o con responsabilidades no asignadas específicamente. O, peor aún, tengamos alguna tendencia a apagar fuegos o poner parches para el “más tarde” que nunca llega, lo que nos hace tomar decisiones signadas por lo reactivo y no por lo previsto. En cualquier momento, las consecuencias de un ciberataque serán ineludibles. Así lo han demostrado incidentes conocidos como el de WannaCry, donde en muchos casos la falta de disciplina a la hora de emparchar vulnerabilidades y de deshabilitar puertos de comunicación que no son necesarios para el negocio causó una situación de pánico y reacción desordenada ante la inminente infección.
La pereza es a su vez el mayor enemigo de las tareas de planificación, documentación y buenas prácticas que suelen ser tediosas y por ello caen en las garras de la procrastinación. Por este motivo, están cobrando especial relevancia las capacidades de visibilidad, automatización y orquestación que permiten entender con mayor claridad el ambiente dinámico que estamos protegiendo y aplicar políticas de forma ágil, sin caer en las garras de la pereza.
2.- SOBERBIA
“No me va a pasar”, “Si sucede, yo sé cómo resolverlo”, “Mi sistema es invulnerable”. A menos que se desconecte, todos estamos expuestos y somos blanco de un ataque cibernético. Insistimos: el tamaño de su empresa, lo específico de su nicho, el número de empleados o el modo operativo no lo exime del riesgo. No, no nos las sabemos todas. El capital humano especializado en seguridad es muy escaso y aún si tenemos la suerte de contar con algunos gurúes, la seguridad efectiva no se logra con héroes “que lo tienen todo bajo control” e intentan resolver todo lo posible “in-house”. Mismo los fabricantes de seguridad sensatos reconocen que con sus portafolios de seguridad no pueden proteger contra todos los vectores de ataque y por ello la estrategia correcta implica integración y apertura para la interoperabilidad de diversas tecnologías. En contrapartida, aquellos que se aproximan al mercado con “balas de plata” van a tener que pasar por el confesionario.
3.- GULA
A lo largo de los últimos años, con el afán de robustecer la seguridad, muchas organizaciones, en especial las que tienen la posibilidad y conciencia para abrir la billetera a la hora de invertir en tecnologías de defensa, han sucumbido ante la “gula” de consumir más productos de seguridad de los que su “cuerpo humano” de operadores de la seguridad pueden “digerir”. Así resultan saturados de tecnologías para implementar, integrar y operar, cada una cumpliendo una función aislada de seguridad y al fin sin lograr una arquitectura que habilite una gestión sistémica y eficiente. Por esa razón, cada vez mas las organizaciones intentan consolidar su plataforma de seguridad reduciendo la cantidad de productos y de fabricantes dispares de forma tal de eliminar complejidades y lograr una mejor integración. Digamos que hay que ponerse a dieta y si bien el menú sigue siendo variado, porque como dijimos, no hay una píldora mágica de la seguridad, se trata de resolver la estrategia con menos jugadores y productos. En Latinoamérica, la mayoría de las organizaciones tienen tecnologías de entre 5 y 20 fabricantes distintos de seguridad.
4.- ENVIDIA
Siempre el césped del vecino se ve más verde. Tienen más presupuesto, mayor estructura para ocuparse de la seguridad, etc. Con esto algunas organizaciones caen en una postura de auto-justificarse en las razones por las que tienen una estrategia débil en ciberseguridad. No obstante, desafiando esta visión, podemos decir que hoy toda empresa, pequeña o grande puede construir una estrategia tecnológica adecuada siempre y cuando sepan escoger las herramientas correctas y fundamentalmente a través de una buena evangelización interna sobre lo que hace falta y el impacto al negocio. Por otra parte, no hay dos compañías iguales, y por ende tampoco se debe pretender copiar la estrategia tecnológica y políticas de seguridad del otro “más afortunado”. Al fin, lo que hace la diferencia no es la tecnología o la política escrita en papel, sino el cómo se lleva a la práctica, se optimiza y se gestiona día a día, y eso depende de las personas directa e indirectamente responsables de mantener el negocio a flote frente a los riesgos que existen.
5.- IRA
Un incidente de seguridad, y el consiguiente tirón de orejas, puede derivar en acciones restrictivas casadas por el enojo. Por ejemplo, limitar accesos de forma excesiva e indiscriminada, afectando la productividad de los empleados…sin pensar que las restricciones se inventaron para ser salteadas. En muchas organizaciones se ve a las claras como una postura “miope” de los responsables de seguridad basada en la restricción termina obstaculizando el negocio y generando rispideces con otras áreas de tecnología que tienen una filosofía más bien opuesta: que todo funcione con agilidad y sin reclamos. A no enojarse y echarse culpas. Las organizaciones que están haciendo un buen trabajo en materia de ciberseguridad son las que logran insertar a la seguridad lo antes posible en todos los procesos de negocio y en definitiva se logra una responsabilidad compartida en la consideración e implementación de las medidas necesarias desde el vamos. Por otra parte, esta integración entre áreas de tecnología y de negocios sensibiliza a los miembros de seguridad en cuanto a las prioridades del negocio y en consecuencia adquieren una visión más realista sobre el trade-off adecuado entre seguridad rigurosa y experiencia de usuario de baja fricción.
6.- LUJURIA
Aquí nos referimos a la desmesura en adoptar sistemas o portafolios de seguridad que no se justifican.
Como en todo aspecto de la vida, los extremos suelen no ser buenos. En términos de la estrategia de ciberseguridad, lo más parecido a la lujuria se ve en los (pocos) casos en que se implementan soluciones excesivamente sofisticadas y costosas pasando la línea de lo razonable en función del riesgo afrontado y el contexto del negocio a proteger. O sea, tampoco se trata de implementar “la seguridad de la NASA” en toda empresa aún si se lograra sembrar la suficiente paranoia en los directores para que aprueben una inversión desmedida. Esta postura, si bien poco común, se puede ver en algunos casos de “early adopters”
7.- AVARICIA
Olvide el concepto “hecho en casa” en el tema de ciberseguridad. Su negocio es otra cosa. Y, créalo: hay presupuesto para todo. No es un gasto, es una inversión que le permitirá seguir funcionando y permaneciendo operativo y productivo. Capacite y entrene a su personal, prepare las defensas porque los incidentes están a la orden del día.
Aquí la clave está en lograr el cambio de percepción de la seguridad como centro de costo, para comenzar a verlo como habilitador del negocio. Nadie quiere aumentar el gasto en defensas, especialmente de situaciones teóricas, que afortunadamente tal vez nunca ocurrieron, y esto eventualmente se paga muy caro. En cambio, cuando se hace un análisis serio de los beneficios de una estrategia correcta de seguridad y se comunican efectivamente a la junta directiva, se puede lograr el cambio de postura que exima a la organización de caer en este pecado de la “avaricia”.