Cinco errores comunes en ciberseguridad

Para muchos, el término de ciberseguridad alberga cierto halo de misterio, de no saber exactamente qué es. “Mis círculos de confianza me transmiten que es algo de lo que me debería preocupar, debido a la cantidad de amenazas y casos que salen a la luz de un tiempo a esta parte, pero no sé cómo estamos o qué hacer”

Esta es una reflexión que nos llega de nuestros clientes semana tras semana. Según nuestra experiencia, acercarse a la ciberseguridad desde el miedo o desde las debilidades de la compañía, no ayuda a plantear una solución eficaz, dando lugar a enfoques fallidos y errores como los que se plantean a continuación.

Caso 1:

Error: “Debemos alcanzar un cien por cien de seguridad”

Realidad: Un cien por cien de seguridad, ni es viable, ni debería ser el objetivo.

Empezar a concienciar a CEOs, CIOs y CISOs de que la seguridad completa y total no existe, es el primer paso del camino, permitiendo que la compañía empiece a tomar decisiones sobre cuál va a ser su política y estrategia al respecto. Una buena aproximación en seguridad consiste en entender las amenazas relativas a las vulnerabilidades de la organización (enfoque preventivo), establecer mecanismos que permitan detectar ataques o brechas inminentes (enfoque detectivo) y desarrollar la capacidad de respuesta ante incidentes, con el objetivo de minimizar los daños (enfoque reactivo).

Tradicionalmente, la defensa se ha centrado en enfoques preventivos, pensando que “construyendo muros impenetrables” estaríamos más protegidos. Una vez logremos entender que la seguridad perfecta o total es una ilusión, centraremos nuestros esfuerzos en enfoques más realistas, detectivos y preventivos.

Después de un incidente, la compañía debe ser capaz de minimizar los daños y solucionar las evidencias, para que su negocio no se resienta, debe ser resiliente.

Caso 2:

Error: “Cuando invertimos en las mejores tecnologías y herramientas, estamos seguros”

Realidad: Una ciberseguridad efectiva es menos dependiente de la tecnología de lo que puedes llegar a imaginar.

El mundo de la ciberseguridad está claramente marcado por proveedores de herramientas y  tecnologías, las cuales son esenciales para construir nuestra solución de seguridad, pero no pueden ser la base ni la condición de una ciberseguridad holística y robusta, la cual deberá emanar de la política y la estrategia de la compañía. La inversión en soluciones de seguridad será una de las consecuencias de la estrategia pero no el leitmotiv.

Una buena seguridad comienza por desarrollar una elevada capacidad de ciberdefensa. Aunque normalmente estas acciones son lideradas desde TI, el conocimiento y formación de los usuarios finales es clave para el éxito. El factor humano es y será, el eslabón más débil en cualquier cadena de seguridad, por lo que invertir en las mejores herramientas sólo devolverá un retorno adecuado cuando los involucrados entiendan  su responsabilidad de cara a la seguridad de la compañía. La ingeniería social, mediante la que se consigue acceder a información restringida de la empresa, sigue siendo una de las principales amenazas en ciberseguridad.

Concienciar a empleados y altos cargos sobre la importancia de la información que manejan, los sistemas y soluciones que tienen a su disposición y los riesgos existentes, redundará en la cultura de la organización, y por ende, en la seguridad.

Caso 3:

Error: “Nuestras armas deben ser mejores que las de nuestros atacantes”

Realidad: Tu estrategia de seguridad debe vertebrarse desde tus objetivos no desde tus amenazas.

La batalla contra el cibercrimen es el ejemplo de una carrera que nunca vas a poder vencer, como en el Outrun, ese videojuego de los 80, siempre que parezca que llegas a la meta a tiempo, un nuevo reto se abrirá enfrente de ti. Los atacantes siempre emplearán métodos y tecnologías nuevas, por lo que la defensa siempre irá un paso atrás.

Llegados a este punto nos preguntamos ¿es realmente útil seguir persiguiendo a los atacantes y continuar incrementando la inversión en sofisticadas herramientas preventivas?

Por supuesto que es importante mantenerse al día y actualizado, pero también es básico adoptar una aproximación flexible y proactiva. Los responsables de las distintas áreas de negocio de una compañía deben entender el valor de sus activos de información y las implicaciones que cualquier pérdida de información provocaría en sus negocios: daño de imagen, reducción de beneficios, pérdida de conocimiento o interrupciones en sus servicios. Las políticas de ciberseguridad necesitan focalizar las inversiones en estas áreas en vez de tratar de cubrir todos los riesgos, la aproximación es priorizar. Estar en la vanguardia, no debe distraer el foco de los que realmente es importante para la compañía, de cuál es su núcleo de negocio y de cómo y en qué medida debe protegerlo. Las inversiones y asignaciones de recursos en ciberseguridad deberán siempre ir refutadas por un business case detallado, el cual deberá ser capaz de atender cuestiones como: ¿sabemos para quienes puede resultar un objetivo nuestra compañía?, ¿conocemos que riesgos queremos tratar y cuáles asumir?, ¿somos conscientes de qué sistemas almacenan o componen  nuestros activos clave?

De acuerdo a esta última cuestión una organización puede percibir el valor de sus activos de manera diferente a la que puede tener el posible atacante, por lo que debemos atender a este valor desde ambos vectores, entendiendo que tanto los procesos de negocio como las tecnologías han sido desarrollados como cadenas, por lo que las organizaciones son co-dependientes de la seguridad de cada uno.

Caso 4:

Error: “El cumplimiento de la ciberseguridad se basa en una monitorización eficaz”

Realidad: La capacidad de aprender y crecer, es tan importante como la de monitorizar.

Sólo las organizaciones que sean capaces de entender las tendencias e incidentes que están ocurriendo en el exterior y enriquecer sus propias políticas y estrategias con este feedback serán capaces de subsistir de manera exitosa a largo plazo. La práctica nos ha enseñado que la ciberseguridad está muy ligada al compliance. Esto es entendible pero a la vez contraproducente si lo vemos como el objetivo de la ciberseguridad.

La estrategia en ciberseguridad de una compañía se debe basar en el aprendizaje y la mejora continuos. Lo que significa:

  • La organización debe entender como están evolucionando las amenazas y desarrollar una aproximación inteligente que comprenda las implicaciones a corto, medio y largo plazo, pudiendo desarrollar soluciones y estrategias que se basen en el conocimiento y el análisis de los datos. Esta aproximación, al final, siempre será más efectiva y eficiente.
  • Todos los incidentes deben ser evaluados y registrados de manera que aporten conocimiento a en forma de lecciones aprendidas. Aunque sencillo, conozco pocas organizaciones que funcionen bien en este aspecto, lo cual destruye su capacidad de conocerse, quedando su habilidad de reaccionar reducida a la incertidumbre.
  • Lo mismo se puede aplicar a la monitorización de ataques, por mucha capacidad técnica que posea la compañía si no posee flujos para compartir estos inputs, relacionarlos y adquirir conocimiento, no se generará valor añadido a las lecciones aprendidas. Sólo si sabes y estas convencido de qué es lo que estas monitorizando, será cuando la monitorización se convierta en una verdadera  y útil herramienta de detección de ataques. La función de inteligencia en seguridad, cobra en este aspecto una importancia capital para la ciberseguridad.
  • Por último, un enfoque que cada vez cobra más sentido en las grandes organizaciones, con elevados niveles de madurez en seguridad, consiste en establecer un método corporativo, cross a toda la organización para la evaluación y reporting de riesgos en ciberseguridad. La ciberseguridad no es sólo cosa de SSII o de TI, es y se asienta, en toda la organización.

Caso 5:

Error: “Necesitamos contar con los mejores profesionales para defendernos del ciber crimen”

Realidad: La ciberseguridad no es un departamento, es una actitud.

Con mayor frecuencia de la que debería, la ciberseguridad es entendida como la responsabilidad de un departamento de profesionales especializados. Como venimos viendo en el artículo, esta idea puede derivar en una falsa sensación de seguridad, dejando responsabilidades sin ser cubiertas.

El gran reto que afrontan en las compañías a este respecto consiste en hacer de la ciberseguridad un enfoque global de la compañía. En tanto en cuanto logremos que este concepto cale en la organización, habremos dado el primer y más importante paso en hacer de la ciberseguridad una actitud.

Como conclusión a este artículo y a las ideas que se desgranan de los cinco casos estudiados, determinamos que la ciberseguridad debe ser uno puntos clave de las agendas de cualquier CEO, tal y como KPMG lo ha fijado como objetivo de la firma a nivel global. Es el momento de pasar a la acción.

El presente artículo es una adaptación de “The five most common cyber secutity mistakes – Management’s perspective on cyber security” un trabajo del equipo de ciberseguridad de KPMG Países Bajos.