La prioridad de los profesionales de seguridad de TI debería ser la generación de conciencia e implementación de acciones responsables que mitiguen los riesgos, generen beneficios para las organizaciones y muestren el valor de nuestra función.
Estamos en la segunda mitad del año y seguramente ha visto en internet, en redes sociales o en las noticias, informes que resumen el estado actual de la ciberseguridad a nivel mundial. Sin duda, los informes pueden ser muy valiosos en cuanto a cifras, casos y datos duros de la cada vez más compleja escena de ciberataques a nivel mundial; el problema es que hay tantas versiones, formatos y cifras incluidas en dichos documentos que, sin la guía adecuada o la interpretación correcta, la información puede ser sacada del contexto real y traducirse en miedo o paranoia.
Cualquiera que sea la motivación que usted tenga para leer un informe (prevención, morbo, actualización, etc.) y por muy valiosa que sea la información que contenga, le adelanto que de nada sirven las cifras ni el tiempo invertido en su lectura si, como profesionales de seguridad, no nos damos a la tarea de entender dichas amenazas en el contexto de lo que se conoce como “riesgo digital” y su impacto para las organizaciones.
Para bien o para mal la (in)seguridad digital es una moda que llegó para quedarse y muchos datos sobre la sofisticación de los ataques cibernéticos seguirán ganando titulares en la prensa. Si bien es cierto que el tema es importante y que el malware, por ejemplo, crece de forma exponencial, más aún a partir de la dependencia que cualquier organización tiene en la tecnología para poder operar en la actualidad, de nada sirve estresarnos con historias de terror ocurridas a otras empresas si antes no entendemos nuestros propios ambientes de operación y nos ocupamos en controlar las puertas y ventanas abiertas en el plano digital, identificar los riesgos y determinar el verdadero impacto que un incidente podría tener para nosotros.
Por ello, no debemos confundirnos (ni dejar que nos confundan) y hay que tener claro que cuando los reportes hablan de amenazas digitales se refieren a esas instancias, ya sean manuales (ataques/hackeo dirigido) o automatizadas (virus, gusanos, algunos ataques de negación de servicio, etc.) que tienen como objetivo vulnerar nuestra seguridad y que son desarrolladas por personas o grupos para obtener información, o a final de cuentas y por encima de todo, un beneficio económico. Ahora bien, hay que entender que para que las amenazas se traduzcan en un riesgo real dependen del éxito que tengan encontrando y aprovechando las vulnerabilidades o debilidades (como malas configuraciones, fallas en la protección, falta de parches o actualizaciones de seguridad, etc.) en nuestros activos de TI. Así que mientras un informe bien puede mencionar que las amenazas han crecido, nosotros debemos preguntarnos cosas como: ¿Cuál es el riesgo que esto tiene para mi organización? ¿Sabemos cuáles son nuestros puntos débiles? ¿Qué protección tenemos?
Consideraciones para aprovechar la información y no caer en la paranoia
- Independientemente de lo que diga un informe, reporte o whitepaper,es clave que entendamos que NUNCA controlaremos nosotros la motivación de los atacantes ni la forma en que tratan de afectarnos (amenazas). Tristemente y como en cualquier sociedad es obvio que los criminales aumentarán a medida que la sociedad se vuelva más digital, mientras exista una falta de conciencia de los usuarios y también la (in)capacidad de las autoridades para perseguir estos delitos así que no invierta energía ni tiempo en tratar de entender las motivaciones de los atacantes sino más bien enfóquese en aquello que está bajo su control.
- Que si las vulnerabilidades crecieron en un 300% o 500% para ciertas plataformas, sistemas o redes sociales… el hecho es que el mundo está lleno de vulnerabilidades y se generan en proporción del incremento de usuarios, servicios y tecnología. Ocúpese entonces en entender su ambiente de operación y poner esas vulnerabilidades en contexto de su realidad para tomar las acciones pertinentes. Habrá algunas que resulten más importantes que otras para su ambiente.
- Muchos informes se enfocan en el crecimiento de amenazas pero hablan poco del riesgo. En este sentido, para el lector es clave tener esto presente y comprender que es imposible reducir el riesgo al 100%, ya sea por razones operativas, humanas, funcionales o tecnológicas así que dependiendo del grado de exposición y lo crítico de una situación se deberá asumir una postura ante el riesgo y determinar si es posible mitigarlo de alguna forma, evitarlo, transferirlo o aceptarlo. Si bien las cifras y datos de los reportes ayudan, la decisión debe basarse en el costo en tiempo o recursos que implique reducirlo vs. lo que puede costar no hacer nada. Siempre asegúrese de documentar el impacto que cualquier decisión tendrá en la rentabilidad y competitividad de su empresa.
- Que si hackearon a Sony, Target, algún auto, etc… Si bien los reportes incluyen ejemplos de compañías afectadas (y estoy seguro que la suya no quisiera aparecer en la lista), más que compararse con otros o sembrar miedo entre los directivos de su organización, aproveche los informes para conocer el entorno, explore la tecnología en el mercado y apóyese en su proveedor de seguridad. Es inaceptable que cualquier profesional o proveedor de servicios o tecnología de seguridad se justifique solamente usando a otros, hablando de amenazas o promoviendo tecnología de moda, sin antes entender quién es su organización, qué se debe proteger, y los riesgos que enfrenta lo que sin duda resultará en un planteamiento más profesional.
Con esta reflexión no pretendo minimizar la gran labor que hacen los investigadores para generar reportes que nos ayuden a entender la problemática de los ciberataques, sino más bien invitar a los profesionales a usar la información existente de forma responsable en nuestra labor.
Hace tiempo que soy detractor de las campañas de terror para generar conciencia en seguridad digital pues habiendo desarrollado funciones de ingeniería, consultoría, ventas y desarrollo de negocios en la industria de la seguridad estoy convencido que las historias de terror en los informes dejaron de ser efectivas sin un contexto adecuado y sin el análisis de cada caso.
Soy un fiel creyente de que a las personas se les activa a través de la motivación y no del estrés pero cuando leo y/o escucho aún a ciertos colegas en la industria usar datos de informes fatalistas o historias trágicas para generar ventas sin conocer a la organización en cuestión, lo respeto pero no lo comparto pues considero que, como profesionales de TI y responsables de proteger a nuestras organizaciones, debemos exigir más y mejor información de acuerdo a la naturaleza de lo que queremos proteger pero, sobre todo, asegurarnos de estar haciendo una correcta inversión de tiempo para conocer los riesgos que tenemos en casa y cómo mitigarlos.