Por Jorge Castro,
Socio de KPMG Chile.
Para muchos, el término de ciberseguridad alberga cierto halo de misterio, de no saber exactamente qué es. Una reflexión que nos llega de nuestros clientes semana tras semana es la siguiente: “Mis círculos de confianza me transmiten que es algo de lo que me debería preocupar, debido a la cantidad de amenazas y casos que salen a la luz de un tiempo a esta parte, pero no sé cómo estamos o qué hacer”. Según nuestra experiencia, acercarse a la ciberseguridad desde el miedo o desde las debilidades de la compañía, no ayuda a plantear una solución eficaz, dando lugar a enfoques fallidos y errores como los que se plantean a continuación.
Caso 1:
Error:“Debemos alcanzar un cien por ciento de seguridad”.
Realidad:Un cien por ciento de seguridad, ni es viable, ni debería ser el objetivo.
Empezar a concientizar a CEOs, CIOs y CISOs de que la seguridad completa y total no existe, es el primer paso del camino. Esto permitirá que la compañía comience a tomar decisiones sobre cuál será su política y estrategia al respecto. Una buena aproximación en seguridad consiste en entender las amenazas relativas a las vulnerabilidades de la organización (enfoque preventivo), establecer mecanismos que permitan detectar ataques o brechas inminentes (enfoque detectivo) y desarrollar la capacidad de respuesta ante incidentes, con el objetivo de minimizar los daños (enfoque reactivo). Después de un incidente, la compañía debe ser capaz de minimizar los daños y solucionar las vulnerabilidades para que su negocio no se resienta, debiendo ser resiliente.
Caso 2:
Error:“Cuando invertimos en las mejores tecnologías y herramientas, estamos seguros”.
Realidad:Una ciberseguridad efectiva es menos dependiente de la tecnología de lo que se puede llegar a imaginar.
El mundo de la ciberseguridad está claramente marcado por proveedores de herramientas y tecnologías, las cuales son esenciales para construir nuestra solución de seguridad. A pesar de ello no pueden ser la base ni la condición de una ciberseguridad holística y robusta, la que deberá emanar de la política y la estrategia de la compañía. La inversión en soluciones de seguridad será una de las consecuencias de la estrategia, pero no el “leitmotiv”.
Una buena seguridad comienza por desarrollar una capacidad elevada de ciberdefensa. Aunque normalmente estas acciones son lideradas desde TI, el conocimiento y formación de los usuarios finales es clave para el éxito. El factor humano es y será el eslabón más débil en cualquier cadena de seguridad, por lo que invertir en las mejores herramientas solo devolverá un retorno adecuado cuando los involucrados entiendan su responsabilidad de cara a la seguridad de la compañía. La ingeniería social, mediante la que se consigue acceder a información restringida de la empresa, sigue siendo una de las principales amenazas en ciberseguridad.
Caso 3:
Error:“Nuestras armas deben ser mejores que las de nuestros atacantes”.
Realidad:La estrategia de seguridad debe estructurarse desde los objetivos, no desde las amenazas.
La batalla contra el cibercrimen es el ejemplo de una carrera que nunca va a poder ganar. Los atacantes siempre emplearán métodos nuevos, por lo que la defensa siempre irá un paso atrás. Llegado este punto nos preguntamos: “¿Es realmente útil seguir persiguiendo a los atacantes y continuar incrementando la inversión en sofisticadas herramientas preventivas?”. Por supuesto que es importante mantenerse al día y actualizado, pero también es básico adoptar una aproximación flexible y proactiva. Los responsables de las distintas áreas de negocio de una compañía deben entender el valor de sus activos de información y las implicancias que cualquier pérdida de información provocaría en sus negocios: daño de imagen, reducción de beneficios, pérdida de conocimiento o interrupciones en sus servicios. Las políticas de ciberseguridad necesitan focalizar las inversiones en estas áreas en vez de tratar de cubrir todos los riesgos. La aproximación es priorizar. Estar en la vanguardia no debe distraer el foco de lo que realmente es importante para la compañía, de cuál es su núcleo de negocio y de cómo y en qué medida debe protegerlo. Las inversiones y asignaciones de recursos en ciberseguridad deberán siempre estar respaldadas por un caso de negocio detallado, el cual deberá ser capaz de identificar aspectos como para quiénes puede resultar un objetivo nuestra compañía, o qué riesgos queremos tratar y cuáles asumir, así como qué sistemas almacenan o componen nuestros activos clave.
Caso 4:
Error:“El cumplimiento de la ciberseguridad se basa en un monitoreo eficaz”.
Realidad:La capacidad de aprender y crecer es tan importante como la de monitorear.
La práctica nos ha mostrado que la ciberseguridad está muy ligada al compliance. Esto es entendible porque muchas organizaciones deben atender una buena cantidad de leyes y requerimientos de parte de las autoridades. Sin embargo, es contraproducente si lo vemos como el objetivo de la ciberseguridad.
Solo las organizaciones que sean capaces de entender las tendencias e incidentes que están ocurriendo en el exterior, y enriquecer sus propias políticas y estrategias con este feedback, serán capaces de subsistir de manera exitosa a largo plazo. La estrategia en ciberseguridad de una compañía se debe basar en el aprendizaje y la mejora continua. Esto significa que:
• La organización debe entender cómo están evolucionando las amenazas y desarrollar una aproximación que comprenda las implicaciones a corto, mediano y largo plazo, pudiendo desarrollar soluciones y estrategias que se basen en el conocimiento y el análisis de los datos. Esta aproximación, al final, siempre será más efectiva y eficiente.
• Todos los incidentes deben ser evaluados y registrados de manera que aporten conocimiento en forma de lecciones aprendidas. Aunque parece sencillo, pocas organizaciones funcionan bien en este aspecto, lo que destruye su capacidad de conocerse, quedando su habilidad de reaccionar reducida a la incertidumbre.
• Ante el monitoreo de ataques, por mucha capacidad técnica que posea la compañía, si no posee flujos para compartir estos inputs, relacionarlos y adquirir conocimiento, no se generará valor agregado a las lecciones aprendidas. Solo si sabe y está convencido de qué es lo que está monitoreando, el monitoreo se convertirá en una verdadera y útil herramienta de detección de ataques. La función de inteligencia en seguridad cobra en este aspecto una importancia capital para la ciberseguridad.
• Por último, un enfoque que cada vez adquiere más sentido en las grandes organizaciones, con elevados niveles de madurez en seguridad, consiste en establecer un método corporativo, transversal a toda la organización para la evaluación y reporting de riesgos en ciberseguridad. Por ello, la ciberseguridad no es solo cosa de SSII o de TI; es y se asienta en toda la organización.
Caso 5:
Error:“Necesitamos contar con los mejores profesionales para defendernos del cibercrimen”.
Realidad:La ciberseguridad no es un departamento, es una actitud.
Con mayor frecuencia de la que debería, la ciberseguridad es entendida como la responsabilidad de un departamento de profesionales especializados. Esta idea puede derivar en una falsa sensación de seguridad, dejando responsabilidades sin ser cubiertas.
El gran reto que afrontan las compañías en este sentido, consiste en hacer de la ciberseguridad un enfoque global de la compañía. En la medida en que logremos que este concepto cale en la organización, habremos dado el primer y más importante paso en hacer de esta una actitud.
En definitiva, podemos concluir que la ciberseguridad debe ser uno de los puntos claves de las agendas de cualquier CEO, tal y como KPMG lo ha fijado como objetivo de la firma a nivel global. Es el momento de pasar a la acción.
