Ser director de Seguridad es quizá una de las opciones profesionales más ingratas. Yo, que no lo soy, admiro a todas esas personas que trabajan para que no ocurran incidentes. Principalmente porque cuando esos eventos no suceden, nadie se da cuenta, y por ello nadie lo agradece. Ahora bien, cuando pasan, todo el mundo los busca y les pide responsabilidades.
Casi todo este mundo coincide en que la inversión en seguridad nunca es generosa, por lo cual el responsable de Seguridad se enfrenta a un reto adicional, cual malabarista, tratando de hacer lo posible con lo disponible.
Para complicar la situación, los entornos de amenaza se acrecientan en un mundo cada vez más globalizado. Temas como la ciberseguridad –donde el mundo interconectado facilita la exposición al riesgo–, las nuevas tecnologías aplicadas – como en la integración IT/OT, de donde se obtiene información valiosa para la gestión de seguridad pero que genera un volumen mayor de datos para analizar– o ahora con el tema de la protección de la información y la aplicación del Reglamento General de Protección de Datos, complican la situación. Todos estos retos no son nuevos, pero sí novedosos para profesionales que con frecuencia no han recibido formación específica en ellos.
Manejo de crisis
En las empresas, en general, se han adoptado dispositivos modernos como los teléfonos inteligentes mientras que los sistemas de alerta para cualquier incidente grave se mantienen por medio de cadenas de llamadas que se han demostrado ineficientes y lentas, además de fuertemente dependientes del factor humano. Cualquier estudio de manejo de crisis habla de la importancia de la rapidez de la respuesta. Todos coinciden que las primeras horas –a veces minutos– son críticos para impedir o minimizar daños mayores, lo que no es compatible con el uso de árboles de llamada, donde cadenas pequeñas de aviso enseguida alcanzan los 30 minutos de duración y es bastante habitual que con cadenas de más de 50 participantes se requieran tiempos cercanos a la hora. Es evidente que la rapidez en la respuesta es contradictoria con la utilización de árboles de llamadas. A partir de ahí hay que poner en marcha la respuesta.
En una encuesta informal realizada entre los asistentes durante el evento Open Dayde infraestructuras críticas de 2018, organizado por Seguritecnia, la mayoría de las empresas asistentes reconocieron daños típicos entre uno y diez millones de euros por impacto, con una duración habitual de un evento de entre 12 y 24 horas. Si, como evidencian los estudios de manejo de crisis, los daños mayores se producen en las primeras horas de iniciarse la crisis, un simple cálculo evidencia que estamos hablando de pérdidas de cientos de miles de euros. El valor añadido que ofrece la aceleración de la respuesta a la emergencia se traduce en un retorno de inversión de varios órdenes de magnitud. Por ello no se entiende que todavía hoy se sigan modelos de alerta que ya se usaban en los años 90.
IT/OT
Con el añadido de la multiplicidad de fuentes de información provenientes de dispositivos de monitoreo interconectados se abre un mundo nuevo. Al componente de la seguridad sobre los contenidos que proveen, por el riesgo de hackeo o espionaje industrial, se le añade la “digestión” de la información para que se pueda obtener un aporte de valor a la gestión de la seguridad. En lo relativo a la primera parte empieza a existir mayor conciencia de la vulnerabilidad de los dispositivos y, por ende, esto influye en el proceso de selección, más si cabe cuando se trata de infraestructuras críticas.
Sin embargo, en la gestión de la información proveniente de estos sistemas hay enormes carencias. Muy a menudo existe poca automatización del procesado de los datos y finalmente estos confluyen en consolas vigiladas por operadores donde, de nuevo, el factor humano se convierte en limitante del proceso. Por ello es tan frecuente que indicadores de alerta temprana pasen inadvertidos o que se retrase su atención.
Incluso cuando estas alertas son atendidas, no son raros los casos en que el área de IT (Information Technology), sin pretenderlo, trata de solucionar los incidentes sin considerar el impacto a la seguridad. Al solaparse aquí los ámbitos, se está ignorando en muchos casos la participación conjunta de IT y seguridad y afectando, muchas veces sin intención, la respuesta temprana de seguridad.
De nuevo la tecnología proporciona posibilidades que, sin ser costosas, automatizan el procesado para evitar que estas alertas pasen inadvertidas y que reducen los tiempos de reacción, evitando la omisión involuntaria de participantes, con el evidente ahorro que puede suponer en el coste final del evento.
Ciberseguridad
Hasta hace poco, entre las primeras cosas que se nos podían pasar por la cabeza al oír “mundo interconectado” estaba el impacto reputacional, relacionado con las redes sociales. La tendencia era evitar verse en minutos en las redes por una fuga de información, además de colaborar con comunicación corporativa en la mitigación de bulos en las redes. Algunas pocas empresas ponían en práctica el monitoreo de redes para poder tener información temprana como una fuente de información adicional que integrar en la gestión de crisis.
Hoy en día, cuando la amenaza reputacional ya forma parte de la gestión de crisis, la amenaza emergente es la ciberseguridad. Es fácil comprender que nos enfrentamos a amenazas que se adelantan a nuestro conocimiento creando la sensación de que luchamos contra un enemigo con las manos atadas a la espalda, pues siempre va a tratar de ir por delante. El reto adicional de la gestión de un evento cíber reside en un hecho fundamental que se pudo ver en el caso del Wannacry: ¿cómo manejar una situación cuando mi empresa se ve obligada por precaución a un apagón de IT?
Realmente, casi ninguna empresa está preparada, empezando porque difícilmente puedes usar las tecnologías habituales que implementabas para la gestión de emergencias. Por ejemplo, podrían no funcionar los correos electrónicos, la telefonía (la mayor parte de las empresas son VoIP), los repositorios documentales, las herramientas de monitorización, etc. Con la capacidad mermada de alertar y de acceder a la base documental, realmente es un reto poder ser ágiles.
La única alternativa resiliente para dar una respuesta ágil en un escenario cíber, que reduzca el impacto, tiene que recaer necesariamente en soluciones que puedan ser fácilmente accesibles desde el entorno exterior de la empresa y que no tengan dependencias tecnológicas con ella: un esquema de servicio externo. Desde este se debe poder acceder a los documentos esenciales para la gestión del evento, iniciar procesos de alerta con los repositorios de personal en un modo multicanal y poder colaborar en la coordinación de las actuaciones. Solo desde un entorno independiente a la infraestructura IT de la empresa se puede considerar la resolución ágil y con un mínimo de garantías de respuesta ante un ciberataque.
Con este panorama, y por todo lo expuesto anteriormente, es fácil entender porqué tengo tanta simpatía por los directores de Seguridad en esta era de la ciberseguridad. En un entorno de contracción económica se enfrentan a retos de gestión de crisis, a integración de tecnologías y amenazas quasidesconocidas de tipo cíber, por lo que se requiere un gran talento para ponerse al día y desarrollar soluciones prácticas que minimicen el impacto económico que la empresa pueda sufrir ante las amenazas actuales.