En reiteradas oportunidades me he encontrado en situaciones en las que surgían preguntas que aparentan ser sencillas desde su formulación pero que, a la hora de dar respuestas, demuestran un alto grado de complejidad.
Una de ellas me fue formulada en un Comité de riesgos cuando uno de los directivos de la compañía me preguntó si “estábamos seguros”. Lo primero que uno aprende en Seguridad es que nunca podemos sentirnos seguros como para responder “Si” y por otro lado entendemos que un “No” puede generar pánico o preocupación excesiva.
Por otro lado, como en la facultad, una primera respuesta válida pero insuficiente sería “depende”. Lo que nos posiciona en un escenario complicado en el que debemos comenzar a estructurar una gran cantidad de consideraciones, escenarios, etc, etc, etc.
En definitiva, estaríamos perdiendo una gran oportunidad para comunicar nuestro estado de seguridad en forma efectiva.
Si bien, la mayoría de los que trabajamos en Seguridad contamos con un método o línea de pensamiento similar, este proceso no estructurado correctamente nos puede llevar a esta situación en la que no logramos responder a esa pregunta tan inocente.
Aquí es donde, a mi criterio, los frameworks de gobierno y control entran en valor. Para profundizar en mi punto de vista tomaré uno de los que más me gustan, el Framework NIST.
En principio, voy a tomar esa pregunta, que al día de hoy me saca el sueño, para explicar cómo podríamos responderla.
¿Estamos Seguros? Divide y vencerás dijo alguien por ahí.
Entonces podríamos descomponerla en otras preguntas más específicas que nos permitirán arribar a una conclusión más robusta.
Evaluemos cada una de estas y analicemos cómo podríamos abordar una respuesta.
1. ¿Contamos con un método apropiado?
Aquí es donde el framework nos brinda un valor agregado diferencial.Si bien podemos creer que implícitamente lo ejecutamos, tomar un método diseñado y validado a nivel internacional nos asegura no solo la ejecución ordenada, sino que también nos provee un lenguaje común.
Como mencionaba antes, tomaré a NIST para ejemplificar ya que es uno de los frameworks que más me gusta, por cómo se organiza, NIST propone un enfoque basado en riesgos que consta de 5 funciones a ejecutarse de forma simultánea y continua que nos proporcionarán una visión estratégica para gobernar la función de ciberseguridad.
Estas funciones son Identificar, Proteger, Detectar, Responder y Recuperar.
A su vez, es necesario destacar que, cada vez que abordemos controles que nutran a las mismas, es importante considerar los 3 ejes de un modelo operativo sustentable. Es decir, considerar qué recursos humanos necesitamos (cantidad, interacción, skills, etc), qué procesos deben ejecutar estas personas y en cuáles tecnologías se apoyan para tal fin.
Volviendo a las preguntas. Analicemos como cada función nos permite responder a las mismas.
2. ¿Estamos razonablemente protegidos?
Primero, me permito destacar la palabra “razonablemente” debido a que es importante que, a la hora de implementar controles para abordar y bajar los riesgos, lo hagamos considerando quiénes somos y cuáles activos son los más importantes (las joyas de la corona).
Si como hace años atrás, pretendemos asegurar todos nuestros activos al mismo nivel, lo mas probable es que nuestro método se torne extremadamente costoso o, por contraparte, que bajemos el nivel de seguridad general.
Aquí es donde entra en juego la función Identificar: mediante la misma, se busca entender qué debemos proteger y ante qué amenazas
Para ello es clave identificar nuestros activos (personas, bases de información, sistemas, tecnologías, etc), contextualizarlos en función de su criticidad para el negocio, evaluar las amenazas, y clasificar y gestionar los riesgos.
A partir de este trabajo lograremos establecer una estrategia alineada al negocio.
A su vez, resulta conveniente arrancar esta función con un assessment que nos permita entender de dónde partimos.
De esta función nos tiene que quedar en la cabeza que “Lo desconocido no se puede proteger”.
3. ¿Qué hacemos para proteger al negocio?
Habiendo identificado y clasificado nuestros activos, estamos en condiciones de entender las necesidades de seguridad que tiene cada uno de ellos.
Es decir, evaluar los niveles de Confidencialidad, Integridad y Disponibilidad necesarios en cada caso.
Para esto debemos abordar, entre otros, procesos o controles como:
4. ¿Sabemos y podemos detectar una brecha o incidente?
A la hora de desarrollar la función detectar y dado el cambio en el escenario de amenazas, debemos considerar que estamos siendo constantemente atacados, o peor aún: que ya fuimos comprometidos.
Estas hipótesis hacen que estresemos la función detectar ya que deberemos pasar de una lógica de monitoreo a la de vigilancia o incluso cacería.
Mediante esta función, el framework nos ordena para la implementación de procesos, técnicas y tecnologías de detección temprana.
“A Mayor velocidad de detección –> Mayor efectividad en la contención –> Menor impacto al negocio”
Un estudio de IBM demuestra que el “tiempo promedio de identificación y contención de una brecha” está tomando 280 días.
5. ¿Podemos responder rápida y efectivamente a un incidente?
Ante el escenario actual, el proceso de respuesta a un incidente debe ser rápido y efectivo. Si bien esta sumamente trillada, creo que la analogía del incendio es perfecta. Para apagarlo debemos contar con:
Adicionalmente al proceso, debemos practicarlo y perfeccionarlo constantemente. Por otro lado, debemos considerar establecer una cultura de seguridad que transforme el accionar de las personas frente a las amenazas.
Retomando las métricas, en el mundo demoramos un promedio de 77 días en “contener un incidente”.
6. ¿Podemos recuperarnos?
Habiendo contenido y mitigado un incidente, nos queda recuperarnos. Es necesario dar un paso más en esta etapa y dejar de pensar la recuperación solo como un hito en el tiempo para re entenderla como un momento clave para desarrollar la ciber resiliencia. Esto nos permitirá:
“Responder rápido, minimizar los riesgos y continuar operando aun bajo un ataque“
Como el resto de las funciones, la recuperación se apoya sobre las otras. Sin una función identificar madura es difícil pensar en qué activos requieren mayores niveles de disponibilidad, confidencialidad o integridad y, por lo tanto, mayores esfuerzos a la hora de invertir en resiliencia. Lo mismo pasa con las funciones proteger, detectar y responder.
Para abordar esta función debemos considerar la implementación de planes de recuperación. Sé que es fácil decirlo y, como verán, hasta fácil escribirlo en un renglón.
Armar un Plan de Recuperación es un proyecto en sí con una gran cantidad de aristas. Requiere un pensamiento holístico y, persiguiendo eficacia debemos pensarlo como un programa de mejora continua.
En resumen, los frameworks nos ayudan a dar respuestas al negocio en forma ordenada y sustentable pero su mayor valor está en que nos permiten asegurar el alineamiento con el mismo en todo momento..
Por otro lado, es real que cuando uno analiza este tipo de marcos, parecen complejos o tediosos a la hora de la implementación. Ante esto, lo primero que debemos entender es que se trata de guías a seguir, es decir, debemos tomar lo que mejor se adapta a nuestra organización y siempre considerar un proceso evolutivo, es decir, no dejarse abrumar por la complejidad y pensar en términos de madurez. De esta manera, perfilarnos, medirnos una primera vez, entender dónde estamos parados y, a partir de esta medida, definir los próximos pasos.
Adicionalmente vale la pena destacar, que muchas de estas guías, se encuentran clasificadas según el tipo de industria y tamaño de la organización. En función de esta clasificación, uno podrá entender cuáles son los controles que tienen mayor prioridad sobre otros y, por lo tanto, pensar en la implementación paso a paso.
En @teetech podemos ayudarte a entender qué framework se adapta mejor a tu organización y, mediante nuestra plataforma SaaS, proveerte una herramienta de gestión continua y sustentable (https://teetech.com.ar/assessment/).
Contactanos y conversemos.