El estado actual de la seguridad de información

Me resisto a creer que para vender seguridad de información se necesite vender miedo.

Me resisto a creer que para estar más seguro te tengan que hacer una prueba de penetración (así como no creo que para probar la seguridad de un banco tengas que hacer un robo o para probar el sistema contra incendio de tu organización tengas que hacer un incendio).

Me resisto a creer en la tendencia de que ahora debes desconfiar de todos y de todas (internos, externos, aliados de negocio) y que “confía, pero verifica” ya no funciona.

Sin embargo la evidencia en contra de mi resistencia a creer en ciertas cosas sigue creciendo.

El principal inhibidor en SI es que la seguridad de información es considerada un tema de “bottom line” en el negocio, no es visto como un diferenciador, el tratarla como al vigilante feo que está en la entrada cuidando el estacionamiento y que en la mayoría de las organizaciones lo vemos como un tema de “externos”, que no lo capacitamos, no lo entrenamos, no lo compensamos adecuadamente y para hacer más complicado el tema, no tratamos de entenderlo. La realidad es que no tiene nada de malo tener terciarizada la seguridad, sin embargo, esto se hace después de que hayas analizado el tipo de riesgos a los que te enfrentas.

Al tema no le entiende y no le quiere entender la alta administración, los consejos de administración, la gente en general y claro, el mercado que es el que paga las consecuencias.

Sí, es igual que en el mundo real, el tema de la seguridad lo vemos como un problema de alguien más, pero no el mío. En Seguridad de Información, sobre todo en el tema de legislación, estamos como en el viejo oeste.

Es cierto, hacer un negocio en México es un riesgo (y sí los que quieren ser emprendedores en México leen todas las regulaciones y leyes que tienen que cumplir y el poder que las autoridades tienen para decidir sobre ellas, les aseguro que no le entrarían). Claro, al final del día la vida misma es un gran experimento en tomar riesgos.

Sin embargo, en las organizaciones, debemos administrar los riesgos de manera consciente, definir el rol de la seguridad de la información y lo que significa para mi organización, detectar los activos de información sensibles, valiosos, los que están regulados (por ejemplo para cumplir con el Reglamento de la  LFPDPPP, para empezar debes contar con un inventario de datos personales y de los sistemas de tratamiento. Determinar las funciones y obligaciones de las personas que traten datos personales. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales).

En resumen el tema está en administrar riesgos y la administración de riesgos es un tema de negocio, no de tecnología. Es lo mismo que con el tema de la continuidad de negocio.

El reto está en que la protección de activos, a diferencia de la autoconservación, se aprende, no es innata. Y el aprender de estos temas normalmente se hace por el camino difícil: el tener un incidente sobre los activos y que se vean comprometidos.

Pocos nos hemos hecho estas preguntas:

¿En qué me beneficia la seguridad de información para mi puesto de trabajo? ¿Cuáles son los beneficios de la seguridad de información para mi empresa? ¿Qué puedo hacer para mejorar la seguridad de información en mi empresa?

Es cierto, ahora necesitamos “centinelas” que estén rondando en la infraestructura y los sistemas. Agentes inteligentes que nos permitan recolectar información, que piensen como los atacantes, que nos permitan detectar eventos anormales y responder ante ellos. Necesitamos conocer la actividad normal de nuestras redes, establecer líneas bases, umbrales y contar con herramientas inteligentes para recolectar de información sobre eventos que salgan de lo “normal” y responder ante ellos.

El perímetro de las organizaciones ya no está claramente definido, la frontera entre el adentro y el afuera de las organizaciones ya no es clara. Necesitamos que nuestra infraestructura de seguridad funcione de manera sincronizada como una orquesta, que estemos compartimentalizados, que la seguridad sea a profundidad y que no sea quebradiza. Además al interconectarse con nuestros aliados somos y ellos son también un posible riesgo. Pero al final del día necesitamos entender que no todo es igual de valioso y no es un tema de meter solamente dinero.

Al estar conectados a Internet nos exponemos a un ataque y los incidentes donde el actor de la amenaza es un externo han crecido para llegar a representar casi el 80% de los incidentes.

Es necesario cambiar el paradigma, ya que:

• Existen dos tipos de ejecutivos, los que ya han tenido un incidente de seguridad y los que han tenido un incidente de seguridad y no se han dado cuenta.
• Los intrusos ya están dentro, pero no nos hemos dado cuenta y a algunos hasta los hemos contratado nosotros mismos.
• Para penetrar a una organización lo que se necesita es tiempo, perseverancia e ingeniería social.
• La prevención, sin detección y respuesta no funciona.
• Las vulnerabilidades siguen en aumento así como la explotación de las mismas crece, además de que ahora se pagan recompensas por las vulnerabilidades.
• La calidad del software no mejora y a pocos les interesa el tema.
• Las soluciones cada vez son más complejas y la complejidad es el peor enemigo de la seguridad de información.
• El parchar el software frecuentemente no ha funcionado.
• El esquema de detección en base a firmas no funciona.
• El perímetro está en todas partes.
• Entre más útil, a nuestro juicio,  sea una tecnología de consumo, más información proporcionamos (ejemplos: Waze, Instagram, Snapchat, Facebook).
• Los cibercriminales no cambian su motivación.

La situación no es sencilla, los titulares en los medios así nos lo hacen ver:

• 4 de cada 5 países de la región de latinoamérica y el Caribe no tienen estrategias de ciberseguridad o planes de protección de infraestructura crítica.
• 170 días el tiempo promedio que a una empresa le toma detectar un ataque realizado por externos.
• 259 días le toma en promedio a una empresa detectar un ataque realizado con ayuda de internos.
• 75% de las organizaciones expuestas a sufrir incidentes cibernéticos
• 75% de las organizaciones sigue con alto riesgo de sufrir un ciberataque, como en 2015
• Ciberamenazas actuales: Significativas y diversas
• Venden en línea registros de atención médica en EE.UU.
• Ciber-atacantes roban USD$10 millones de banco ucraniano.
• Preocupa a Banco de México “hackeo” en sistemas financieros
• En México las empresas solo dedican del 3% al 6% del presupuesto en seguridad informática. En el mundo el porcentaje está entre el 15% y el 18%.
• México, el quinto país más atacado en el mundo cibernético: Fortinet
• México, segundo país de AL más atacado por “hackers”
• La débil ciberseguridad en México pone en riesgo a EE.UU.
• CompTIA: ‘Ciberseguridad’ será prioritaria para 78% de organizaciones en México
• 1 en 10 directores generales de bancos no saben si fueron “hackeados”
• 88% de directivos cree que la seguridad de su empresa no es suficiente
• Cibercriminales adoptan enfoque de modelo de negocio

En fin, es necesario reflexionar al respecto y dejar de ver este tema como un tema de tecnología, la seguridad de información es un tema de negocio y es un tema de todos. A como están las cosas actualmente, el estar “del lado oscuro de la fuerza” es muy atractivo para algunos.

Tenemos un camino interesante por delante. Que tengan un buen día.

Referencias:

• 2016 Cybersecurity Report, Are we ready in Latin America and the Caribbean?, OAS
• CERT-Octave Method
• Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, IFAI
• Sección de Seguridad de BitCasting
• State of Cybersecurity Implications for 2016, ISACA & RSA 

DAVID TREVIÑO

Chief Technology Officer