Riesgos CITI Value in Real Time —

Estimados lectores, me gustaría mucho decirles que ya encontramos una bala de plata para el tema de la seguridad de información, pero no es así.

No quiero sonar como disco rayado. La realidad es que la causa raíz es sencilla: los defectos en el software y los actores que tratan de explotarlos con motivaciones económicas, de activismo, de desestabilización o terroristas, entre algunas de ellas. Ahora bien, esos desde hace mucho existen (defectos y actores que buscan explotarlas). No son nuevos. La solución es sencilla, pero a la vez compleja: contar con software de calidad, pero eso parece ser una quimera ya que al final del día el software lo produce gente y la calidad percibida está en los ojos del que consume un producto o servicio.

Ojalá que las empresas de software copiaran el slogan: “0 Defectos”, pero no es así. Así que algo tenemos que hacer ante el panorama al que nos enfrentamos, sobre todo porque la confianza ciega en la tecnología no parece ser la solución. El tema de la calidad es como el de la belleza, está en los ojos del que lo ve, por lo que los absolutos no cuentan.

La tecnología es como una lupa, magnifica las cosas. Internet, poderosa herramienta, ha magnificado el impacto de los riesgos que ya teníamos adentro de nuestras empresas.

En las pasadas semanas hemos encontrado que el defender el perímetro (la división entre lo que se considera dentro de la empresa y fuera de ella –el Internet) y prevenir los ataques no es suficiente. Las herramientas de ataque se han hecho más poderosas y también más accesibles para un mayor número de actores, mismos que tienen diversos motivos como ya mencioné.

Por una parte, debemos asumir que los bichos ya andan en nuestras redes, explorándolas, escondiéndose en las sombras, en el tráfico normal. Recolectando información que puede ser usada para atacarnos. Vulnerabilidades, defectos en el software, permisividad de acceso entre otras cosas.

Nuestros analistas de seguridad de información necesitan herramientas automatizadas que los ayuden a detectar anomalías. Las anomalías más sencillas de detectar son las que se presentan de manera masiva, de un golpe, las más complicadas son las que andan en nuestras redes sin generar mucho tráfico, silenciosas. Hablamos de big data, aprendizaje automatizado, aprendizaje profundo, y ciencia de datos, bueno, aquí tenemos una aplicación en donde los seres humanos no somos buenos y necesitamos ayuda.

Otro tema es encontrar como colaborar para compartir experiencias en el área y lo que sucede en nuestro país en este respecto.

Recordemos: En seguridad no existe 100%, nadie te la puede garantizar. Tenemos que tener la triada: Prevención, Detección y Respuesta. En el mundo real existen situaciones como las pandemias y epidemias de enfermedades que no tienen cura y son contagiosas. En ella se utiliza esta triada. También debemos saber que hacer antes, durante y después de un ataque.

Las grandes empresas, quiero creer, tienen el presupuesto, las habilidades y el conocimiento, así como la actitud para atender estos retos. El verdadero reto está en la pequeña y mediana empresa, al ser la seguridad de información un traje a la medida, todavía la industria no encuentra como atenderla de manera efectiva en costo/beneficio. Una realidad es que existe una carencia de profesionales en el área de seguridad de información y la técnica preferida por muchos proveedores es vender mediante el miedo. La realidad es que la protección de los activos (incluyendo los de información) se aprende, no es innata como la auto conservación personal.

El tener un negocio, de manera implícita, significa administrar los riesgos, sin embargo, esa administración de riesgos la realizamos de manera inconsciente y en vez de detectar los riesgos, administrarlos formalmente: aceptarlos, mitigarlos o eliminarlos, simplemente los ignoramos.

Para las empresas medianas y pequeñas recomiendo (ojalá solo fueran tres cosas, o cinco cosas, pero no todo en la vida es breve y se puede poner en listas cortas):

• Determinar que piezas de información son las más valiosas para el negocio. La seguridad de información es un proceso de negocio y cada vez más las empresas dependen de la tecnología. Entender si la reputación o la imagen del negocio ante un ataque también vale algo.
• Respaldar la información con esquemas 3 (tipos de respaldos),2 (medios de respaldo),1 (fuera de sitio), considerando además la frecuencia de respaldos, histórico de respaldos, en línea y fuera de línea.
• Formar cultura de seguridad en la empresa, tratando de responder por qué nos beneficia en lo individual y en lo colectivo, que ganamos con pensar en seguridad de información en lo personal y en lo colectivo.
• Tener políticas, procesos y productos acorde a los activos y tamaño de la empresa. Para mí el reto es que el nivel de riesgo que cada organización puede tener es un traje a la medida, no un “mismo tamaño para todos”.
• Establecer de manera consciente quién tiene acceso a qué información y por qué. Identificar la información que tenemos de nuestros clientes, sus responsables y los sistemas que la manejan.
• Determinar cómo operar en modo de contingencia, es decir, como seguir facturando, cobrando, produciendo y vendiendo sin tecnología, si es que esto es posible.
• Compartamentalizar nuestras redes, no porque estés dentro de la red estás seguro. Proteger lo valioso. Este es el concepto usado en barcos y submarinos que busca mitigar el riesgo de que se hundan. Pero, por si no lo sabían, no existen barcos y submarinos que no sean inhundibles.
• Como preparación a un incidente (por qué ocurrirá), tener identificados socios y aliados de negocio que nos puedan apoyar en una situación de contingencia.
• Siempre tener los equipos protegidos con algún antivirus, contar con licencias de software, no bajar software de la red de fuentes desconocidas o contar con software pirata que no tenga actualizaciones. Tener claro que software es el que se debe correr en la empresa. Ser explícito al respecto.
• Que tu proveedor de correo electrónico cuente con herramientas anti-spam, capacitar al personal para entender que es el “spam y phishing”. Entrenar al personal a entender cómo detectar el correo fraudulento y las falsas noticias.
• Cuando un ataque suceda, mantener la calma, informar a los colaboradores. Buscar a los aliados que identificamos para que nos apoyaran.
• Después del ataque, encontrar que fue lo que explotaron, por donde entro. Tratar de identificar la causa raíz. Corregir y volver a empezar.

Estas recomendaciones, no son todas, pero pueden servir como un punto de inicio, recordemos: Prevención, Detección y Respuesta,

Con la dependencia de la tecnología en nuestra vida diaria, espero que algún día en las casas los adultos aprendamos al respecto y enseñemos a nuestros hijos a entender los temas de seguridad de información y en las escuelas, no sólo se les enseñe a usar los procesadores de palabras, sino a entender como mitigar los riesgos del mundo en línea.

El tema de la seguridad de información es como el de las epidemias y el de las enfermedades incurables. Se necesita disciplina y no bajar la guardia. Pero también detectar y responder a la contingencia. Y si la prevención funcionara ya no tendríamos enfermedades crónicas como la diabetes tipo II, así que entendamos nuestros sesgos cognitivos y aprendamos tomar decisiones a pesar de ellos.

Aunque sé que es utópico, creo que debemos seguir insistiendo en software con cero defectos. Espero que cuando los vehículos sean autónomos y dependan del software, las medidas de seguridad que la industria del transporte ha establecido nos ayuden a contar con software más seguro en otras industrias.

Que tengan un muy buen día y excelente semana.