La eliminación de las ‘salas de guerra’ de fin de semana
Las emergencias de ciberseguridad parecen ocurrir cuando una organización siente que está menos preparada. Y ese llamado a la sala de guerra (war room) durante el fin de semana es una experiencia que ningún CISO ni su equipo desean.
Si bien puede parecer como un rayo que aparece de la nada, en mi experiencia, es más como un trueno lento que se convierte en un fuerte trueno que nunca se puede anticipar adecuadamente.
Entonces, ¿cómo pueden estar los líderes en ciberseguridad mejor preparados y evitar sorpresas? Mi opinión sobre esto se basa en lo que vi cuando era líder ejecutivo de un gran equipo forense y de ciberdelincuencia del FBI. Con demasiada frecuencia, nos llamaban semanas después de que ocurriera el incidente. En ese momento, la empresa afectada estaba tratando de detener la hemorragia y encontrar la manera de recuperarse. Ser sacudido tan severamente por un incidente de seguridad es una posición en la que ningún ejecutivo de TI o líder empresarial quiere estar. Ni durante el fin de semana, ni, francamente, cualquier otro día de la semana.
La primera forma de tomar el control es asegurarse de que la empresa tenga visibilidad. No hay duda de que ganar visibilidad de las amenazas y vulnerabilidades no es fácil, pero es fundamental. ¿Podemos ver todo lo que hay en nuestro entorno? Porque si no podemos verlo, no podemos reaccionar; si no podemos verlo, no podemos mitigarlo; si no podemos verlo, no podemos planificarlo. Cuando se obtienen los niveles adecuados de visibilidad, tu organización pasa de una base reactiva a una postura de prevención proactiva.
Es importante no confundir la visibilidad con simplemente el registro. Todas las organizaciones acumulan registros de un tipo u otro de un número de sistemas diferentes. Esto puede ser útil, pero lo esencial es tener contexto. Esto brinda la capacidad de correlacionar la actividad de registro de los diferentes dominios y enclaves que existen dentro de un entorno. A partir de esto, el desafío del ser humano es estar en el medio, correlacionar la información, definir el contexto para así poder estar en posición de responder. La integración de diferentes registros y herramientas de visibilidad permite adoptar un enfoque más proactivo. El siguiente paso es utilizar un marco estandarizado que ayude a definir qué respuestas de seguridad se necesitan, tal como suelen hacer los mejores centros de operaciones de seguridad que enfrentan incidentes de seguridad.
Uno de los marcos a considerar es el Center for Internet Security (CIS) Critical Security Controls. Estos 20 controles no solo se presentan a los profesionales de la seguridad de la información (InfoSec) en un lenguaje fácil de entender; se les da prioridad para proporcionar una hoja de ruta dónde comenzar y dónde debe estar una organización en términos de participación en la seguridad cibernética. Estos controles han demostrado ser útiles en repetidas ocasiones para organizaciones de todos los tamaños. De hecho, casi todos los incidentes de ciberseguridad importantes, que una organización como el FBI investiga, muestran algún tipo de violación de estos controles críticos.
La war room de fin de semana es un resultado de la gestión reactiva. Sin embargo, eso no significa que no deba haber una sala de guerra entre semana. Las organizaciones proactivas deben tener evaluaciones periódicas tanto con el equipo de seguridad como con el equipo de management. Involucrar a las partes interesadas clave de manera simple y regular puede marcar la diferencia.
Para manejar una sala de guerra se necesitan algunas herramientas específicas. Uno de los problemas que tuve en el FBI, mientras dirigía el Centro de operaciones de seguridad empresarial, fue que no tenía un panel de control eficaz que pudiera compartir con los ejecutivos para mostrarles dónde estábamos para mejorar y fortalecer nuestra postura. Es por eso que hoy recomiendo que los líderes de seguridad tengan un panel de control que visualice claramente el estado de seguridad y facilite, a las personas que no son técnicos en ciberseguridad, comprender lo que está sucediendo y lo que deben hacer. Para una sala de guerra exitosa, el panel de control y los informes asociados deben mostrar el nivel relativo de riesgo asociado con las vulnerabilidades en la organización y un cronograma de cuándo se solucionarán.
Algunas otras facetas del panel de control ayudan a reducir el dolor de abordar un incidente de seguridad. Es importante que la organización sepa y muestre lo que está conectado a una red. Tratar de darse cuenta de eso después de que el incidente haya ocurrido nunca es agradable. El panel y los informes asociados también deben proporcionar un contexto en torno a las alertas de seguridad de una manera que sea fácilmente comprensible para ayudar a determinar el impacto. Las organizaciones deben realizar un seguimiento activo de los incidentes para que los ejecutivos puedan ver fácilmente si ha habido intentos de detonar software malicioso dentro de la empresa y si esos intentos fueron bloqueados o no.
Tener visibilidad y una imagen clara del estado y la madurez de las operaciones de seguridad es la base de una organización de seguridad proactiva. Adoptar un enfoque proactivo de la seguridad no solo ayuda a salvar el fin de semana, sino que también puede ayudar a resolver las dificultades del personal de seguridad de TI. Al integrar la visibilidad y la automatización que permiten un enfoque proactivo, una organización puede acelerar las tareas rutinarias, liberando recursos de analistas de seguridad, a veces escasos, para realizar un trabajo más intensivo y de alto nivel. Nadie quiere recibir esa llamada para unirse a una sala de guerra de fin de semana, lo que puede afectar a un tiempo precioso con familiares y amigos. La clave para prevenir ese resultado es adoptar una estrategia proactiva que brinde visibilidad y contexto que ayuden a identificar los riesgos antes de que se conviertan en incidentes en la war room de fin de semana.