Ciberseguridad y Estrategia a largo plazo pero con recursos a corto… muy corto (Parte 2)

Gianluca D'Antonio
Gianluca D’Antonio
Presidente de ISMS Forum Spain y CISO de Grupo FCC. 

En este segundo post explicaré cómo diseñar una estrategia que, teniendo en cuenta los factores limitantes que hemos enumerado y descrito en la primera parte, defina los pasos a seguir para generar el cambio necesario en la organización para hacer frente a los nuevos desafíos que el ciberespacio presenta.

Iré por orden, definiendo las contra-medidas por cada factor limitante. Es preciso remarcar que algunas contra-medidas se aplican en más de un factor.

Apatía

Kevin Kelly, el fundador de Wired afirma que “en general, es mucho más fácil matar una organización que cambiarla significativamente” y con los años que he pasado trabajando en grandes y medianas organizaciones, tengo que reconocer que sigue teniendo razón. Existe todo un argumento para no salir de la zona de confort. Se trata de una inercia cultural que construye su trinchera con variaciones que giran alrededor del mismo argumento: “Nosotros no lo hacemos así porque somos distintos”. Y las variaciones cubren todo tipo de escenarios: distintos por mercado, por nivel de madurez, por organización, por regulación y, obviamente, por cultura.

Ante estos obstáculos, en mi opinión, la mejor estrategia es objetivar cuanto más posible el enfoque. En primer lugar, es necesario identificar los elementos de resistencia así como aquellos que puedan favorecer el cambio. En segundo lugar, hay que objetivar la necesidad del cambio. Tratando de Ciberseguridad, hay que determinar el gap existente entre la situación actual y la deseada por la organización. Los resultados del gap análisis irán acompañados por un estudio de mercado (que comúnmente denominamos benchmarking) y las buenas prácticas del Sector. El objetivo de este trabajo es desmitificar los argumentos arriba mencionados. Ninguna organización es única si la consideramos como la interrelación de Personas, Procesos y Tecnología, ámbito en el cual tenemos que definir la estrategia de ciberseguridad.

Infancia

Quizá este sea el factor que menos resistencias ofrece. Si es cierto que nos encontramos ante una disciplina todavía en fase de desarrollo, es también cierto que su consolidación está siendo favorecida por múltiples factores entre los cuales destacaría los siguientes:

  1. La adopción de Estrategias Nacionales de Ciberseguridad por parte de muchos países.
  2. El desarrollo de normas legales que contemplan aspectos de ciberseguridad en varios ámbitos de actuación de la iniciativa privada como la protección de infraestructuras criticas, la privacidad, la legislación penal, etc.
  3. La creciente entidad de los ataques e incidentes.
  4. El incremento de la cobertura mediática de los eventos arriba mencionados

Queda, sin embargo, recorrido para sistematizar de forma integral y coherente el conjunto de competencias y habilidades requeridas para una gestión idónea de las ciberamenazas.

En este ámbito es de fundamental relevancia la estructura que se dé a una unidad organizativa dedicada al dominio de la ciberseguridad. Tratándose de una práctica todavía en fieri, es importante planificar detenidamente todos los elementos del Programa de Ciberseguridad. Con este término quiero referirme a un conjunto ordenado de actividades encaminadas a conseguir los objetivos de la organización.

El orden de las actividades que componen un Programa de Ciberseguridad podría ser enumerado de la siguiente forma:

  • Definición de la Visión, Misión y Objetivos de la organización para el tratamiento de los ciber-riesgos.
  • Análisis contextualizado de la ciber-situación de la organización.
  • Delimitación del GAP y del ámbito de aplicación del Programa de Ciberseguridad.
  • Elaboración del conjunto de competencias y capacidades necesarias.
  • Definición de la estrategia de ciberseguridad.
  • Reclutamiento y formación del equipo.
  • Desarrollo del programa de acuerdo con la estrategia de ciberseguridad.
  • Revisión del estado de ejecución del programa.
  • Acciones correctivas y de mejoras.

Miopía.

Quizá sea este el factor limitante más difícil de reducir por ser intrínsecamente ligado a la naturaleza del razonamiento humano. “¿Cómo podemos conocer el futuro teniendo en cuenta nuestro conocimiento del pasado?” esta frase de Nassim Nicholas Taleb[1] introduce, en su forma original, el problema de la previsibilidad de los Cisnes Negros. En este contexto, las consecuencias de lo que aquí estamos clasificando bajo el paraguas de Miopía, mantienen una estrecha relación con nuestro sucesivo factor limitante, el de Primigenia. La falta de un dilatado y consolidado conjunto de series estadísticas sobre ciber-incidentes y ciberataques, que hayan influido de forma relevante y reconocida sobre hechos históricos, determina por parte de la mayoría de las personas una infra ponderación del riesgo. Ante este hecho, que el autor del Cisne Negro denomina falacia narrativa solo cabe una afirmación: “la naturaleza humana no está programada para los Cisnes Negros[2].

¿Qué recursos tenemos a nuestro alcance para intentar revertir esta situación de pesimismo ontológico? Yo diría que principalmente dos. El primero consiste en replantear el proceso de análisis de riesgos para transformarlo en análisis de impacto. Partiendo de la evidencia que el cálculo de probabilidad ante un escenario novedoso, como es el ciberespacio, se antoja indeterminable, mi propuesta es pivotar este análisis sobre las demás variables de la ecuación que sí podemos determinar y delimitar: vulnerabilidad e impacto.

El segundo consiste en evidenciar todas las estrechas relaciones de interdependencia que unen los procesos de negocio de cualquier organización de hoy con sus ecosistemas tecnológicos, así como la vulnerabilidad y exposición de estos últimos antes ciberamenazas.

No quiero negar que pasar de la teoría expresada en estas líneas a la práctica no sea un ejercicio sencillo. Probablemente sea todo lo contrario. Antes del 27 de abril de 2007 nadie hubiera imaginado un ciberataque a gran escala y de las consecuencias que luego conocimos contra de un país como Estonia. Las probabilidades eran muy bajas, por no decir casi inexistentes, según el criterio de la mayoría de los seres humanos. El atentado terrorista del 11 S y el desastre nuclear de Fukushima han vuelto a poner en evidencia la incapacidad del hombre de estimar y prevenir el evento primigenio. Lo que pone de manifiesto que ante las amenazas del ciberespacio no vamos a estar preparados por nuestra misma forma de subestimar lo que no hemos visto todavía. Sabemos que nuestra sociedad es cada vez más dependiente de su infraestructura tecnológica, del suministro de fuentes de energías, de sus comunicaciones en tiempo real, de sus servicios online…, lo que no sabemos y tendremos que aprender por la vía de la “prueba y error” es el coste y las consecuencias del incidente o ataque cibernético.

[1] [2] El cisne negro; Nassim Nicholas Taleb, edición Paidós.

Ciberseguridad y Estrategia a largo plazo, pero con recursos a corto… muy corto (Parte 1)

Gianluca D'Antonio
Gianluca D’Antonio
Presidente de ISMS Forum Spain y CISO de Grupo FCC. 

Que la realidad supera la ficción, por lo menos en lo que se refiere a ciberseguridad y al incremento exponencial tanto de las amenazas como de los ataques, ya no es un tema controvertido. Por lo menos, para los expertos y los profesionales del sector que saben dónde buscar datos y estadísticas. Personalmente recomiendo la página de Paolo Passeri www.hackmageddon.com para poder constatar que las tendencias van “in crescendo”.

Sin embargo, parece que la práctica de ciberseguridad es víctima de algunos de los factores limitantes que también afectaron a los Programas de Seguridad de la Información en sus primeros pasos.

Para elaborar la relación de los factores limitantes utilizaré también algunas de las categorías que Ron Collette definió en su libro “Ciso Soft Skills”.

Apatía.

Sinónimo de dejadez o indolencia, cuando referido a organizaciones estructuradas como son las empresas, es un elemento fundamental de la resistencia al cambio. Y como bien dice R. Collette, “desafortunadamente la apatía no afecta solo a la seguridad”. Mientras escribo estas líneas, Target, la empresa de distribución estadunidense que en diciembre pasado fue víctima del robo de más de 40 millones de tarjetas de crédito, publica el nombramiento de su nuevo CISO como una pieza fundamental en la campaña de imagen que está llevando a cabo para recuperar la confianza perdida de sus clientes.

El actual escenario se puede todavía definir como el primer estado de la ciberseguridad desde su conceptualización. Aunque mucho se haya escrito y analizado sobre las consecuencias de un mundo hiperconectado, desde el punto de vista organizativo, las empresas están todavía dando los primeros pasos para estructurar y aprovisionar de recursos una función que sea “accountable” para la ciberseguridad. La misma búsqueda de profesionales y expertos en este nuevo dominio es difícil, y muchas veces viene suplida con personas que carecen del background y competencias necesarias para definir una estrategia de ciberseguridad acorde con los objetivos de la organización.

Miopía.

La falta de visión a largo plazo limita de forma sustancial la capacidad de planificar una estrategia de ciberseguridad que asegure, en el sentido más amplio, la integridad de los activos de la organización. Las consecuencias de esta miopía son claras, empezando por exponer la organización a una serie de riesgos relacionados con el uso de las nuevas tecnologías y el ciberespacio que ni siquiera están definidos o clasificados por esta. En definitiva, estamos ante un approach reactivo más que proactivo, común a la mayoría de las organizaciones y determinado por la agenda de la Dirección Ejecutiva, muy alejada de los riesgos tecnológicos, hasta que se materialice el evento disruptor.

La falta de trayectoria y de dilatadas experiencias demostrables resta a la ciberseguridad, vista como la disciplina de la resiliencia, capacidad de persuasión para con los demás actores del ecosistema empresarial. Es difícil recurrir al benchmarking cuando de lo que se trata es de anticipar tendencias y acontecimientos futuros. Máxime si el ámbito en el que nos movemos es el de las nuevas tecnologías, solitamente acompañadas de una percepción “virtual” y dicotómica respecto a la real que acompaña el mundo tangible de las cosas. En otras palabras, la percepción de los actores más cercanos a los negocios acerca de los riesgos del ciberespacio es todavía muy incipiente. Por esta razón, hablar de factor primigenio cuando tratamos de ciberseguridad es muy apropiado. Estadísticamente es uno de los elementos limitantes que más aparecen cuando el análisis de las causas de un incidente va más allá de la superficie noticiable del mismo

La existencia de estos factores limitantes como son la Apatía, la Infancia, la Miopía y la Primigenia respecto de la ciberseguridad es algo indudable y fácilmente observable en la mayoría de organizaciones. Así como sus efectos, que resumiría como consecuente marginalidad de la gestión de los ciber-riesgos.

Esta marginalidad se materializa en la falta de un mandato específico, dentro de las organizaciones, que cubra la seguridad de las operaciones llevadas a cabo en el ciberespacio. Aunque mayoritariamente se pueda reconducir esta misión bajo el rol de Chief Information Security Officer (CISO), esta integración de la misión del CISO se hace de forma implícita, sin una clara asunción de este objetivo por parte de la Dirección. Una prueba de ello, es la ausencia, en la mayoría de las memorias empresariales publicadas, de una mención explícita a esta función. Sin una misión y mandato explicito que haga referencia a la ciberseguridad como un área de atención y aplicación de recursos por parte de la empresa es difícil vislumbrar un futuro próximo en el que los factores limitantes que hemos mencionado vayan reduciendo su presencia.

Hay señales positivos, empresas que han creado un rol especifico de Cyber Security Officer, o que han explícitamente refundado la función de Information Security incluyendo el dominio Ciber como parte de los objetivos de seguridad y estableciendo por ello reporting basados en métricas e indicadores específicos.

En mi próximo post trataré de ir más allá del diagnóstico e identificar las posibles estrategias para acelerar sino facilitar la reducción de estos factores limitantes.

Información relacionada y links útiles:

http://hackmageddon.com/

https://www.cisohandbook.com/

http://www.informationweek.com/strategic-cio/executive-insights-and-innovation/10-ways-to-fight-digital-theft-and-fraud/d/d-id/1127869?image_number=1

http://www.homelandsecuritynewswire.com/dr20140622-shortage-of-cybersecurity-professionals-a-risk-to-u-s-national-security

http://www.informationweek.com/strategic-cio/team-building-and-staffing/target-hires-gm-exec-as-first-ciso/d/d-id/1269600

http://blog.lumension.com/3842/the-new-cso-cyber-security-officer/