sábado, 10 de septiembre de 2016

De mayor quiero ser CISO.


Ahora que muchas organizaciones y empresas se están planteando ya más en serio esto de la ciberseguridad, llegan las dudas para muchos técnicos o responsables de TI sobre cómo abordar esta problemática de forma holística. Si se sigue planteando como un tema tecnológico donde las soluciones técnicas son el único remedio, el barco hará aguas.

Una de las cosas más bonitas pero también su mayor reto es que es una disciplina en continuo cambio. Una carrera de buenos y malos que se están haciendo continuamente la zancadilla. El objetivo de los malos es maximizar lucro o impacto sobre sus víctimas y el objetivo de los buenos es contrarrestar y reducir al máximo cualquiera de estas fechorías.

Esta batalla tiene ganadores temporales. Hay momentos donde uno de los bandos domina la situación hasta que el contrario reacciona y consigue igualarlo. Quizas, una de las cosas que más influye en el bando de los que defienden es que su mayor logro será garantizar la normalidad, algo a veces no muy visible y premiado por la Alta Dirección que no entiende que preservar la cadena de valor gestionando riesgos es también una forma necesaria de contribuir al negocio. Esto ocurre con cualquiera de las disciplinas que tienen como objetivos la prevención: seguridad física, seguridad alimentaria, prevención de riesgos laborales.

Pero entrando de lleno en la materia es importante destacar que un entorno tan cambiante implica tener claro en marco de gobierno y exige una muy buena gestión. Ambos retos implican tres cosas:


Pensar y decidir es la estrategia, actuar es la táctica. Es de nuevo Sun Tzu y su "Arte de la guerra" la referencia a tener en cuenta. Tal como resume esta frase:
 "La estrategia sin táctica es el más lento camino a la victoria. La táctica sin estrategia es el ruido que precede a la derrota".

Para poder "pensar" como CISO dentro de tu organización, lo primero que tendrás que responder es a lo siguiente:
  • ¿Cuál es el valor que genera mi organización? ¿Qué bien es el que debe protegerse? La respuesta a esta cuestión nos llevará a encontrar nuestra misión en relación a qué activos tenemos que preservar.

La segunda cuestión relevante para tener una visión holística del problema debe ser la siguiente:
  • ¿En qué contexto o entorno estoy situado? Esta respuesta debe servir para calibrar escenarios y valorar posible hostilidad. Hay sectores que sufren una mayor presión por parte de los malos porque existe una mayor motivación o interés, el botín en caso de tener éxito es más alto.


Estas dos simples preguntas ya revelan cómo debe pensar un CISO para decidir. En primer lugar, debe mirar para dentro, hacia el lado en el que él se sitúa como garante pero no puede olvidar el otro bando. La gestión del riesgo implica siempre la tupla (Activo, Amenaza).

Otro gran reto del CISO es su propia organización. Cada casa tiene sus particularidades pero en la toma de decisiones nunca se está completamente solo. Para actuar y desplegar tácticas, es necesario recursos y presupuesto. Por tanto, contar con el respaldo interno y el apoyo para la toma de decisiones es fundamental. Como resultado de la fase de pensar, el CISO debe proporcionar a la organización un adecuado diagnóstico de situación, es decir, debe plantear los riesgos que hay que gestionar y tener preparados para  ellos cuales son a nivel técnico, los posibles marcos de actuación que mitigan esos peligros.

Llegados a este punto y para resumir las reflexiones planteadas, el CISO debe pensar como ingeniero y establecer unos cimientos sólidos que le permitan construir un edificio robusto y que además, sea lo suficientemente ágil y flexible como para ir reaccionado con el paso del tiempo a los nuevos cambios que se puedan producir.  Para ello, la arquitectura del mismo debe contar con unas bases robustas que establezcan una adecuada estrategia y que permitan ir resolviendo en la táctica, las cuestiones de medio y corto plazo que se vayan planteando. La seguridad debe ser siempre un habilitador, un medio para alcanzar objetivos y no un obstáculo. Por ese motivo, la alineación con los objetivos de negocio es fundamental. Si la Alta Dirección, como propietaria de riesgos, quiere desarrollar actividades en escenarios de mucho peligro, el CISO debe aportar su criterio técnico para que esa travesía transcurra sin el menor de los incidentes... Pero no puede convertirse en el Doctor "NO" que para evitar problemas no permite avanzar hacia la meta planteada. Por ese motivo, debe adoptar una actitud proactiva y estar al tanto de todas las decisiones estratégicas para ir avanzando la identificación y evaluación de riesgos.

Un BUEN CISO deben proporcionar:
  • Un marco para la toma de decisiones, donde toda cuestión debe ser valorada como riesgo y tener en cuenta siempre las necesidades de negocio.
  • Una visión de los sistemas de información desde la perspectiva de seguridad, pensando más en la dependencia entre negocio y tecnología y analizando siempre la cadena de fallo, aunque sea solo en escenarios hipotéticos de riesgo.
  • Un plan de tratamiento frente a riesgos, en donde el coste/beneficio se maximice y en donde los criterios de priorización de inversiones tengan por objetivo la mitigación de aquellos riesgos que la Alta Dirección entiende como no asumibles.


Como resume la frase, "o formas parte del problema, o formas parte de la solución". Un CISO debe ser siempre SOLUCIÓN planteando siempre las 4 opciones de gestión del riesgo: Aceptar, evitar, reducir o transferir.

Cuando se traslada a la Dirección un resultado de analizar los riesgos y dado que no son problemas tangibles y reales sino escenarios hipotéticos de todo lo que puede suceder, es tentador guardar la cartera y optar por la opción de máximo ahorro: ACEPTAR. Sin embargo, es necesario hacer ver que está opción es también una decisión con consecuencias.
"La planificación a largo plazo no es pensar en decisiones futuras, sino en el futuro de las decisiones presentes". Peter Drucker.

Cuantas veces hemos visto facturas muy caras en el largo plazo por no haber planificado bien inversiones en prevención modestas que no dan lugar a efectos "bola de nieve". Actualmente nos encontramos en varios escenarios que ejemplifican bien este comentario y me estoy refiriendo a los siguientes:
  • Ransomware: Su éxito, respecto al factor humano,  se debe principalmente a la ausencia de acciones de formación entre el personal para ponerles en conocimiento de cuáles son las formas en las que los malos intentan hacer daño a través de correo electrónico o en navegación Web.  El éxito en la parte técnica es debido en muchos casos a la obsolescencia tecnológica de los sistemas afectados. Las medidas de seguridad de un Windows 10 cuentan con la experiencia y el conocimiento acumulado de Microsoft en seguridad. Windows XP tiene ya 16 años y estaba capacitado para gestionar las amenazas de aquella época... Pero las cosas han cambiado mucho desde entonces.
  • Ataques Web: Las técnicas actuales que se centran en explotar los errores a nivel de aplicación ya no se pueden evitar con políticas de filtrado de conexiones basadas en IP y puerto. Cuantas empresas tienen solamente firewalls con estas capacidades y no son capaces de detectar ataques Web. Actualmente, existe ya tecnología especializada que se centra en resolver exclusivamente ese problema como el WAF (Web Application Firewall) y que permite, entre otras cosas, el parcheo virtual de aplicaciones vulnerables cuando el entorno no puede ser actualizado. ¿Qué significa esto? Que aunque la aplicación que está accesible desde Internet puede tener un bug, el WAF va a detectar su intento de explotación y va a parar el tráfico malicioso que intente entrar a nuestros sistemas por esa vía.


Este es el primero de una nueva serie de post que van a reactivar la actividad de mi blog, que casi tras un año sabático, ha servido para identificar qué temática puede ser de interés y merece la pena compartir con el objetivo de saciar el interés de los actuales y futuros lectores. Cierto es que con el paso de los tiempos ha crecido exponencialmente el número de blogs de seguridad pero no son tantos los que se centran en aconsejar en materia de Dirección y gestión del Área de seguridad de la información. Además, este es uno de los más antiguos que celebrará su 14 aniversario el próximo octubre. Toca ahora restaurar el hábito de buscar cuestiones interesantes a comentar pero al menos, ya he identificado la temática a tratar. En próximos artículos hablare de las siguientes cuestiones:
  • Estrategias de ataque: Modelo de diamante y la Ciber Kill-Chain.
  • Estrategias de defensa basadas en conocer las estrategias de ataque.
  • Threat Intelligence: Conociendo lo que hace tu enemigo y utilizarlo para la prevención.
  • Compliance como un aliado del área de seguridad.

Lo que si habrá como véis, es un estudio desde los dos lados. El "Threat Intelligence", una nueva y potente herramienta es y será una tendencia en uso. Por fin es posible conocer al enemigo... y eso empieza a dar cierto equilibrio en el pulso de "fuerzas". 

El bando que hemos elegido es el más difícil. No tenemos que encontrar el punto débil, tenemos que considerar la protección de todos los elementos. Y además, seremos juzgados el día en que algo ocurra. Por tanto, al menos hay que demostrar diligencia y resultados aunque algo pueda suceder.

2 comentarios:

Luccini dijo...

Mas que interesenta el articulo, solo con el hecho de plantearlo estrategicamente. No obstante no hay una analogia con lo que es seguridad tangible. Como por ejemplo "riesgos que la Alta Dirección entiende como no asumibles". Como asi fuera decir transporto valores por U$S xxx, que medio utlizo tanto desde plano corporativo como personal. Cuando costos directos o riesgos a asumir no estan en la misma Balanza. Fecilicitacion

Anónimo dijo...

Gracias, por compartir una visión en la que el CISO debe sustentar su informe desde el punto de vista del Gerente.

 
;