¿Estás preparado para lo desconocido?
Imagine una empresa en Brasil que completó un estudio integral de negocios y riesgos de TI a fines del año pasado. Con absoluta certeza se podía decir que no habría entre los riesgos enumerados una pandemia como la que estamos experimentando hoy, pero si sucedió en cualquier empresa, no fue un fracaso en absoluto. El informe “Global Risks 2020” del Foro Económico Mundial no enumeró los riesgos de pandemia entre los diez que tienen más probabilidades de ocurrir, y solo consideró las enfermedades como el décimo riesgo en términos de impacto, a pesar de haber dedicado un capítulo entero sobre los riesgos a sistema de salud global. ¿Fallas actuales? No. En 2001, nadie consideró la posibilidad de que las Torres Gemelas se derrumbaran después de un accidente aéreo. El ejercicio de pronosticar riesgos tiene una limitación de origen: imaginamos a partir de nuestro conocimiento y nuestras experiencias. Siempre fue así. El poeta persa Ibn Yamin ya dijo, en el siglo XIII, que “el que no sabe, y no sabe que no sabe, vivirá para siempre perdido en la ignorancia”. Siglos después, Donald Rumsfeld, ex secretario de defensa de los Estados Unidos bajo George W. Bush, dijo algo como esto: hay conocidos conocidos, es decir, cosas que sabemos que sabemos, desconocidos conocidos, es decir, cosas que sabemos que no sabemos, y desconocidos desconocidos, o sea, cosas que no sabemos que no sabemos. Y que es con esta última categoría con la que solemos tener nuestros mayores problemas y donde aparecen nuestros mayores fracasos.
Pero, dejando la seguridad nacional y la filosofía, y llegando a la seguridad de la información, ¿cómo defenderse de algo que ni siquiera sabemos? El primer concepto primordial es no confundir la ausencia de evidencia con la evidencia de ausencia. La frase no es mía, pero es perfecta. Básicamente, todos nosotros, además de nuestros jefes y los jefes de nuestros jefes, queremos lo mismo: que no pase nada. Nada es una excelente señal. Todo está funcionando, los ataques del día a día, uno u otro acceso bloqueado, los virus del momento, etc. Esta falta de evidencia también nos lleva a la zona de confort, la sensación de estar protegido, que es muy diferente de estar preparado. Pero en nuestra área no hay evidencia de ausencia. Sería una seguridad total, y eso no existe.
Como siempre estaremos en la zona de incomodidad, el primer paso es buscar información o conocimiento. Estar en la ignorancia no significa que todo el mundo lo esté. Otro puede saber cosas que el primero no sabe. A esto lo llamo inteligencia, y afortunadamente está disponible, incluso para aquellos que no pueden pagarlo. Quizás haya una docena de sitios web de instituciones gubernamentales como el CERT de Estados Unidos, o institucionales como el CERT brasileño, además de sitios web abiertos por líderes en tecnología de seguridad, como Cisco TALOS. También hay colegas de otras compañías, y recomiendo a todos que creen algún tipo de foro o reunión para discutir abiertamente las amenazas y las soluciones. Olvídate de la competencia, esto es por negocios.
Los bancos brasileños hicieron esto hace más de diez años, a través de Febraban, y todos estamos agradecidos. Y ningún cliente cambió de banco por eso. Solo hay ventajas.
Luego, conozca su red, los sistemas además de los usuarios y su acceso. Podemos darnos el derecho de no saber cuál será el próximo ataque masivo, o cuándo, pero estamos obligados a conocer nuestro entorno en profundidad. Siempre me dan miedo las empresas donde el personal de seguridad no está seguro de la topología o las interconexiones de sus sistemas. Es más que esencial, y hay varios productos que nos ayudan. Sin esto, es imposible detectar signos de intrusión o anomalías. La anomalía es una diferencia en relación con un estado conocido, por lo que si no conocemos el tráfico de la red o el perfil de acceso de los usuarios a Internet, nada será anormal. Es cierto que puede haber sospechas, pero el tiempo de investigación siempre será más largo, a veces demasiado largo.
Las anomalías o sospechas entran en la categoría de “signos”, indicaciones que deben interpretarse de la manera más rápida y correcta posible. Pero antes de señalar las soluciones técnicas de productos de Cisco que facilitan todo este trabajo, es necesario tener en cuenta que lo más importante son la iniciativa y la capacitación para hacerlo. El peor de los casos es comprar un producto y esperar un milagro. El lector puede estar pensando que sugiero un estado de paranoia. Bueno, la paranoia es un poco exagerada. Diría una atención constante, pero es mejor ser paranoico que dejar que un ataque interrumpa las operaciones de la compañía. El tercero y último debe estar preparado para cuando ocurra el evento inesperado. El impacto será proporcional al nivel de comodidad del equipo de seguridad con la ausencia de evidencia. Esta preparación se puede traducir en un plan de respuesta a incidentes. Es un tema que vale un artículo completo, y aquí están los puntos principales. Un buen plan debe involucrar varias áreas, incluyendo marketing y el departamento legal. Comercialización si el ataque se hace público, legal porque puede involucrar fugas de datos de clientes u otros que exponen a la compañía a demandas judiciales. Las áreas técnicas deben saber exactamente qué hacer, sin recurrir al botón de pánico o eliminar los registros que pueden ser utilizados por el equipo forense si es necesario. La creación de este plan requiere experiencia, generalmente externa, pero es algo en lo que invierte solo una vez y solo necesita ajustes con el tiempo. Un factor importante y en gran medida ignorado son las pruebas, al igual que la creación de incendios. Lo que más me gusta es simular un ataque, algo así como una prueba de invasión guiada, sin que los equipos sepan lo que sucederá en detalle, lo que requiere que tengan que activar el plan y detener la invasión, como si fuera una situación real. En el próximo artículo comentaré los productos de Cisco que ayudan con la tarea, pero estos son los primeros pasos:
salga del área de comodidad porque la ausencia de evidencia desafortunadamente no significa nada.
Busca información externa y conocimiento dentro. Aprenda a interpretar las señales, especialmente las anomalías, y siempre prepárese a través de un plan de respuesta a incidentes.
Tags:
