El pasado 2 de febrero el diario “The Hill” informó que Barack Obama, presidente de Estados Unidos, emitiría una orden ejecutiva para que las empresas refuercen sus medidas  de seguridad en Internet. Dicha orden tiene el objetivo de establecer un programa para que las organizaciones que operan infraestructura crítica pongan en marcha las mejores prácticas y normas establecidas por el gobierno federal. Por otro lado, el director de Inteligencia Nacional de ese país presentó un informe en el que declara que los ciberataques han sustituido al terrorismo como primera amenaza en ese país.

Todo esto obedece a la preocupación creciente por los ataques cibernéticos y su evolución. Hace poco fuimos testigos del mayor ataque de denegación de servicio de la historia que, si bien estaba dirigido a una organización,  afectó a toda la red de Internet, produciendo lentitud en los servicios de una parte de ella.

Al analizar el comportamiento de la industria y las estadísticas, es interesante ver cómo las organizaciones siguen manteniendo el mismo paradigma en la seguridad de la información, invirtiendo en soluciones similares a lo largo del tiempo. De acuerdo con “The Global State  of Information Security ® Survey 2013”, solo 29.37%  se siente muy segura, mientras que 14.19% no se siente muy segura y 38.7% se siente algo segura al respecto. En lo relativo a incidentes de seguridad sufridos en los últimos 12 meses, la misma encuesta señala que 14.24% no sabe si ha tenido alguno, 41.62% dijo que sufrió entre 1 y 49, 13.3% informó cincuenta o más y 31.01% afirma no haber tenido incidentes.

Lo preocupante de esta encuesta es que 14.24% de las organizaciones no sabe si ha sufrido incidentes de seguridad, y lo que parecería alentador es que 31.02%  dice que no ha tenido incidentes.

¿Pero realmente podemos tomar este 31.02% como un dato alentador? Con base en la experiencia podríamos pensar que gran parte de este porcentaje ignora si han atentado contra su seguridad.

¿Por qué hay tanta incertidumbre sobre la seguridad de la información? ¿Será que las organizaciones en verdad no saben qué está sucediendo en el medio ambiente en el que se desenvuelven?

Pasando al origen de los incidentes de seguridad, las organizaciones estiman que los empleados y los exempleados ocupan el primer y segundo lugar, respectivamente, en la lista de las amenazas que originan los incidentes de seguridad. Pero esto no es nuevo, durante muchos años los empleados han estado a la cabeza y los incidentes por ellos causados son muy visibles por el fuerte impacto que generan, sin embargo no es raro que los directivos desconozcan los efectos que produce el resto de amenazas externas a la organización ¿Es suficiente lo que se está implementando en las empresas para protegerse?  Resulta desalentador, pero la respuesta es “no”.

Con el paso del tiempo, los ataques siguen evolucionando y alcanzando niveles de efectividad y complejidad nunca antes vistos, lo que provoca que los controles existentes no brinden los resultados esperados. La ineficiencia no necesariamente es debida a los propios controles; por desgracia las iniciativas de seguridad pocas veces son integrales y por lo tanto no consideran una adecuada valoración de los riesgos en los procesos, su interacción con la organización y sus activos. Y lo que es más grave aún, muchas veces ni siquiera se conoce con certeza cuáles son los activos a proteger y, por ello, se desconocen todas las vulnerabilidades presentes.

Entonces, ¿qué podemos hacer para incrementar el nivel de seguridad de las empresas?

En la publicación de 2013 del Top 10 Predictions de IDC Latin America Predictions, la predicción número nueve se refiere a que la función de los CIO deberá transformarse y enfocarse a ser innovadora en relación a encontrar nuevas formas de utilizar la tecnología para responder de manera creativa a las necesidades de las organizaciones y a los retos que representa operar en el medio ambienta actual.

Si la palabra innovación puede utilizarse para definir la generación de nuevas ideas, entonces es momento de hacer las cosas de forma diferente para tratar los riesgos de la seguridad de la información y los ataques a los que las organizaciones están sujetas hoy en día.

Partamos de la premisa de que estamos bajo ataque y desconocemos nuestras vulnerabilidades ¿Tiene caso implementar controles?  Sí, ¿pero cómo?

Mi respuesta para las organizaciones es la siguiente: si no se conoce por qué o cómo es el ataque, entonces hay que aprender de los mismos ataques. En lugar de invertir principalmente en controles preventivos que no van a funcionar del todo porque no sabemos cómo nos deberían proteger, invirtamos en controles de detección y en formar grupos de respuesta a incidentes de seguridad.

No estoy proponiendo dejar de invertir en la prevención, lo que sugiero es utilizar los  esfuerzos y recursos de mejor manera. Por ejemplo, si se está invirtiendo 10% para monitoreo, 10% para respuesta a incidentes y 80% para controles preventivos, cambiemos y hagamos una distribución de 33% para monitoreo, 33% para respuesta a incidentes y 33% para controles preventivos.

¿Y qué obtendremos con esta redistribución de recursos? Si las organizaciones preparan equipos de respuesta a incidentes de seguridad, con las habilidades y conocimientos para definir cómo responder ante estos eventos, con base en procedimientos y políticas, cada incidente será una oportunidad para identificar las vulnerabilidades y entender en qué condiciones son aprovechadas, por lo tanto, podrán mejorar y aumentar su nivel de seguridad.

De esta forma, comenzaremos a aplicar la seguridad de la información más inteligentemente y contrarrestaremos el impacto de los ciberataques. Disminuyamos los esfuerzos y recursos que dedicamos a prevenir y aumentemos los esfuerzos y recursos para aprender a detectar y responder a incidentes de seguridad.

Recordemos que no se trata de si seremos atacados, se trata de que nos están atacando, ¿estamos listos  para responder de una forma inteligente?

[email protected]