Hoy en día cada vez se habla más de fraudes informáticos, hackeo de activos, malware, ransomware, etcétera. Y las organizaciones gastan millones en tecnología para contrarrestar los efectos del impacto negativo que causan.
Así como la inseguridad se ha incrementado en nuestro país, cada vez es mayor la probabilidad de que un amigo o familiar cercano haya sido víctima de la delincuencia; lo mismo está aconteciendo con la “inseguridad informática”: con más frecuencia escuchamos a personas allegadas que han sido víctimas de bandas de hackers, que en su gran mayoría buscan un beneficio económico. La mala noticia, desafortunadamente, es que la tendencia parece que va en aumento.
A pesar de lo que gastan las empresas e instituciones ¿Por qué las siguen hackeando? ¿Qué es lo que está fallando? Es claro que no existe la seguridad absoluta, sin embargo, lo que he visto en la práctica que considero está fallando son tres cosas: gestión, luego gestión y por último, ¡más gestión!
Recordemos que la seguridad de la información la componen tres elementos primordiales: tecnología, procesos y personas. Entre estos debe existir un balance razonable para mantener un sistema de gestión de seguridad de la información robusto y confiable; la tecnología no se maneja por sí sola, requiere de procesos para aprovechar al máximo las funcionalidades de protección, y que al mismo tiempo se regule la operación y se dé cumplimiento a regulaciones y normatividad asociadas al uso de la tecnología. Todo lo anterior, al final, debe ser operado por gente capacitada que gestiona y monitorea las diferentes alarmas e indicadores que prevengan o identifiquen un ataque en progreso. Es precisamente este último componente, la gente, el eslabón más débil que a veces falla y que ocasiona no poder detectar y prevenir los ataques informáticos.
De nada sirve contar con procesos operativos bien documentados y lo último en tecnología en materia de seguridad de la información, si la gente encargada de operarla simplemente no lo hace en forma eficiente ¿De qué sirve saber la actividad sospechosa detectada por los sistemas de monitoreo, si la gente encargada de interpretar y tomar acciones con base en esa información no lo hace oportuna y adecuadamente? ¿Cuántas veces una alarma importante se ignora por el simple hecho de que la persona encargada de gestionarla la considera irrelevante, ya sea por ser muy común y que nunca ha pasado nada con dicha alarma, porque el responsable simplemente la interpreta de modo erróneo o porque fue recibida en domingo a media noche?
Todas las alarmas deben ser tomadas como una amenaza potencial, sin importar su nivel de riesgo debe analizarse y determinar qué tan peligrosa es, para decidir las acciones correctivas que permitan mitigar o prevenir el riesgo, y sobre todo minimizar el impacto asociado.
Algunas personas consideran que invertir en tecnología de punta es suficiente para estar protegidos, sin embargo, esto es una falsa percepción, se necesitan además políticas y procedimientos, gente que opere y monitoree la información que genera la tecnología, y sobre todo que sepa qué acciones correctivas debe llevar a cabo para mantener protegida la información.
En mi experiencia como consultor he visto clientes que ni siquiera monitorean la disponibilidad de los servidores críticos de sus empresas, otros que no cuentan con el inventario de servidores y mucho menos conocen qué aplicaciones residen en ellos. No saben qué información respaldan y con qué frecuencia. Ni siquiera saben cómo mantener la continuidad de sus procesos críticos ante alguna contingencia, a pesar de que cuenten con un DRP (Disaster Recovery Plan, plan de recuperación en desastres) bien documentado.
Lo que he visto en la práctica es que los consultores se olvidan de cotizar en sus servicios, o al menos de comunicar, el tema de la gestión de la seguridad. Se olvidan de recomendar la adjudicación de roles claramente definidos, relacionados con la gestión, que aseguren que se tomarán acciones ante vulnerabilidades o alarmas reportadas por la tecnología de seguridad de la información que tratan de vender. Solo hablan de las maravillas funcionales de su solución tecnológica, pero no subrayan que para aprovechar dichas funcionalidades se requiere un gran esfuerzo de gestión operativa, con recursos humanos asignados de tiempo completo que en la mayor parte de los casos se tienen que contratar porque no se cuenta con ellos. Muchas veces asignar estas responsabilidades a personas que además desempeñan otras funciones no basta, se requiere gente de tiempo completo.
Un par de ejemplos: cuando trabajé para una compañía del sector alimentos, el proveedor del ERP (Enterprise Resource Planning) “regaló” la licencia de un módulo de GRC (Governance Risk and Compliance) como incentivo en la renovación de la licencia principal que costó varios millones de dólares. Lo que nunca dijeron es que para implementar dicho módulo se requerían varios meses de consultoría externa para definir las políticas, procedimientos y gente necesarios para la implementación del GRC, además del involucramiento y compromiso de las áreas de negocio. Al final, jamás se implementó y el supuesto “regalo” resultó ser un desperdicio.
Otro de mis clientes me comentaba que el responsable de la solución de monitoreo de correo electrónico reportaba el escaneo de 14 millones de correos al mes, pero, ¿eso está bien o está mal? Es claro que la información que reporta la solución debe contextualizarse y diseñarse para lo importante, que es prevenir o detectar ataques oportunamente.
Lo que no hay que perder de vista al adquirir las soluciones maravillosas de seguridad de la información es que en la mayor parte de los casos se requiere un costoso aparato que gestione dichas aplicaciones.
Mi principal recomendación para asegurar que una aplicación de seguridad funcionará como se requiere y dará los beneficios esperados, es que soliciten al proveedor que les permita visitar a uno de sus clientes reales para ver en vivo y a todo color la operación de la aplicación, los laboratorios en las instalaciones del proveedor no son suficientes y están sumamente controlados. Cuestionen lo siguiente al cliente visitado:
- ¿Cuánto costó la implementación y cuánto tiempo involucró?
- ¿Cuántas personas requieren para operarlo en el día a día?
- ¿Es cierto que todas las funcionalidades prometidas están operando efectivamente?
- ¿Cuánta capacitación fue requerida para operar la herramienta en cuestión?
- ¿Cuáles son los principales problemas que enfrentan día a día con la solución?
- ¿Realmente se han obtenido los beneficios esperados?
Lo anterior le permitirá tomar una decisión mejor informada antes de adquirir una solución que no se convierta, a la larga, en una fuente de costos que no genera el beneficio para el cual fue adquirido.
Muchos podrán decir que lo que comento no es nada nuevo, sin embargo y a pesar de tanta inversión y concientización en las empresas en materia de seguridad de la información, la realidad que he vivido en mi experiencia como consultor, tristemente, es lo que escribo en este artículo.
En resumen, la seguridad de la información efectiva es la que mantiene un balance razonable entre los tres elementos: tecnología, procesos y gente. Mientras no se mantenga un adecuado nivel de gestión de la seguridad, seguirá habiendo ataques exitosos y los responsables de mantener la seguridad de la información en las organizaciones seguirán reaccionando y “apagando fuegos” en lugar de prevenir y detectar a tiempo dichos ataques, y, sobre todo, evitando impactos adversos de tipo financiero y daño a la imagen de las organizaciones.
Mientras los proveedores continúen vendiendo soluciones aisladas sin el respectivo balance de procesos y gestión, seguirá habiendo directivos en las empresas que se pregunten lo de siempre ¿Por qué nos hackearon si invertimos una millonada en seguridad? En el peor de los casos despedirán al director de TI o al CISO y todos en la organización seguirán viendo la seguridad de la información como una realidad inalcanzable.
Gracias por enseñar lo que yo no entendía.
De nada becquer. A tus órdenes.