Más allá de la recuperación: Explorando el problema - Parte 2b de 2

"En Parte 2a: Más allá de la recuperación: Explorando el problema empecé a profundizar en el problema que realmente intentamos resolver, o deberíamos hacerlo, en materia de seguridad".

Más allá de la recuperación: Explorando el problema - Parte 2b de 2

Bienvenido de nuevo a la segunda parte de nuestra inmersión profunda en las razones, a menudo ignoradas pero cruciales, de las preocupantes tendencias de seguridad. En esta entrega quiero introducir un par de conceptos más para dar forma a tu pensamiento y empezar a bucear en cómo darle la vuelta a las cosas. Es en este punto donde empezará a emerger el potencial desaprovechado del almacenamiento y la recuperación como poderoso agente de cambio.

Anteriormente hemos tratado tres conceptos clave que hay que tener en cuenta para lograr resultados significativos en materia de seguridad:

1. La seguridad no es tarea de la seguridad (debemos dar forma al proceso empresarial)

2. La gestión del riesgo es una mala idea (la gestión de la calidad es la única forma de reducir la vulnerabilidad de forma sostenible)

3. Las vulnerabilidades son problemas de calidad (y solucionarlos puede tener implicaciones empresariales positivas)

La seguridad es responsabilidad de todos

Para continuar, quiero añadir dos conceptos más a esta lista:

4. La seguridad no es una función informática

Este punto está relacionado en muchos aspectos con el primero, que era que la seguridad no es "trabajo de seguridad". Pero es desde una perspectiva diferente. Si bien es cierto que corresponde a la empresa garantizar su funcionamiento seguro, es tarea de la seguridad ayudar a todas las partes de la empresa a funcionar de esa manera.

Ya no es aceptable que las funciones de seguridad vivan dentro de una función de TI; ésta debe ayudar proactivamente a todos los departamentos a definir qué es lo bueno para que no introduzcan riesgos en la empresa.

Esto significa que, en última instancia, un programa de seguridad debe recorrer sistemáticamente sus procesos empresariales. En primer lugar, para remodelarlos en la medida de lo posible a fin de que la empresa no produzca más riesgos de los necesarios y, en segundo lugar, para que la función de seguridad conozca los riesgos empresariales presentes en otros departamentos a fin de no estar ciega ante ellos y poder anticiparse y mitigarlos.

Esto es cada vez más crítico, ya que cada vez se producen más infracciones fuera del alcance de lo que los departamentos de seguridad no cubren en su ámbito tradicional. Los problemas con los procesos del servicio de asistencia, dentro del departamento jurídico, los datos de ventas, RRHH y más, todos ellos resultan en datos sensibles o credenciales expuestas.

Debemos saber lo que ocurre en la empresa, racionalizar esos procesos en la medida de lo posible para reducir el riesgo e implantar nuestras operaciones de seguridad en consecuencia para asegurarnos de capturar cualquier riesgo residual.

Lea nuestro blog: Puesta en marcha del marco de ciberseguridad del NIST

5. Tus amenazas son tuyas

Una de las afirmaciones más repetidas por los proveedores de seguridad se refiere a la evolución, y el crecimiento, del panorama de las amenazas.

No se puede negar que los actores que buscan hacer daño a las organizaciones están creciendo de forma espectacular. Pero, ¿por qué?

Hace poco leí que más del 99% de las infracciones complejas del año pasado tuvieron que ver con vulnerabilidades conocidas con parches y soluciones disponibles, y que casi dos tercios de ellas tenían soluciones publicadas más de 18 meses antes.

El hecho es que somos responsables del crecimiento del ecosistema amenazado del mismo modo que seríamos responsables de que hubiera ratones si tuviéramos grandes bolsas de lona con grano en nuestro jardín. La solución no sería comprar 10.000 trampas para ratones, sino no tener el grano expuesto. También podría señalar que un saco de grano guardado en una lata metálica no atraerá a los ratones, mientras que uno rodeado de 10.000 trampas para ratones sí lo hará, y al final algunos de esos ratones conseguirán pasar.

Podemos hacerlo mejor, y cuando lo hacemos, descubrimos que las amenazas que nos afectan son significativamente menores. Esto significa que no solo tenemos que hacer menos detecciones y respuestas a los riesgos residuales, sino que su alcance será menor, lo que nos permitirá centrarnos en ellos con mayor precisión.

Descubra cómo Virtual Storage Platform One proporciona una sólida base de datos para misiones críticas
aplicaciones, incluida la mitigación de riesgos y amenazas a la seguridad.

Recapitulemos estos conceptos.

No te pueden atacar si no eres vulnerable al ataque, y es más fácil y mucho más sostenible trabajar para ser menos vulnerable que mitigar constantemente cada vez más riesgos. Para ello es necesario abordar las causas profundas que provocan nuestras vulnerabilidades, y/o nuestra incapacidad para remediarlas rápidamente de forma automatizada.

Las razones por las que esto no se hace hoy en día son varias. En primer lugar, la mayoría de los profesionales de la seguridad se centran en la tecnología de seguridad, en lugar de en el resultado de un negocio seguro. Confiamos en la tecnología para tratar de gestionar los riesgos, en lugar de abordar sus fuentes para no tener esos riesgos en primer lugar.

Entonces, ¿cómo pasar de la situación insostenible en la que nos encontramos a otra en la que se puedan conseguir mejoras exponenciales?

Ante todo, toda organización necesita una estrategia de seguridad que respete estos principios.

"Estrategia" es una palabra que oigo mucho en seguridad, pero algo que rara vez veo en la práctica. Y no, comprar una lista de herramientas o implantar capacidades técnicas no es una estrategia en sí misma.

(Imagínese que un director general preguntara a su director de marketing cuál era la estrategia de marketing y éste respondiera únicamente con una lista de herramientas. ¡Sería despedido inmediatamente!).

Una estrategia debe ser un plan para comprender nuestra situación actual (porque muchas funciones de seguridad tienen poca visibilidad de la función de TI de su organización, por no hablar de toda la empresa), nuestra situación ideal y la hoja de ruta para llegar de la primera a la segunda.

Suele incluir un programa para recabar el apoyo de la alta dirección, establecer las estructuras necesarias para impulsar un cambio holístico, presentar los modelos financieros que lo justifiquen todo ante la empresa, definir la forma menos arriesgada de operar para cada uno de los departamentos y mucho más.

En los apéndices de mi libroLo que llamamos seguridadse abre en una pestaña nueva(también amablemente patrocinado por Hitachi Vantara) se explica cómo es un programa de este tipo.

Un programa de este tipo puede impulsar un cambio drástico en la calidad (y la seguridad es un aspecto de la calidad en este caso) de sus procesos empresariales y de TI, de modo que su organización se vuelva más intrínsecamente segura, dejando que sólo necesite la más pequeña de las bombas de achique para manejar el resto.

La ilusión del control

Sin embargo, este planteamiento plantea uno o dos problemas.

El primero es el tiempo. Elaborar un programa requiere tiempo.

No hay forma de evitarlo: redefinir los procesos empresariales y de TI para hacerlos intrínsecamente más seguros y garantizar que los futuros lo sean aún más lleva tiempo. A mis clientes les digo que tardarán entre 3 y 5 años en alcanzar un alto nivel de madurez, en función del tamaño y la complejidad de la organización.

La segunda está relacionada con la primera: el fuego. Una de las principales razones para transformar la seguridad en un enfoque proactivo orientado a la calidad es el gran número de incendios a los que tienen que hacer frente los equipos de seguridad debido a que hemos ido por el camino equivocado durante tanto tiempo. Esto significa que sólo se puede asignar un porcentaje muy pequeño de recursos, si es que se puede asignar alguno, a trabajar en iniciativas estratégicas como un programa de seguridad holístico como el mencionado anteriormente. Y los recursos que lo hacen a menudo se ven interrumpidos o son llamados de nuevo para apagar incendios.

Por un lado, este estado de cosas es la razón por la que las capacidades de recuperación son tan importantes. Hemos llegado a un punto en el que incluso con el 100% de los recursos luchando por detectar y responder a cada uno de los ataques, el número de vulnerabilidades (de nuevo, en el sentido más amplio de la palabra) en nuestros entornos significa que, efectivamente, es solo cuestión de tiempo que suframos una brecha y necesitemos recuperarnos rápidamente.

Visite nuestra página de soluciones de recuperación de ransomware para saber cómo: Aprovechar la recuperación rápida a escala.

Pero hay una propuesta de valor mucho mayor para las soluciones de almacenamiento y recuperación que la mera capacidad de recuperarse de un ataque con éxito: "derisking" y reenfoque.

Si es capaz de recuperar sus sistemas y datos en, digamos, una cuarta parte del tiempo, habrá reducido en un 75% los posibles costes de una brecha debida al tiempo de inactividad. (Por cierto, Hitachi Vantara ofrece la solución de recuperación más rápida del mercado, lo que amplifica este efecto).

Eso significa que, hipotéticamente, podría quitar hasta el 75% de los recursos de mitigación de un problema y mantener las mismas o mejores cifras de riesgo (como la Expectativa Anualizada de Pérdidas).

Entonces podré reasignar esos recursos a mi programa proactivo que impulsará reducciones duraderas en la cantidad de riesgo que mi organización generará y que la seguridad tendrá que gestionar después.

Como apunte, quiero decir que algunas personas notarán un "fallo" en esta forma de pensar. Aunque la recuperación puede ayudarte a garantizar el retorno de la integridad y disponibilidad de tus datos tras una violación, no puede restaurar la confidencialidad de los datos una vez que se han revelado.

Esto es cierto, pero ¿qué porcentaje de los sistemas de la mayoría de las organizaciones almacenan realmente estos datos sensibles? Según mi experiencia, suele estar por debajo del 10%, y rara vez supera el 20%. Esto significa que parte de los recursos liberados de la lucha/mitigación de todos los incendios/riesgos pueden centrarse en aquellos sistemas en los que la recuperación no puede ofrecer una protección total de forma que el resultado global siga siendo superior. Simplemente nos da mejores opciones en términos de priorización.

Como alguien que piensa estratégicamente en lograr un resultado global de una organización más segura, esto es lo que yo llamo el efecto Libertad de Recuperación. Y es enorme.

Me permite atajar mi camino hacia una organización más segura. Reducir el riesgo, liberar recursos, permitirme centrar más esos recursos, tiempo y atención en las cosas que causan los incendios en primer lugar. Puede acortar drásticamente el tiempo que se tarda en implantar un programa, en algunos casos durante años, acelerando la reducción de riesgos y adelantando el momento en el que empiezo a ver ahorros de OpEx de seguridad, así como todos los demás beneficios tangibles de una seguridad dirigida por una gestión de calidad (algunos de los cuales destacaremos en una próxima entrega.

Este impacto es lo suficientemente significativo como para compensar el coste total de la solución de recuperación, convirtiéndola en una inversión directa en la cuenta de resultados y no en una inversión provisional contra un riesgo arbitrario. Y lo que es mejor, esa inversión impulsará mayores reducciones del riesgo y reducirá la probabilidad de que alguna vez necesite su solución de recuperación para recuperarse realmente.

Prefiero que lo utilices para mejorar tu negocio. Y eso es lo que exploraremos en nuestra próxima entrega. Hasta entonces.

Lea la Parte 1: Más allá de la recuperación: Más allá de la tecnología

Recursos adicionales

• WEBINARIO: Prepárese, no se asuste ante los ataques de ransomware
• ARTÍCULO DE PERSPICACIA: Construir una infraestructura de datos inquebrantable en la era de la IA y la nube híbrida
• BLOG: Puesta en marcha del Marco de Ciberseguridad del NIST