Que la ciberseguridad sea un constante simulacro de incendio no es sólo malo, sino peligroso
Los esfuerzos de seguridad basados en el heroísmo y el conocimiento tribal no pueden escalar. Los CISO deben abordar esta situación lo antes posible.
Como parte de mi trabajo como analista del sector, realizo muchas investigaciones cuantitativas con profesionales de la seguridad. Una de las preguntas que solemos plantear a los profesionales de la seguridad gira en torno a sus mayores retos.
Los resultados de la investigación suelen incluir cuestiones como hacer frente a las tormentas de alertas, abordar el peligroso panorama de las amenazas, gestionar una multitud de herramientas puntuales, ampliar los procesos manuales y la escasez de personal, junto con otro reto que aparece en casi todas las encuestas, a menudo con el mayor porcentaje de respuestas.
Los profesionales de la seguridad afirman que se enfrentan al reto de que el equipo de ciberseguridad de su organización dedica la mayor parte de su tiempo a resolver problemas de alta prioridad/emergencia y no dedica suficiente tiempo a la estrategia y la mejora de los procesos.
Esta respuesta aparece tan a menudo que admito que me he vuelto algo insensible a ella, pero al revisar algunas investigaciones de ESG esta semana, este punto de datos me golpeó como una tonelada de ladrillos al contemplar las implicaciones.
Si los equipos de seguridad pasan una cantidad desmesurada de su tiempo en modo de simulacro de incendio, mi instinto me dice que son como Elliot Alderson, el protagonista de la serie Mr. Robot, los profesionales de la seguridad quieren salvar el mundo: de los ciberadversarios y de la devastación que causan.
En la consecución de este objetivo, sus días son a menudo caóticos, ocupados en acciones de respuesta a emergencias. Los profesionales de la seguridad merecen nuestra gratitud y respeto sólo por esto.
Pero también lo son:
Recortando distancias: a pesar de este valor, apagar incendios tiene un inconveniente importante: se reacciona, se hace lo que se puede y se pasa al siguiente punto caliente; a veces, sin pensar bien las cosas.
Enfrentados a constantes emergencias, es seguro asumir que los equipos de operaciones de seguridad hacen concesiones y recortan gastos, especialmente si hay otra emergencia que atender a la vuelta de la esquina. Este tipo de respuesta a incidentes también tiende a basarse en individuos y en el conocimiento tribal en lugar de en procesos probados. Irónicamente, tomar atajos puede añadir complejidad, incertidumbre y tiempo a las situaciones de emergencia.
Agotado: compadézcase del pobre equipo de operaciones de seguridad. Suelen estar faltos de personal, sobrecargados de trabajo y enfrentados a un flujo constante de emergencias de alta prioridad. Se trata de un entorno de trabajo poco saludable que estresa incluso a los profesionales de la seguridad más estoicos.
No es de extrañar, pues, que un estudio de ESG y de la Asociación de Seguridad de los Sistemas de Información (ISSA) indique que el 71% de los profesionales de la seguridad coinciden en que su trabajo conlleva un nivel de estrés poco saludable. Esto conduce inevitablemente a problemas de salud mental, a un lugar de trabajo tóxico y a la deserción del personal, una receta infalible para que las operaciones de ciberseguridad sean ineficaces e ineficientes.
Mala preparación para futuros ataques: responder a las constantes emergencias resta tiempo a otras necesidades como la formación, las pruebas y la mejora de los procesos. La ausencia de estas cosas obliga a los equipos de seguridad a confiar en lo que saben, pero como los ciberataques evolucionan constantemente, incluso los mejores conocimientos y habilidades se volverán obsoletos e ineficaces con el tiempo.
Pronto, el equipo de seguridad estará realizando su trabajo en el equivalente de la ciberseguridad a llevar un cuchillo a un tiroteo.
5 prácticas para reducir los simulacros de seguridad
Los CISO harían bien en evaluar si sus equipos de seguridad se enfrentan a un estado constante de respuesta de emergencia. Si es así, esta situación debe abordarse con gran urgencia. He aquí cinco cosas que los CISO pueden hacer y que tendrán un impacto:
·Mejorar la higiene de la seguridad y la gestión de la postura.
·Segmentar las redes para reducir la superficie de ataque.
·Capturar las acciones realizadas por los profesionales de la seguridad con experiencia y convertirlas en procesos de seguridad automatizados formales.
· Poner en funcionamiento el marco ATT&CK de MITRE para guiar actividades como la ingeniería de seguridad, las pruebas y el triaje de alertas.
· Aumentar el personal sobrecargado de trabajo con la ayuda de proveedores de servicios de seguridad.
Sí, me doy cuenta de que son opciones obvias, pero los profesionales de la seguridad siguen diciendo a ESG que hacer frente a las emergencias es uno de sus mayores retos de seguridad año tras año. Sólo puedo concluir entonces que las organizaciones no están tomando las decisiones correctas o ni siquiera lo están intentando.
Como dice la famosa cita atribuida a Albert Einstein, "la definición de locura es hacer lo mismo una y otra vez y esperar resultados diferentes". Si sometemos a los equipos de seguridad a una vida de constante lucha contra el fuego cuando aún quedan cambios por hacer que ayudarán, merecemos ser hackeados.
