Cuando su organización se convierte en objeto de noticias negativas, es fundamental responder de manera eficaz y estratégica para minimizar los daños y reconstruir la confianza de las partes interesadas.
Aprender de estas experiencias y planificar para prevenir incidentes futuros son conclusiones vitales. En nuestra industria, las fallas de seguridad pueden ser catastróficas cuando las organizaciones no pueden funcionar, como se vio en el reciente incidente de CrowdStrike. A pesar de muchos éxitos, CrowdStrike se ha enfrentado a múltiples episodios de críticas en el pasado, incluso durante la investigación del hackeo del Comité Nacional Demócrata de 2016 por atribuir prematuramente el ataque a Rusia. Más recientemente, una actualización defectuosa de su plataforma Falcon provocó fallos generalizados del sistema que afectaron a entidades como el NHS, HSBC y varios aeropuertos del Reino Unido, y las 500 principales empresas estadounidenses sufrieron pérdidas estimadas de 5.400 millones de dólares, excluyendo a Microsoft.
La gente suele llegar a la conclusión de que cada problema es una cuestión de seguridad, asumiendo que debe haber un “malo” involucrado. Pero, ¿qué entendemos exactamente por cuestión de seguridad? ¿Es sólo un problema de seguridad si hay un actor malicioso?
Esta mentalidad es contraproducente para los equipos de seguridad e inútil para las empresas a la hora de gestionar los riesgos de seguridad de la información. Afecta la forma en que abordan la seguridad dentro de su cultura y con sus empleados.
Los profesionales cibernéticos enfrentan muchos desafíos
Los profesionales de la seguridad cibernética enfrentan numerosos desafíos más allá de sus tareas diarias, incluida la escasez de habilidades, limitaciones de tiempo y presupuestos o capacitación insuficientes. En el Reino Unido, esta brecha de habilidades es evidente: la mitad de las empresas dependen de una sola persona para la ciberseguridad. Incluso las organizaciones más grandes rara vez tienen equipos de más de cinco personas. Los profesionales cibernéticos luchan por actualizar sus habilidades o reclutar talentos debido a la falta de personal, de fondos y de presión.
Entre el 53% de las empresas del sector cibernético con vacantes desde 2021, el 67% informó dificultades para cubrir puestos, en consonancia con hallazgos anteriores del estudio Ipsos Cyber Security Skills in the UK Labor Market 2022. Los principales desafíos son la falta de candidatos con experiencia técnica y la oferta de salarios o beneficios bajos en comparación con las demandas de los puestos.
Los profesionales cibernéticos están abrumados por su carga de trabajo, en parte debido a las soluciones comercializadas como soluciones integrales que simplemente aumentan sus responsabilidades de gestión. Los equipos cibernéticos se esfuerzan constantemente por hacer más con menos. La mitad de los profesionales de la seguridad cibernética citan su carga de trabajo diaria como un factor estresante importante, mientras que el 30% pierde el sueño ante la amenaza de ataques cibernéticos.
La comunidad de seguridad cibernética también enfrenta una inmensa presión para mantener una reputación impecable, lo que pone de relieve las altas exigencias y expectativas que se les imponen. La mayoría de los equipos están tan preocupados por las amenazas inmediatas que carecen del ancho de banda para anticipar desafíos futuros. Para agravar este problema está nuestra dependencia de unos pocos gigantes tecnológicos: Microsoft domina el software de oficina, al mismo tiempo que lidera el almacenamiento en la nube junto con Amazon, lo que deja a las organizaciones con opciones limitadas.
La dependencia excesiva de proveedores importantes como Microsoft o Amazon puede generar varios desafíos para las organizaciones, incluido el bloqueo de proveedores, un poder de negociación reducido y mayores riesgos de seguridad. También puede sofocar la innovación y limitar las opciones de personalización debido a la naturaleza estandarizada de estas plataformas. La dependencia de un único proveedor aumenta la vulnerabilidad a las interrupciones del servicio y puede resultar en aumentos de costos con el tiempo. Además, las organizaciones pueden enfrentar dificultades para garantizar la privacidad de los datos y el cumplimiento en diferentes jurisdicciones. Para mitigar estos riesgos, es aconsejable que las organizaciones diversifiquen su pila de tecnología y adopten una estrategia de múltiples proveedores para mejorar la flexibilidad y la resiliencia.
Los equipos de seguridad no están ahí sólo para combatir a los actores maliciosos; Desempeñan un papel vital a la hora de abordar incidentes de seguridad y mitigar los problemas que surgen de una capacitación inadecuada o una cultura organizacional deficiente. Centrarse únicamente en asignar culpas socava las prácticas de seguridad efectivas y crea un ambiente tóxico. Si el objetivo es encontrar chivos expiatorios, disuadirá a personas talentosas de querer trabajar en un entorno tan punitivo. En cambio, deberíamos fomentar una cultura de responsabilidad y colaboración, donde los equipos de seguridad estén capacitados para proteger y educar en lugar de simplemente reaccionar y defender. El 50% de los ciberprofesionales afirma que sus dos principales fuentes de estrés es la carga de trabajo del día a día, mientras que el 30% se mantiene despierto por la noche ante la idea de sufrir un ciberataque.
¿Qué constituye un incidente cibernético?
Por supuesto, el incidente de CrowdStrike se clasificó inicialmente como un problema no relacionado con la seguridad cibernética, pero debe considerarse como tal porque provocó que uno o más sistemas de información dejaran de estar disponibles. A menudo, los debates sobre seguridad cibernética se centran estrictamente en las violaciones de datos y la información personal, mientras que otros sólo consideran las fallas del sistema de TI. Lo que necesitamos es una definición integral que abarque todos estos aspectos. Cualquier interrupción no planificada del sistema que interrumpa el acceso legítimo se considera un incidente de información. Por lo tanto, si redefinimos “incidente cibernético” como “incidente de información”, capta con precisión la naturaleza de la situación de CrowdStrike.
La creencia de que un incidente de seguridad cibernética requiere un actor malicioso pasa por alto el impacto de errores internos accidentales o configuraciones incorrectas por parte de nuestros equipos de TI o socios de la cadena de suministro. Al centrarnos en el término “cibernético”, corremos el riesgo de ignorar el alcance más amplio de las amenazas y reducir nuestra eficacia en el manejo de incidentes. Debemos reconocer que la ciberseguridad abarca tanto ataques externos como percances internos, y adaptar nuestras estrategias en consecuencia para garantizar una protección integral.
Las organizaciones pueden ver una superposición entre los equipos de gestión de información y cibernética porque los marcos de seguridad cibernética, como los del NCSC y NIST, abarcan más que solo TI. Estos marcos incluyen elementos como personas, propiedades, continuidad del negocio e información, tradicionalmente vistos como parte del aseguramiento de la información. Etiquetar todos estos elementos como “cibernéticos” crea desafíos para los equipos de TI, que pueden carecer de las habilidades para gestionar áreas como las auditorías de aseguramiento de la cadena de suministro. Es crucial que las organizaciones reconozcan esta distinción y se aseguren de que los equipos cibernéticos tengan una comprensión clara de sus responsabilidades para evitar invadir roles tradicionalmente manejados por los equipos de gestión de la información.
Si hay confusión sobre quién gestiona la seguridad cibernética y de la información, el liderazgo debe intervenir para aclarar roles y brindar dirección. No es responsabilidad exclusiva de los equipos cibernéticos prevenir violaciones de seguridad; La alta dirección debe garantizar que todo el personal cumpla con las mejores prácticas de seguridad. Microsoft destacó recientemente este problema al hacer de la seguridad su principal prioridad para todos los empleados, luego de años de críticas y recientes y severas reprimendas por parte del gobierno de Estados Unidos, que calificó a Microsoft como una “amenaza a la seguridad nacional”.
Integración de proveedores
Aunque la última historia se centra en CrowdStrike, CrowdStrike y Microsoft están interconectados en el ámbito de la seguridad cibernética a través de sus soluciones y asociaciones de seguridad complementarias. CrowdStrike proporciona protección avanzada de terminales e inteligencia sobre amenazas, mientras que Microsoft ofrece una variedad de herramientas de seguridad como Microsoft Defender. Sus productos a menudo se integran para crear una estrategia de defensa en capas para las organizaciones.
Las recientes violaciones de seguridad de Microsoft han incluido problemas importantes como la exposición de datos confidenciales y vulnerabilidades en sus sistemas. En particular, una falla crítica en Microsoft Exchange Server, explotada por atacantes, provocó violaciones generalizadas de datos que afectaron a numerosas organizaciones. Además, también se han atacado las vulnerabilidades en los servicios en la nube de Microsoft, lo que genera preocupaciones sobre la protección de datos y la seguridad general. Estos incidentes han subrayado la necesidad de mejorar las medidas de seguridad y han llevado a Microsoft a priorizar la seguridad en todos sus productos y servicios.
Organizaciones como Microsoft y CrowdStrike, que tienen una influencia significativa sobre los sistemas de seguridad globales, deben mantener un estándar de seguridad impecable. Dado su papel central en la protección de innumerables sistemas, sus procesos y procedimientos deben diseñarse rigurosamente para evitar infracciones e incidentes. Estas empresas deben cumplir con los más altos estándares de responsabilidad y excelencia, lo que refleja la naturaleza crítica de sus responsabilidades de seguridad.
Continuidad del negocio y la nube
Durante años, nos han asegurado que la nube ofrece seguridad y resiliencia superiores en comparación con las soluciones internas, lo que nos lleva a renunciar al control sobre nuestra propia resiliencia. Cuando ocurren incidentes como el reciente fracaso de CrowdStrike, surge una pregunta crítica: ¿hemos incorporado tales escenarios en nuestra planificación de continuidad y resiliencia del negocio? ¿O hemos depositado erróneamente una fe ciega en la infalibilidad de la nube, asumiendo que siempre será confiable?
Todas las organizaciones deberían volver a sus planes de continuidad del negocio y asegurarse de que incluyan una planificación de resiliencia para incidentes como este. La promesa inicial de la nube era tentadora: menores costos, mayor agilidad y mayor innovación. Sin embargo, la realidad pinta un panorama diferente. El 43% de los líderes de TI descubrieron que trasladar aplicaciones y datos a la nube era más costoso de lo esperado, según una encuesta de Citrix. Repatriación de la nube, que es el nombre que se le da al cambio que estamos viendo por parte de las organizaciones que están volviendo a traer sus servicios internamente para poder gestionarlos ellas mismas.
Nuestra planificación de la continuidad del negocio debe ser lo suficientemente sólida como para abordar posibles fallas y evitar la falacia de suponer que los principales proveedores de nube son infalibles o intrínsecamente superiores. Confiar en la suposición de que la seguridad está integrada automáticamente en nuestras soluciones en la nube puede resultar engañoso, al igual que las experiencias pasadas con equipos de seguridad. Debemos evaluar críticamente y prepararnos para las vulnerabilidades, en lugar de confiar ciegamente en la confiabilidad de la nube.
No culpe a los equipos cibernéticos por problemas más amplios
No culpemos a la profesión de la seguridad cibernética por las fallas de las grandes tecnologías, donde muchas pueden carecer de una experiencia profunda en seguridad cibernética. Recuerde, las grandes empresas de tecnología priorizan las ganancias y sus complejos sistemas, compuestos por grandes cantidades de código, siempre son susceptibles a vulnerabilidades y errores de codificación que pueden provocar interrupciones. Es nuestra responsabilidad como profesionales de la seguridad cibernética garantizar que nuestra resiliencia interna sea lo suficientemente fuerte para manejar tales incidentes. Si bien esto es un desafío dada nuestra dependencia de estos proveedores, es esencial mantener defensas internas rigurosas.
Los profesionales de la seguridad cibernética a menudo pasan desapercibidos por sus éxitos y sólo se les presta atención cuando surgen problemas. Para mejorar nuestra visibilidad y percepción, necesitamos mejorar la forma en que nos presentamos y nos integramos más efectivamente en el negocio. El estereotipo de que los equipos de seguridad cibernética están aislados y a la defensiva se debe en parte a las frecuentes culpas y críticas que enfrentan cuando ocurren incidentes. Muchos aspectos de lo que ahora se considera “cibernético” están más allá del control directo de la mayoría de los equipos de seguridad cibernética, pero a menudo se les responsabiliza y castiga injustamente por problemas fuera de su influencia.
El liderazgo eficaz es crucial para definir responsabilidades claras dentro de nuestros equipos y garantizar que los altos directivos comprendan lo que nuestros equipos de seguridad cibernética comunican. El liderazgo marca la pauta y las prácticas de seguridad cibernética siguen esta guía. Los líderes deben conocer bien los riesgos clave de seguridad cibernética y colaborar activamente con sus equipos para aclarar las funciones en la gestión y mitigación de riesgos. Es esencial que el liderazgo comprenda tanto los matices del riesgo cibernético como las implicaciones comerciales, mientras que los profesionales de la seguridad cibernética deben comunicarse de manera más efectiva en términos de riesgo comercial. A menudo, los altos directivos luchan por comprender el impacto más amplio y es posible que no reconozcan que algunos problemas requieren decisiones que escapan al control del equipo cibernético. La ciberseguridad debe integrarse en todos los aspectos del negocio, en lugar de verse como una preocupación periférica.