Vivimos en una era de “incidentes” cibernéticos, desde WannaCry hasta MOVEit. Sin embargo, es innegablemente raro que un proveedor se encuentre en el epicentro de un incidente de tal magnitud. Introduzca CrowdStrike. Si bien es crucial señalar que la interrupción de TI de CrowdStrike no fue un incidente cibernético, sí puso a CrowdStrike en el centro de atención mundial y obligó al mundo a preguntarse: ¿Somos demasiado dependientes de algunas organizaciones? ¿Qué pasaría si este tipo de cosas? hizo sucede debido a un ciberataque?
Las consecuencias inmediatas de un incidente de este tipo (y magnitud) hacen que la gente exija respuestas, responsabilidad y rendición de cuentas. Esta es una respuesta muy humana en momentos de crisis. Comprender las causas fundamentales de los fracasos es esencial para construir una comunidad más resiliente. Para los profesionales de la seguridad cibernética, tras cualquier incidente cibernético, de TI o, más ampliamente, relacionado con la tecnología, existe un período de reflexión y una necesidad de comprender las causas fundamentales. Saber esto nos ayuda a planificar cualquier impacto duradero y a implementar planes de prevención y respuesta.
La reciente interrupción de TI, si bien no es una violación tradicional de la seguridad cibernética, subraya la importancia fundamental del desarrollo de software seguro. La dependencia de un puñado de empresas para la infraestructura esencial crea puntos únicos de falla y vulnerabilidades de riesgo de terceros, lo cual es excepcionalmente riesgoso.
El compromiso Secure By Design de CISA es un paso en la dirección correcta para el desarrollo de software seguro, alentando a las organizaciones a priorizar la seguridad en sus procesos de desarrollo. Sin embargo, la adopción en toda la industria requiere una combinación de regulación, orientación gubernamental y esfuerzos de colaboración. Construir seguridad desde el diseño es esencial, especialmente debido a los desafíos asociados con la modernización de los sistemas existentes. Si bien construir de forma segura puede no parecer al principio la forma más rápida o barata de producir, es una responsabilidad que no se puede ignorar, especialmente porque suele ahorrar costos y tiempo a largo plazo.
Si bien ciertamente existen consideraciones de seguridad al comprender un evento como este, también existe el lado de la comunicación de crisis para proporcionar control de daños cuando se trata de clientes, socios y partes interesadas. La forma en que se maneja una crisis dentro y fuera de la opinión pública puede hacer o deshacer el futuro de una empresa.
Creo que CrowdStrike manejó bien el incidente. ¿Por qué? Porque la empresa era transparente. CrowdStrike se centró en avanzar en lugar de señalar con el dedo. Al publicar declaraciones periódicas y un informe granular de investigación posterior al incidente, CrowdStrike también mantuvo informada a la comunidad en general, así como a los clientes y socios. El informe también reconoce que la situación continúa al no compartir demasiado y al mismo tiempo describe por qué se tomaron ciertas decisiones. En ciberseguridad, muchas cosas suceden bajo el manto del secreto, por lo que la transparencia es esencial en estas situaciones.
Por otro lado, CrowdStrike parece estar interactuando con la comunidad de una manera más modesta tras el incidente. Aceptar el premio Pwnie al ‘Fracaso más épico’ en DEF CON este año es una forma de aceptar el huevo en la cara, aunque sea bastante novedosa. Si bien esto no niega la gravedad de la situación, sí muestra, estratégicamente, el enfoque que está adoptando CrowdStrike para reconstruir su reputación dentro de la comunidad.
Una cosa es segura: nosotros, como industria, debemos adoptar la transparencia (y no sólo en tiempos de crisis). La apertura es crucial para la seguridad, la satisfacción de las partes interesadas y la resiliencia.
Elliott Wilkes es director de tecnología de Advanced Cyber Defense Systems. Wilkes, un experimentado líder en transformación digital y gerente de productos, tiene más de una década de experiencia trabajando con los gobiernos estadounidense y británico, más recientemente como consultor de seguridad cibernética para la administración pública.