Forbes Uruguay
Ciberseguridad
Innovacion

Este es el verdadero talón de Aquiles de la ciberseguridad

Sameer Shelke

Share

¿Qué es lo único que puede conducir a una caída o exposición a pesar de la solidez general de los controles? Si uno trata de eliminar las opciones basadas en situaciones o incidentes y centrarse en aquellas que se mantienen constantes a largo plazo, las opciones se reducen.

26 Agosto de 2022 15.35

En la mitología griega, se predijo que el guerrero Aquiles moriría a temprana edad. Cuando era un bebé, su madre decidió sumergirlo en un río divino que se suponía que lo haría invulnerable. Sin embargo, debido a que ella lo sumergió sosteniendo su talón, esa parte de su cuerpo no tocó el agua. Aquiles finalmente murió de una flecha disparada en su talón, de ahí la expresión "talón de Aquiles". Una debilidad, a pesar de la fortaleza general, puede conducir a una caída.

¿Cuál es el talón de Aquiles de la ciberseguridad? ¿Qué es lo único que puede conducir a una caída o exposición a pesar de la solidez general de los controles? Hay varias, por supuesto, pero si uno trata de eliminar las opciones basadas en situaciones o incidentes y centrarse en aquellas que se mantienen constantes a largo plazo, las opciones se reducen.

Ciberseguridad
La ciberseguridad podría tener un gran talón de Aquiles.

Creo que el talón de Aquiles de la ciberseguridad es la "complejidad". No me refiero a la complejidad del entorno tecnológico que intentamos proteger ni a la complejidad de las amenazas. En cambio, el talón de Aquiles es la complejidad de los controles de ciberseguridad que hemos implementado.

Las dos razones principales de la complejidad son buenas razones que la mayoría de los administradores de riesgos habrían hecho en sus organizaciones.

Reaccionar

Los sistemas de control se mejoran a medida que los administradores de riesgos reaccionan a los cambios en el negocio, la tecnología y las amenazas. En ese momento, los cambios están justificados y son necesarios. Con el tiempo, sin embargo, el sistema de control parece una colección de estos cambios.

Hacker De Cultivos Escribiendo En La Computadora Portátil Con Información En La Pantalla
La vulnerabilidad de la ciberseguridad no solo se vincula con ataques digitales.

Necesidad de lo mejor

Buscamos las mejores soluciones de control o las de próxima generación; los beneficios de estas tecnologías envidiables son demasiado atractivos. Después de todo, todos queremos trabajar con los mejores que hay. Luego creamos un sistema complejo de sistemas de generación actual y de próxima generación.

Ambas son buenas razones, pero terminan creando el talón de Aquiles, que puede convertirse en la debilidad a pesar de que el sistema en general es fuerte. Lo más obvio sería ejecutar un "programa simplificador de ciberseguridad". El programa podría incluir componentes como colapsar la pila, integrar, automatizar, orquestar, etc.

Ciberseguridad (Pixabay)
Hay varios procesos para eliminar el talón de Aquiles de la seguridad cibernética.

Cómo simplificar la complejidad de la ciberseguridad

Sin embargo, el propio programa de simplificación puede hacer que el sistema sea más complejo. En su lugar, sugeriría un enfoque que comience con señalar la "complejidad" como un riesgo y mitigarlo: un enfoque simplificado para reducir la complejidad.

  • Paso 1: determinar si la complejidad del control es un riesgo y calificarlo. Si la complejidad no es alta, pasar a otras batallas.
  • Paso 2: aislar los elementos de control que están causando la complejidad. Crear una lista de controles que contribuyan a la complejidad e identificar una estrategia de reducción de complejidad de alto nivel para cada uno.
  • Paso 3: ordenar la lista por la facilidad de implementar la estrategia, con la más fácil en la parte superior.
  • Paso 4: implementar los tres primeros y regrese al primero.

Medir y calificar la complejidad puede ser complejo. Varios algoritmos y métodos se enfocan en medir la complejidad de los procesos, módulos, etc. Sin embargo, necesitamos encontrar una forma rápida y fácil de acertar aproximadamente en lugar de equivocarnos con precisión.

Ciberseguridad
La ciberseguridad es un pilar esencial de las organizaciones y las personas.

Elegí los cinco objetivos o metas principales y anotá los pasos o acciones necesarios. Por ejemplo, si el objetivo es vulnerabilidades críticas en activos de alto valor, debe mitigarse con una solución o un control compensatorio dentro de los cinco días. Esto incluye:

  • Identificación de activos de alto valor.
  • Encontrar vulnerabilidades críticas que les impacten.
  • Identificar controles o una solución alternativa para mitigar.
  • Implementación de las medidas o seguimiento de las mismas.
  • Verificar que la medida de mitigación sea efectiva.

Para cada paso, podríamos necesitar múltiples elementos de proceso, herramientas, proveedores de servicios o grupos funcionales; los llamo nodos. Por ejemplo, los nodos para la identificación de activos de alto valor son la herramienta de inventario de activos número 1; herramienta de inventario de activos número 2; hoja de Excel; y actualizaciones manuales del grupo empresarial 1 y el grupo empresarial 2. Son cinco nodos.

ciberseguridad-phishing-malware
Hay que detectar el riesgo de la complejidad de la ciberseguridad.

El riesgo de complejidad es alto si no podemos escribir respuestas definitivas para cada paso o si uno o más pasos tienen más de cinco nodos. El riesgo es medio si tenemos respuestas para cada paso, con un máximo de cuatro nodos por paso. El riesgo es bajo si tenemos respuestas, con solo un máximo de tres nodos por paso.

El método y los números pueden variar siempre que podamos calificar rápidamente la complejidad de una manera de ver el impacto de la reducción a medida que avanzamos en el proceso. Una estrategia de reducción de la complejidad podría comenzar con la reducción del número de nodos para cada paso.

Después de ejecutar los cuatro pasos un par de veces, determiná dónde se encuentra ahora el riesgo de complejidad de los controles de ciberseguridad. Si el riesgo es bajo, podés celebrar; si el riesgo es medio, querrás ejecutar los cuatro pasos unas cuantas veces más; si el riesgo es alto, entonces es hora del extenso "programa de ciberseguridad simplificado".

*Nota publicada en Forbes US

10