¿Que sucede cuando el perímetro tradicional se vuelve insuficiente?
Si bien hace años se está hablando de nuevos paradigmas respecto a como abordar la problemática de la ciberseguridad, tomando iniciativas como Zero Trust, CARTA, Assume Breach, etc. La realidad es que “del dicho al hecho hay mucho trecho”. El antiguo paradigma del enfoque reactivo basado solo la fortificación, el cumplimiento normativo y el perímetro tradicional, donde lo malo está afuera y lo bueno está al interior, aun se mantiene firme en la mentalidad de algunos CISOs y de muchos equipos de TI especializados en gestionar la ciberseguridad. Es por esto, que los controles centrados en el cumplimiento normativo, para satisfacer auditorías y estándares, el escaso análisis de amenazas externas, o con foco casi exclusivo en el usuario interno, el análisis de logs y eventos de seguridad, únicamente realizado tras sufrir incidentes o ataques relevantes son aún practicas comunes.
Los nuevos paradigmas en cambio nos llevan a modificar significativamente las prioridades, enfatizando en el desarrollo de una estrategia global de seguridad, realizando monitoreos y vigilancia de la seguridad centradas en una gestión proactiva de amenazas, con fuerte énfasis en la buena coordinación e intercambio de información o ciberinteligencia, formando grupos humanos dedicados, de expertos, e invertir fuertemente en la formación de conciencia respecto a la ciberseguridad en todos los colaboradores.
Hoy en día la transformación digital requiere que los espacios digitales sean altamente confiables, para que los servicios digitales, APIs, datos y procesos sean accesibles a través de múltiples ecosistemas en cualquier lugar, en cualquier momento, desde cualquier dispositivo a través de Internet. Esto expande de manera importante el área de superficie de ataque y de igual manera el ciber-riesgo.
Esto no es nuevo, está en la conciencia de todos los que abordamos el desafío de la ciberseguridad, pero la realidad es que, amparados aun por los viejos paradigmas y cierto estado de confort, a muchos les ha costado aceptar que esta es la nueva realidad. Si bien antes de esta contingencia, se podía alargar la vida del antiguo perímetro, hoy en día, la coyuntura y la realidad del teletrabajo han acelerado las cosas de tal manera, que estos nuevos paradigmas se convierten en los principales candidatos a la hora de elegir un camino hacia la gestión del problema.
Además de una superficie ampliada, la evolución natural de los espacios digitales hace que los entornos digitales cambien rápidamente y muchas veces de forma extrema. Los adversarios también cambian continuamente sus tácticas y evolucionan sus técnicas, creando panoramas dinámicos de ciberamenazas que ya no son tan simples de abordar mediante la arquitectura de distintas soluciones paquetizadas.
Herramientas como Analytics, Big Data, IA y sobre todo el criterio humano experto se hacen imprescindibles en un mundo donde el install & Forget son cosas del pasado. Debido a este contexto el sumar a la ya compleja ecuación la coyuntura actual de COVID-19, hacen que la problemática de ciberseguridad se encuentre cada vez más inmersa en un panorama de volatilidad, incertidumbre, complejidad y ambigüedad. Estas características ya presentes en la problemática y ahora amplificadas por la coyuntura hacen suponer que un entorno VUCA se presente como una de las más lógicas opciones para abordarla.
VUCA es un acrónimo creado por el U.S. Army War College, utilizado para describir o reflejar la volatilidad, incertidumbre (uncertainty en inglés), complejidad y ambigüedad de condiciones y situaciones. En el ámbito de la ciberseguridad podemos identificar estas cuatro situaciones dentro de la realidad que nos toca vivir.
Volatilidad
La volatilidad se define como algo "que puede cambiar de manera repentina o extrema". Todos los días surgen nuevas vulnerabilidades, a menudo sin previo aviso o parche que las solucione. Los sistemas que antes eran seguros hoy pueden ser comprometidos y ser usados como pivotes de ataques. Todos los días los usuarios interactúan con estafas de phishing en su correo electrónico o son víctimas de sitios web peligrosos que están diseñados socialmente para hacerlos revelar sus credenciales. Los modelos de negocio evolucionan, cambiando la superficie de ataque que debe defenderse. Las iniciativas de transformación digital pueden crear nuevas vulnerabilidades de proceso. Las acciones de teletrabajo no tan bien implementadas introducen nuevas incógnitas y en el peor de los casos, si los sistemas son vulnerados, el negocio se ve afectado. Sí, vivimos en un entorno altamente volátil.
Incertidumbre
La certeza es historia. La mayoría de los gerentes de TI reconocen que faltan datos para la correcta toma de decisiones. Saber exactamente qué sistemas existen en una red es un gran desafío. Comprender el estado de esos activos digitales es igualmente difícil, especialmente con la movilidad de los usuarios, los administradores, carencias de documentación adecuada, herramientas pobremente implementadas o explotadas y una creciente lista de servicios, herramientas y tecnologías que se implementan dia a dia en la mayoría de las compañías. En este gran mar de incertidumbre, no se sabe con certeza quiénes son los malos o cuales son exactamente las herramientas que usan o los objetivos que tienen. Se puede intentar aplicar inteligencia de amenazas a esto y en el mejor de los casos procesos y herramientas sofisticadas, ejecutadas por personas expertas pero finalmente nunca es suficiente. El problema es demasiado volátil para tener certeza sobre cualquier cosa, aparte de la certeza de que hay amenazas que se debe manejar.
Complejidad
Cada plataforma, servicio y aplicación que se implementa aporta nuevas complejidades. La configuración de políticas y el aprovechamiento total de las herramientas de ciberseguridad es extremadamente desafiante, ya que se debe llegar a un equilibrio entre lo óptimo para la ciberseguridad y lo óptimo para realizar el trabajo. Esto se provoca en el mejor de los casos, después de muchas disputas entre quienes quieren cumplir con los timings del proyecto, el área que usará la solución, los departamentos de desarrollo que presionan por salir a producción y una serie de situaciones anexas. Y el no conseguir el objetivo, genera por lo general como resultado políticas debilitadas y nuevos riesgos que deben ser gestionados.
La complejidad acumulada da como resultado una superficie de ataque que es esencialmente desconocida. Y esto se aplica a todas las organizaciones, desde las más pequeñas hasta las más grandes. Tener las habilidades para gestionar eficazmente las responsabilidades que conlleva la ciberseguridad es cada vez más difícil.
Ambigüedad
Lo anteriormente expuesto lleva finalmente a la existencia de una gran ambigüedad. Una anomalía es solo eso hasta que se pueda investigar el contexto de ella. Y para hacerlo, se necesitan herramientas, información y capacidades muy diferentes de las que normalmente están implementadas en una organización que aún adopta los viejos paradigmas. La ambigüedad es alta en un entorno digital. No es tan fácil tener una visión inmediata, clara y prescriptiva de los eventos de seguridad. Una cantidad abrumadora de datos de eventos y alarmas hacen que sea muy difícil analizar los registros de forma rápida o exhaustiva. La mayoría de las veces debemos invertir bastante tiempo para lograr contextualizar y correlacionar los eventos de toda la infraestructura para reconstruir un contexto acertado que permita crear respuestas adecuadas a amenazas cada vez más sofisticadas.
¿Entonces que cosas son importantes en este desafío?
Como leí hace poco, según el doctor Richard Haass, presidente del Council of Foreign Relations, “esta pandemia está acelerando la historia” obviamente se refiere a todos los cambios que están produciendo los procesos de investigación, donde el grado de colaboración ha llegado a niveles nunca vistos. Extrapolando esto a la ciberseguridad, hacer realidad de una vez por todas iniciativas como Zero Trust, Perímetro definido por Software, Ciber-resilencia, CARTA, colaboración transversal, análisis avanzado de amenazas, la adopción nuevos estilos organizacionales ágiles y participativos y la formación de estilos de liderazgo que apunten a gestionar y liderar la volatilidad, incertidumbre, complejidad y ambigüedad, ya no son una opción sino una OBLIGACIÓN, en la que todos desde nuestro rol debemos asumir.
Es cada vez más necesario provocar un cambio profundo en el mindset de los responsables y los dueños de la información, para lograr así un mayor estado de colaboración en el compartir de manera transversal los datos que se poseen. Este cambio de conciencia es una manera de liderar y gestionar un entorno VUCA. Porque lo contrario de la volatilidad es el status quo, prácticamente imposible en nuestro cambiante entorno. Lo contrario de la complejidad es la simplicidad, imposible de lograr en un mundo cada vez más complejo. Pero la ambigüedad y la incertidumbre se pueden manejar con una buena gestión de la información y para ello esta información debe estar disponible, y debe ser compartida, poniendo el bien común sobre lo que parece ser el bien individual de organizaciones o personas.
Ya es hora de ser parte de la nueva definición de la gestión del conocimiento en ciberseguridad, con un mayor nivel de conciencia, donde las personas son el eslabón principal, donde las tecnologías y los procesos son herramientas para lograr un fin y no el fin en si mismas. Cuando nuestra compañera de viaje se llama incertidumbre, no podemos poner en la maleta viejos paradigmas, debemos adoptar y crear nuevos que permitirán que los espacios digitales que gestionamos, o ayudamos a gestionar, sean cada vez mas confiables y propicios para potenciar el desarrollo de nuestra sociedad. Y apalancar la vida digital, que nos permitirá lograr el día de mañana un mundo realmente hiperconectado y mucho mejor para todos.
Referencias usadas:
https://auditoresinternos.es/uploads/media_items/guia-supervision-ciberseguridad-fabrica-pensamiento-iai.original.pdf
https://www.eventtracker.com/blog/2016/january/the-assume-breach-paradigm/
https://www.nist.gov/news-events/news/2019/09/zero-trust-architecture-draft-nist-sp-800-207-available-comment
https://www.gartner.com/en/webinars/3891406/the-7-imperatives-of-continuous-adaptive-risk-and-trust-assessme
https://www.gartner.com/en/audit-risk/trends/covid-response
https://www.gartner.com/en/documents/3912802/market-guide-for-zero-trust-network-access