De planes estratégicos de ciberseguridad y otras cosas…

Claudio Caracciolo  25 abril, 2019
De planes estratégicos de ciberseguridad y otras cosas…

Cualquier persona que trabaje en seguridad desde hace años es capaz de comprender que no existe el “Plan Estratégico de Defensa” perfecto. Sin duda alguna, también estará de acuerdo con mi afirmación de que, aún si tuviera un plan definido formalmente, el mismo no sería estático y cada evento diario podría modificar sus definiciones.  

Los cambios tecnológicos tan rápidos, y la necesidad de definir nuevos estándares o protocolos modifican siempre el estado de armonía al que uno aspira en su trabajo diario. Pero esto no solo le pasa a las empresas u organizaciones chicas, sino también a las gigantes, como fue la implementación de HSTS de Facebook, que depués de la charla brindada por nuestro equipo en Black Hat Europe decidió modificarla y que seguramente produjo un desvío en su planificación.

No importa cuánto tiempo nos lleve desarrollar un plan estrategico de ciberseguridad, siempre habrá fallas en él, e incluso se generarán desviaciones durante el proceso de implementación del mismo.  Es duro, tal vez, pero es la profesión que nos gusta. Los planes se amoldan al día a dia de cada empresa, de cada organización, de cada país…  Si partimos desde esta premisa, podemos suponer que aunque los Estados Latinoamericanos han estado trabajando fuertemente estos últimos años en tratar de acercarnos más al estado de madurez que posee España, generando los famosos planes estratégicos para la eiberdefensa, seguramente caeríamos en la trampa mental de que todos los problemas de seguridad de la noche a la mañana desaparecerán pero las realidades tanto económicas como políticas para cada país son muy diferentes. Definir un plan nunca es sinónimo de seguridad, como tampoco lo es estar certificado en una norma en particular, pero si implica que hay una voluntad expresa y un camino definido al que todos los integrantes de los equipos de seguridad deben aspirar.

A veces las decisiones de tener una plan estratégico formal pueden tardar mucho en tomarse, o incluso no tomarse nunca. Es por eso que las áreas de ciberseguridad, seguridad informática o seguridad de la información cumplen la función de bomberos, apagando cuanto incendio se inicie por algún lado. Este tipo de ejecución de tareas genera:

  1. Frustración en el propio equipo de trabajo, ya que siente que no construye.
  2. Sensación de inseguridad constante en el resto de las personas, ya que ven que el equipo siempre esta saturado y de mal humor.
  3. Imposibilidad de implementar controles efectivos de prevención y detección, ya que el equipo está abocado a resolver problemas diarios.

Los que llevamos un tiempo en esto, aunque seamos muy técnicos y reneguemos de las funciones relacionadas con escribir y documentar políticas, normas y estrategias, sabemos muy en nuesto interior, que trabajar sin un verdadero plan estratégico, nos lleva al fracaso, sin excepción. Es cierto que en nuestras historias por lo general contamos las proezas técnicas o las métricas conseguidas, porque como dicen algunos: “definir un plan, no mola”, pero sin él muy probablemente no cumpliremos con nuestros objetivos…

La pregunta que muchos se hacen es: “¿cómo defino un plan estratégico?” Y la respuesta no es sencilla, porque depende de cada empresa u organización, pero lo que si es seguro es que nuestro plan debería al menos considerar el estado actual de la seguridad, y el estado deseado.  Debería asegurarse que los objetivos de seguridad estén alineados con los objetivos de negocio de la empresa u organización, y a partir de allí definir cuales serán los proyectos que deberá ejecutar para alcanzar el estado deseado.  Pero algo muy importante no puede faltar en el plan, el tiempo en el que se piensa llegar al estado deseado y la inversión que llevará.

La gestión estratégica no requiere analizar solo las tecnologías a implementar, parte desde los activos a proteger y desde los riesgos a los que se encuentran expuestos, por eso, en mi opinión personal creo que es bueno terminar las peleas con las áreas de auditoría y trabajar en conjunto para no seguir apagando incendios todas las semanas, ya que ellos serán de mucha utilidad para definir el plan estrategico de ciberseguridad, aunque creamos que podemos hacer todo como si fuésemos superhéroes, en una empresa u organización, somos parte de un equipo.

Claudio Caracciolo
Team Leader of the CSA and the Bs. Research Office at ElevenPaths
Innovación y Laboratorio
claudio.caracciolo@11paths.com
@holesec

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *