Las amenazas a las plataformas informáticas en el 2015 han aumentado de una forma mayor a lo sucedido históricamente. Las facilidades proporcionadas por las comunicaciones han abierto grandes posibilidades para los negocios, para incrementar productividad y para estar comunicado en todo momento. Pero esto también está permitiendo un nuevo tipo de ataques, permanentes, masivos, más elaborados. Quienes gobiernan las tecnologías de la información ahora tienen que pensar en que un gobierno efectivo también debe de gobernar la seguridad de la información.

Hoy quiero llamar la atención hacia el framework de Cyberseguridad, desarrollado por el Instituto de Estándares y Tecnología (NIST – National Institute of Standards and Technology). Nace a partir de una orden ejecutiva presidencial, que por sí solo debería de ser una alerta del nivel de urgencia que existe por implementar medidas de seguridad en cualquier organización. El framework está formado por un conjunto de estándares y mejores prácticas que fueron consensadas a través de diferentes talleres con actores predominantes en la industria de las Tecnologías de la Información. La misma ISACA ha formado parte de este esfuerzo y quienes seguimos de cerca la producción de material para orientar el gobierno de las tecnologías de la información ya contamos con una publicación de esta entidad para implementar Cybersecurity: “Implementing the NIST Cybersecurity Framework”. Esto también ha extendido el conjunto de certificaciones emitidas por ISACA, existiendo ahora certificaciones para los niveles de Fundamentos, Practicante, Especialista y Experto en Cyberseguridad. Esto adicional a la tradicional CISM (Certified Information Security Manager). Definitivamente, tantos esfuerzos por el NIST e ISACA no deben de pasar inadvertidos por los Gerentes de TI, que tienen que empezar a preparar su caso de negocio para implementar medidas de seguridad en su organización y buscar que su personal cuente con conocimientos sobre seguridad de la información.

Personalmente me parece bastante atinado el proveer a todos de un conjunto de 100 medidas, que se constituyen en una base bastante extensa de salvaguardas para proteger la empresa. Estos controles tendrán éxito en su implementación en la medida que formen parte de un esfuerzo coordinado que pone la seguridad en un papel defensivo, pero con capacidad de identificación y respuesta. Este enfoque busca que incidentes de cyberseguridad causen el más mínimo, sino nulo, impacto al negocio. Las funciones especificadas por el framework, siguen una lógica muy similar a la de los ataques, sólo que ahora estas acciones deben de ser ejecutadas preventivamente. Las funciones son identificar, proteger, detectar, responder y recuperar. En muchas empresas, cuando se habla de seguridad de la información, enumeran acciones que protegen la información, tales como controles de acceso físico y lógico, el cifrado de información, la instalación de antivirus y firewalls. Proteger está bien, pero las otras funciones también son importantes. La identificación es necesaria para conocer la superficie de ataque existente. Cuantas veces al auditar, hemos encontrado que existen equipos sin antivirus instalado. Esto sucede porque nadie se ha tomado el trabajo de identificar todos los activos de la organización y verificar que el número de equipos sea igual al número de antivirus instalados y actualizados. Los virus informáticos si se toman el tiempo de buscar adónde se pueden instalar y encuentran esos activos que no están protegidos. Esto muestra la necesidad de mantener indicadores más informativos del funcionamiento de las medidas de protección, que busquen una protección del 100% de los activos.

Las funciones de detección, respuesta y recuperación proponen el tener la capacidad de conocer que se está recibiendo un ataque y a partir de ahí activar protocolos que permitan responder oportunamente y recuperar el control de la situación. Esto en el fondo implica que no sólo deberíamos decir nos atacaron, sino también conocer quién nos atacó, como entró a la organización, que activos fueron afectados e iniciar acciones para limitar y anular el margen de acción del atacante. Esto implicará que las organizaciones deberán a utilizar herramientas más sofisticadas, similares a las que utilizan los hackers, para evaluar la seguridad de la organización. Estas herramientas permitirán también el cruzar información de los fabricantes sobre las últimas vulnerabilidades descubiertas y su impacto en la infraestructura de la organización. El análisis de vulnerabilidades y la evaluación de riesgos  de seguridad constituyen en este contexto dos controles vitales para el éxito de un programa de cyberseguridad y la priorización de la implementación de controles de seguridad.

Como podemos intuir de estas líneas, hablar de Cyberseguridad implica comenzar a pensar más como hacker y utilizar las mismas herramientas que tradicionalmente ellos han utilizado para encontrar y cerrar las posibles brechas que nos hacen vulnerables a los ataques. Esto debería de ser el accionar responsable de una Gerencia que busca el éxito de las operaciones de negocio, minimizando riesgos y evitando interrupciones a las operaciones, mientras se mantiene una atención eficiente y efectiva a los clientes.