Ciberseguridad: Acciones Luego del Incendio
Luis Gorgona lgorgona@rsm.cr | Martes 19 julio, 2022
Los recientes incidentes de seguridad en nuestro país les han abierto los ojos a las organizaciones, tanto públicas como privadas, acerca de la necesidad de tener una mejor gestión de los incidentes de seguridad. Este “despertar” implica un intrínseco llamado a la acción en la materia, a la autoevaluación y a determinar el grado de preparación que tiene una organización de frente a un ataque cibernético. Dentro de este contexto, las acciones post-incidentes se convierten en un elemento esencial de mejoramiento en la materia.
Dice un refrán popular que “después de la tormenta, viene la calma”. Y eso en el campo de la ciberseguridad no es precisamente cierto. En mi opinión, luego de un incidente es el momento de la introspección, del análisis y la reflexión acerca de lo ocurrido y el momento donde se deben de empezar a tomar las decisiones estratégicas acerca de las actividades correctivas necesarias. En otras palabras, cuando las actividades de remediación y recuperación terminan, es preciso iniciar una serie de procesos post incidente que son los que le van a generar valor a las organizaciones. En las siguientes líneas me propongo explicar algunos de ellos:
• Análisis de Causa-Raíz: El análisis de causa raíz (ACR) es el proceso de identificar la causa subyacente de un problema para que luego pueda abordarlo con soluciones para evitar que vuelva a ocurrir. Alienta a los equipos y líderes a alejarse del enfoque tradicional de solucionar problemas y, en cambio, trabajar para encontrar una manera de prevenirlos.
Aunque puede haber una causa específica de un problema, en ACR busca e identifica si hay múltiples causas y soluciones al buscar patrones de efectos que pueden haber resultado en un resultado negativo. ACR observa eventos específicos y luego trabaja hacia atrás desde el problema hasta su punto de inicio final. ACR también puede identificar lo que funciona bien para que pueda aplicar patrones similares a otros sistemas.
Es muy común que, luego de un incidente grave de seguridad, la culpa y la responsabilidad recaiga siempre sobre los departamentos de T.I. y/o ciberseguridad. Es primordial en esta etapa separar las culpas y responsabilidades y centrarse en las causas. Considero muy valioso el uso de un diagrama de Ichikawa para determinar las causas y efectos de las acciones que se tomaron antes, durante y después del incidente. Esto va a permitir un análisis extenso e introspectivo del incidente y sus causas. Esta es la base de los proyectos posteriores.
• Lecciones aprendidas: Este es un análisis muy importante también. Las organizaciones tienen que comprender qué se hizo bien, que no se hizo tan bien y en qué se falló durante la gestión del incidente. Es una etapa en la que se deben establecer las bases del mejoramiento, basados en una sinceridad positiva y una transparencia de todos los actores del proceso, que permita mejorar la detección, evaluación, respuesta y recuperación de incidentes en las futuras ocurrencias.
• Verbo, no sustantivo: Aunque suene a Arjona, esta es otra realidad. No basta con hablar de estas cosas. Es necesario documentar las cosas, establecer planes de remediación, entender los escenarios y mejorarlos de cara a una mejor gestión de los incidentes. Esto lo conocemos como un plan remedial, y es muy útil para guiar a la organización en un plan estructurado de mejoramiento de la postura de ciberseguridad.
Es solo cuestión de tiempo para que alguna otra empresa sea atacada, esta es una constante en la nueva era digital. Esperemos y confiamos en que nuestras empresas no sean atacadas, pero en estos casos la máxima reza que “se debe esperar lo mejor, pero prepararse para lo peor”. Si su organización no tiene un plan de respuesta a incidentes de ciberseguridad, es un buen punto de inicio comenzar a elaborar uno. Si ya lo tiene, tal vez sea momento de evaluarlo y probarlo con el fin de conocer si cada quién sabe qué tiene que hacer y cómo hacerlo; esta es una lección aprendida adicional.
Termino con unas palabras de Vince Lombardi, el gran entrenador del fútbol americano: “Para tener éxito, este grupo necesitará unidad de propósito, necesitará dedicación y tendrá que convencer a todos sus prospectos de la voluntad de sacrificarse”. Es necesario que las organizaciones tengan una unidad de propósito acerca de la ciberseguridad y va a requerir dedicación, sacrificio, errores, aprendizaje y mejoramiento. Esta, en mi opinión, es la ruta clave de la gestión de ciberseguridad.