En muchos incidentes de ciberseguridad llega un momento en el que la parte técnica ya ha desaparecido, pero la organización que la rodea todavía está resolviendo las cosas.
Las alertas están apagadas, se establecen canales de comunicación, se están uniendo personas de seguridad, TI, operaciones, asuntos legales y posiblemente comunicaciones, y aún así la sala no está del todo adelantada al incidente. Todavía está tratando de determinar qué tipo de problema está viendo.
Qué sistemas deben aislarse primero, qué datos son lo suficientemente importantes como para protegerlos a toda costa, qué servicios deben respirar mientras el resto de la red se apaga por un tiempo, qué proveedores o dependencias, sentados silenciosamente en segundo plano en un día normal, serán puntos de inflexión durante las próximas seis horas. Más que la mayoría de las organizaciones deben admitir que el conocimiento todavía está demasiado fragmentado, demasiado informal o demasiado dependiente de tener a la persona adecuada a su lado en tiempos de crisis.
Fundador de Risk & Decision y Resilient24.
Esto es lo que hace que el momento actual sea más grave que otra ronda familiar de “ciberpánico”. El ritmo ha cambiado y está empezando a revelar una vulnerabilidad que ha permitido que muchos programas de seguridad maduros vivan más de lo que deberían.
Microsoft advirtió este mes que en algunas campañas de ransomware Medusa, los exploits de recursos vulnerables de la web pueden reducir los tiempos de desalojo e implementación en aproximadamente 24 horas.
El problema no es sólo que sea rápido, aunque ciertamente lo es. Es que un día deja poco espacio para que una organización, en medio de un evento, sepa lo que debería haber sabido antes de comenzar.
Crear mejores bomberos
Las empresas se obsesionan con construir mejores detectores, “detección rápida de incendios”, pero no logran mejorar la lucha contra incendios: el proceso humano de organizar una respuesta una vez que se encuentra un “incendio”. El verdadero fracaso es no ver la amenaza; Es el proceso caótico, lento y confuso de traducir esa señal técnica en una acción empresarial integrada. La mayoría asume que con un tablero limpio, buenos controles y un lenguaje de gobierno respetuoso, todo está listo, pero en realidad, pierden el rumbo durante el traspaso cuando los problemas se vuelven organizacionales.
Y ahí es donde empezaron a aparecer las grietas. Lo que frena la respuesta a menudo no es un gran fracaso estratégico, sino la acumulación de pequeños y viejos hábitos: la “crítica” definida de manera demasiado amplia para ser efectiva, caminos de crecimiento que viven en hojas de cálculo, procedimientos alternativos que parecían sensatos hace seis meses, ejercicios anuales tratados casi como un ritual formal, que luego se realizan rápidamente como una cuestión de urgencia. Entonces llega un acontecimiento real, rápido y mal sincronizado, y todo el sistema se revela tal como es: no exactamente una preparación, sino una colección de mejores intenciones a las que no se les ha enseñado a ir juntas.
Las propias directrices de CISA todavía toman una dirección más seria que la de muchas agencias. Pide a las organizaciones que identifiquen y prioricen los sistemas y datos críticos para la recuperación, mantengan planes de comunicación y practiquen planes de resiliencia y respuesta a incidentes en lugar de simplemente mantenerlos archivados. Las pautas revisadas de respuesta a incidentes del NIST también sugieren un enfoque específico. Una organización no debería tomar sus primeras decisiones reales sobre criticidad, continuidad y autoridad cuando el fenómeno ya se está desarrollando.
Un ejemplo reciente
Un ejemplo público reciente muestra hasta qué punto esto puede repercutir. En los Estados Unidos, en abril, después de que un ciberataque interrumpiera sistemas críticos y servicios digitales en Minnesota, el gobernador Tim Walz autorizó el apoyo de la Guardia Nacional de Minnesota porque el incidente afectó significativamente la capacidad del condado para brindar servicios municipales y de emergencia. Un incidente cibernético se convierte en otra cosa en el momento en que las vías de decisión, las comunicaciones y las operaciones necesarias normales comienzan a fallar.
Aquí es donde la resiliencia tiende ahora a fallar: en la intersección de la identificación técnica y la ejecución operativa. Muchas organizaciones han gastado dinero real en herramientas, seguimiento y gobernanza. Pocos ya han definido qué información es verdaderamente crítica, qué sistemas y proveedores son dependencias ascendentes, qué mecanismos de respaldo deben activarse primero y qué decisiones corresponden a quién una vez que la normalidad comienza a fallar. La organización puede tener todas las herramientas adecuadas, pero, extrañamente, todavía no está preparada para gestionar su propia respuesta.
Por eso la respuesta no es simplemente “más seguridad”. Es un modelo operativo más disciplinado en torno a la retroalimentación. El primer paso es el control continuo de los datos. Antes de que algo salga mal, una organización necesita saber exactamente qué datos, servicios, dependencias y rutas de comunicación son realmente vitales. No se trata de verse bien en el papel o de ajustarse a una lista de reglas; En lugar de operaciones del mundo real. Necesitan identificar claramente: qué se debe salvar, qué se puede sacrificar y qué no se puede dejar en el limbo ni siquiera por unas horas.
Una forma de reducir las dudas
El segundo paso es tratar el ejercicio de crisis menos como un ritual anual y más como una forma de reducir los dilemas. Los ejercicios pequeños, livianos y repetibles generan más retroalimentación real que el gran ejercicio que ocurre una vez al año y se desvanece en la memoria la semana siguiente. Los equipos deben ensayar decisiones que se vuelven costosas bajo compresión: quién aísla qué, quién anuncia qué, quién habla con los empleados, los clientes o el público, qué se restaura primero y qué dependencias dejarán de funcionar silenciosamente si no se han mapeado con anticipación.
El tercer paso es considerar la comunicación de continuidad como parte del diseño de retroalimentación y no como una cortesía una vez iniciado el trabajo técnico. En muchos casos, la comunicación no es algo que se hace hasta que comienza el problema. En realidad, es parte del problema mismo. Si los empleados no saben a quién acudir, si los socios externos no están seguros de qué método de comunicación es seguro o si los líderes intentan utilizar un sistema que podría fallar, todo se ralentiza. Estos retrasos se acumulan rápidamente y ningún informe o gráfico posterior puede solucionarlos.
La próxima división en madurez cibernética no será entre las organizaciones que detectan y las que no. Se mejora la detección. Más bien, continuarán marcadas divisiones entre las organizaciones que pueden estar operando bajo compresión y aquellas que intentan determinar qué es importante mientras el evento ya está en marcha. Esta es la verdadera brecha ahora. No es falta de precaución, sino falta de preparación para el momento en que la precaución debe convertirse en acción. Y es una vulnerabilidad más volátil porque está mucho más cerca del centro de la organización.
Hemos revisado, calificado y clasificado el mejor software de firewall.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
