sábado, 2 de mayo de 2020

Superficie de ataque empresarial. Más allá de las probabilidades y las listas de chequeo


Introducción
El aumento de las noticias sobre ataques exitosos y brechas de datos en diferentes industrias y países advierte una importante movilización de esfuerzos y estrategias de los adversarios, para mantener una agenda agresiva e innovadora que aprovecha la inestabilidad y los momentos de incertidumbre para concretar acciones contrarias y desestabilizar a las empresas y naciones, y así encontrar “espacios en blanco” y “lugares inéditos” donde pasar desapercibidos y ganar terreno si ser notados.

En este sentido, las organizaciones más allá de sus límites corporativos, hoy se encuentran más conectadas que nunca, lo que habilita una mayor visibilidad de su infraestructura y un mayor flujo de información, que revela tanto sus estrategias de seguridad y control, así como sus limitaciones y posibles debilidades las cuales podrán (y serán) probadas por terceros, los cuales con intenciones no definidas, tendrán oportunidad de ver cómo se comportan los mecanismos de atención y control de eventos no deseados dispuestos por las empresas.

El riesgo de una brecha de seguridad y exposición de datos sensibles (y confidenciales) hoy se hace más evidente que en otros momentos, toda vez que los puntos de ataque disponibles para los adversarios se han aumentado dada la acelerada transformación digital que las organizaciones han debido desplegar para mantenerse operativas y disponibles para sus diferentes grupos de interés. En este escenario, la dependencia de la infraestructura de terceros, los puntos de conectividad entre la empresa y el proveedor, y las prácticas de seguridad y control de unos y otros, se vuelven relevantes para configurar un marco de gobierno y aseguramiento homogéneo frente a la inevitabilidad de la falla (Sharton, 2020).

En consecuencia para tratar de dimensionar esta nueva realidad aumentada y digitalmente modificada, donde la superficie de ataques se ha expandido, es necesario entender que existen diferentes maneras a través de las cuáles las cosas pueden salir por fuera de lo previsto y un contexto organizacional donde pueden ocurrir que incluyen entre otros los servidores, las bases de datos, los switches, los enrutadores, las aplicaciones (estándares, hechas a la medida y móviles), los computadores de los colaboradores, los controladores industriales y los sistemas ciber-físicos disponibles (dispositivos Smart).

Si se cruzan las posibilidades de fallas, vulnerabilidades y errores que se pueden presentar, con el contexto organizacional previamente mencionado, se tiene una malla casi infinita de lugares donde el adversario pude localizar sus esfuerzos y lograr efectos desestabilizadores para la empresa y sus grupos de interés (Banga, 2020). Por tanto, un ataque no es solamente el aprovechamiento de una vulnerabilidad, falla o error, sino la exploración de puntos pivote en la malla, previamente comprometidos, para crear el incierto necesario, que induzca a la confusión y acciones no planeadas por parte de la empresa, para tomar control de activos claves y propagar sus alcances dentro y fuera de corporación, con fines que pueden ser económicos, políticos, sociales, tecnológicos o ecológicos.

Por consiguiente este breve documento plantea una reflexión sobre los retos de las organizaciones modernas frente a sus interacciones en los nacientes ecosistemas digitales y las tensiones que los ciberriesgos exhiben en un tejido digital de nuevos flujos de datos, que con la participación de los terceros de confianza diseñan y configuran nuevas experiencias para sus diferentes grupos de interés.

Comprender el ciberriesgo
Cuando es posible advertir la malla de posibilidades que tiene el adversario para localizar y diseñar sus ataques, es claro que un sentimiento de angustia y agobio se puede apoderar tanto de los ejecutivos de seguridad como los directivos de la empresa. No obstante lo anterior y sabiendo que tarde o temprano el atacante tendrá éxito, es necesario comprender cuál es la postura de seguridad/ciberseguridad que la organización ha desarrollado frente al entorno actual, lo que implica ajustar la visual de riesgos previa y desinstalarla de los supuestos iniciales sobre las cuales fue construida (Cano, 2019).

Lo anterior, implica al menos revisar cinco elementos claves para desconectar las creencias e imaginarios de los diversos actores organizacionales, con el fin de conectar nuevas posibilidades y retos que se encuentran en el escenario vigente, que hablan de una posición de seguridad y control afectada por la incertidumbre que demanda más certezas que antes.

El primer elemento es “desinstalar la creencia de seguridad 100% y riesgo cero”. Si bien antes de entrar en esta situación de emergencia, la afirmación anterior era válida, hoy se hace más visible la malla de posibilidades que es necesario cubrir y monitorizar, para poder atender eventos no esperados y limitar los efectos adversos que se pueden materializar. Cuando se entiende que la seguridad es un umbral de riesgo aceptado mediado por la capacidades claves instaladas y desarrolladas, donde es posible construir una confianza digital imperfecta, es viable establecer estrategia de acción conjunta con los diferentes actores para asumir cualquier evento y responder de forma resiliente (Mee & Brandenburg, 2020).

El segundo elemento es “asumir el error como parte del proceso y no como resultado”. Esta afirmación permite no solo desarrollar una adecuada gestión de incidentes por parte de las organizaciones, sino aumentar la capacidad de resistencia y respuesta de la organización, pues demanda de ella una postura proactiva que busca probar y validar sus esfuerzos de seguridad y control, para anticipar sus respuesta y la forma como evolucionan la amenazas y estrategias de los adversarios. Mientras las vulnerabilidades que se detecten no sean insumos para renovar y repensar la postura de seguridad, la organización creará nuevos puntos pivote que el adversario pueda usar en el futuro.

El tercer elemento es “pasar del proteger y asegurar, al defender y anticipar”. Esta propuesta busca darle el lugar a las buenas prácticas y estándares disponibles a la fecha que son de amplio uso en las organizaciones, como una forma de cubrir los riesgos conocidos y caracterizados, para coordinar nuevos esfuerzos que permitan mirar los riesgos latentes y emergentes (Cano, 2017), con el fin movilizar a la organización al diseño de pruebas y simulaciones que la preparen para defender sus posición en el contexto digital. Esto es, lograr advertir los movimientos del adversario en su propio terreno, para demorarlo y aumentar la capacidad de respuesta y atención de la organización.

El cuarto elemento es comprender que “las vulnerabilidades crecen y se invisibilizan más hacia los activos de información sensible, que hacia las infraestructuras tecnológicas de seguridad y control”. Cuando se revisan los reportes internacionales sobre amenazas y vulnerabilidades, las empresas especializadas hacen especial énfasis en las fallas técnicas, en los errores de los programas o en problemas de configuración de dispositivos los cuales terminan en recomendaciones concretas que los clientes de dichas soluciones deben instalar de forma periódica o inmediata dependiendo de la criticidad o sensibilidad del caso. Sin perjuicio de lo anterior, pocas veces se hace énfasis en los comportamientos de las personas y su propensión al error en el tratamiento de la información, que de alguna forma debería ser la norma para mantener una operación estable y confiable, lo que reitera lo comentado en el elemento dos.

El quinto elemento es “habilitar el pensamiento sistémico y prospectivo para desarrollar capacidades” que complementen las prácticas vigentes basadas en certezas y asociadas a riesgos conocidos. La ciberseguridad es una disciplina emergente e interdisciplinar. No está basada en discursos disciplinares ni cuenta con un marco de saberes a la fecha estandarizado. Es una disciplina en formación que reconoce la convergencia de los retos y peligros del mundo físico y sus impactos, así como las oportunidades y amenazas del ecosistema digital en el cual se encuentra envuelta la empresa (Dupont, 2013). De esta forma, no son los estándares actuales lo que hacen realidad la postura de seguridad y control, sino la capacidad de reconocer las relaciones y amenazas emergentes que se advierten el entorno, sabiendo que es posible “ver las acciones del agresor” y actuar en consecuencia antes de que tenga éxito. No siempre se va a lograr y por lo tanto tendrá que estar preparada para asumir un incidente.

Cuando se comprenden y se apropian estas cinco distinciones el ciberriesgo deja de ser un problema de tecnología y de especialistas de seguridad y control, para traducirse en una lectura de riesgos empresariales de negocio donde lo que está en juego no es solamente la recuperación de la empresa frente a un evento no deseado, sino la capacidad de la organización para anticipar condiciones inesperadas, limitar los impactos de los ataques cibernéticos y asumir la responsabilidad digital empresarial (Wade, 2020) que concreta la confianza digital imperfecta con cada uno de sus grupos de interés.

Entender el ecosistema digital
Las organizaciones a la fecha están más conectadas que antes, ofreciendo un mayor número de productos y servicios, que logren concretar nuevas experiencias en sus clientes. Esta realidad permite optimizar múltiples procesos internos, catalizar iniciativas claves para crear nuevas apuestas de valor y sobremanera aumentar el apetito de riesgo de la compañía respecto de su modelo de negocio y las apuestas estratégicas que se desarrollan en el marco de su visión de negocios.

Un ecosistema digital está compuesto de infraestructura, aplicaciones, usuarios y servicios, los cuales interactúan de forma coordinada para lograr un cambio de expectativa o percepción en las personas respecto de una experiencia previa sobre la manera de tener acceso a un producto o servicio. Esta realidad, implica un diseño de un sistema socio-técnico donde se advierten flujos de información entre los diferentes componentes del ecosistema y una convergencia de tecnologías para configurar un escenario diferente donde el cliente encuentra respuestas más ágiles a sus requerimientos.

Este ecosistema enriquecido ahora con sensores, dispositivos inteligentes, pagos no tradicionales, uso de analítica de datos y marketing dirigido, crea una realidad aumentada donde habitan ahora los clientes, lo que necesariamente exige el desarrollo de una confianza digital que le permita adquirir, utilizar y movilizar sus intereses y expectativas de forma confiable, en términos semejantes o mejores a los que tenía en un contexto físico. Bien anota Porter & Heppelmann (2014) que un producto digitalmente modificado no tendrá éxito sino cuenta con elementos de seguridad, privacidad y aseguramiento por parte del proveedor del producto o servicio.

En los nuevos ecosistemas digitales los ciberriesgos adquieren la característica de riesgos sistémicos, es decir, riesgos que se manifiestan en fallas, accidentes o interrupciones individuales que producen efectos en cascada, para lo cual es necesario comprender y analizar el nivel de acoplamiento e interacción de los componentes del sistema. Este tipo de riesgos tienen las siguientes características: (IRGC, 2018)
  • Riesgos altamente interconectados con relaciones causa-efecto no lineales,
  • Riesgos que implican poco conocimiento acerca de las interconexiones en entornos interdependientes,
  • Riesgos donde no se cuentan con controles específicos.

Si las organizaciones siguen empeñadas en mantener sus modelos de riesgos actuales, basados en la sabiduría convencional de la gestión de riesgos como son: (Funston & Wagner, 2010)
  • Los factores que afectan los acontecimientos no cambian,
  • Los eventos son ligeramente aleatorios,
  • Los eventos extremos son raros,
  • Los pronósticos son exactos y fiables,
  • Los eventos son independientes unos de otros,
  • Los mercados son eficientes y racionales,

estarán más expuestas a eventos no deseados comoquiera que en la dinámica de las relaciones e interdependencias que sugiere y establece un ecosistema digital, pueden surgir relaciones emergentes o flujos de información diferentes a los previstos, lo que puede generar un entorno de operación y negocios más incierto, donde la empresa puede ser objeto de la inevitabilidad de la falla con mayor facilidad, mancillando o deteriorando la relación de confianza digital que viene construyendo con su cliente.

En un ecosistema digital comprender y percibir una brecha de seguridad y control no responde a una lectura lineal y conocida de la realidad, es más bien, comprender la dinámica de un ataque como una cadena de eventos algunos probables y otros posibles, que inician con el compromiso de uno de sus componentes, seguido de la propagación del mismo en medio del tejido digital de sus flujos de información para concretar el acceso, uso no autorizado, deterioro o exposición de activos digitales valiosos para la organización, donde están apalancadas las ventajas competitivas y sus promesas de valor.

Reflexiones finales
Es claro que los métodos tradicionales de evaluación de vulnerabilidades y gestión de riesgos presentan limitaciones frente a la malla de posibilidades que se tiene en la superficie actual de posibles puntos vulnerables en una organización. En consecuencia, en una situación como la actual donde hay un: (Gul & Slipsky, 2020)
  • aumento del flujo de datos privados y públicos en la red,
  • aumento de las descargas locales de información (pública y sensible),
  • aumento de equipos sin parches aplicados,
  • aumento de conversaciones con información propia del negocio fuera de la empresa,
  • aumento de patrones de actividad inusual en las redes,
  • aumento del uso de redes WIFI sin seguridad,
  • aumento del uso de equipos personales (muchas veces sin medidas de seguridad básicas),
  • aumento de los engaños basados en los inciertos de la crisis,
  • aumento de comportamientos inadecuados de las personas,

los esfuerzos ahora se concentran en la detección y reacción frente a posibles eventos adversos que puedan afectar a la organización, para lo cual las inversiones en tecnología de monitorización y análisis de patrones como son los tradicionales SIEM (Security Information and Event Management) y los SOC (Security Operation Center) cobran gran relevencia pues permiten tener indicadores de actividades maliciosas o no autorizadas, para que las empresas actúen bien de forma autónoma o en conjunto con el proveedor del servicio.

Así las cosas, las listas de cumplimiento de controles, las listas de chequeo de seguridad y las validaciones frente a estándares conocidos y probados, no logran dimensionar los nuevos niveles de exigencia que los ciberriesgos les imponen a las organizaciones. La falsa sensación de seguridad que se puede generar al “cumplir con los estándares” se ve contrastada con el poco o bajo entendimiento de los especialistas en temas de seguridad y control del nuevo escenario de ataques, que habilitado por un tejido creciente de conectividad y leído desde las cegueras cognitivas de sus prácticas conocidas, pueden llevar a materialización de sorpresas predecibles (Watkins & Bazerman, 2003).

Por tanto, la gestión de riesgos de seguridad/ciberseguridad debe dar un paso adelante en entornos de alta incertidumbre y complejidad para aprender y desaprender de forma acelerada para dar cuenta con las capacidades, motivos, métodos e intenciones de los adversarios y así tener de forma permanente algunas preguntas en mente, que le permita caminar y seguir los pasos de sus agresores, y así mantener una postura vigilante y proactiva:
  • ¿Conoce con certeza los puntos de integración de sus fuentes de datos, las aplicaciones y servicios? ¿Se hicieron pruebas de mal uso?
  • ¿Sabe usted cuál es su nuevo perímetro de seguridad? ¿Cuenta con el listado de sus terceros y sus niveles de aseguramiento?
  • ¿Qué acciones seguiría si se compromete la integridad de la configuración de un active digital? ¿Ha efectuado simulaciones al respecto?
  • ¿Cómo sabría si luego de contener un ataque, el adversario no sigue ahí?
  • ¿Con qué apoyo externo/interno contarías frente a un ciberataque? ¿Sabe a que autoridad debe reportar el evento y sus impactos?

Referencias
Banga, G. (2020). Why is cybersecurity not a human-scale problema anymore? Communications of ACM. 83(4). 30-34. Doi: 10.1145/3347144
Cano, J. (2017). The AREM Window: A Strategy to Anticipate Risk and Threats to Enterprise Cyber Security. ISACA Journal. 5.
Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 63-73. Doi: 10.29236/sistemas.n151a5
Dupont, B. (2013). Cybersecurity Futures: How Can We Regulate Emergent Risks? Technology Innovation Management Review, 3(7). 6-11. Doi: http://doi.org/10.22215/timreview/700
Funston, F. & Wagner, S. (2010) Surviving and Thriving in Uncertainty. Creating the risk intelligence enterprise. Hoboken, NJ. USA: John Wiley & Son
Gul, S. & Slipsky, M. (2020) The Top 10 Employer Cybersecurity Concerns For Employees Regarding Remote Work. Security Magazine. De: https://www.securitymagazine.com/articles/91999-the-top-10-employer-cybersecurity-concerns-for-employees-regarding-remote-work
IRGC (2018). Guidelines for the Governance of Systemic Risks. Lausanne: International Risk Governance Center (IRGC). De: https://infoscience.epfl.ch/record/257279/files/IRGC%20Guidelines%20for%20the%20Governance%20of%20Systemic%20Risks.pdf
Li T., Horkoff J. (2014). Dealing with Security Requirements for Socio-Technical Systems: A Holistic Approach. In: Jarke M. et al. (eds) Advanced Information Systems Engineering. CAiSE 2014. Lecture Notes in Computer Science, vol 8484. Springer. https://doi.org/10.1007/978-3-319-07881-6_20
Mee, P. & Brandenburg, R. (2020) Digital Convenience Threatens Cybersecurity. Sloan Managemen Review. Abril. De: https://sloanreview.mit.edu/article/digital-convenience-threatens-cybersecurity/
Porter, M. & Heppelmann, J. (2014). How Smart, connected products are transforming  competition. Harvard Business Review. Noviembre. De: https://hbr.org/2014/11/how-smart-connected-products-are-transforming-competition
Sharton, B. (2020) How Organizations Can Ramp Up Their Cybersecurity Efforts Right Now. Harvard Business Review. Mayo. De: https://hbr.org/2020/05/how-organizations-can-ramp-up-their-cybersecurity-efforts-right-now
Wade, M. (2020) Corporate Responsibility in the Digital Era. Sloan Management Review. Abril. De: https://sloanreview.mit.edu/article/corporate-responsibility-in-the-digital-era/
Watkins, M. & Bazerman, M. (2003) Sorpresas predecibles. Los desastres que deberías haber visto venir. Harvard Business Review. Abril.