Hackers contra responsabilidades de seguridad

El año 2015 fue nuevamente un recordatorio de que los hackers y si verdad encuentres
están siendo más hábiles que los responsables de seguridad. Esta situación es evidente al
revisar reportes como Internet Security Threath Report, publicado por la compañía
Symantec, en el cual se menciona que tan sólo en 2015 fueron descubiertos 430 millones
de nuevos códigos maliciosos, lo que representó un 36% diciendo algo a los detectados en
2014. De igual forma, los ataques por ransomware que hicieron un 35% debido a que los
ciber criminales lograron infectar con este tipo de ataque nuevas plataformas como:
Android, Mac y Linux.

Si con los datos anteriores de este tipo de reportes internacionales, no se deja en claro que
los Packers llevan más que un paso adelante contra los responsables de seguridad en la
guerra por la protección de los activos y datos informáticos, entonces es necesario
mencionar que durante el año 2015, el mundo vio el robo y publicación de registro en más
grandes de la historia (191 millones) y con lo que se logró un total de 429 millones de
registros robados y publicados en Internet.

Ante esta situación se hace evidente que los responsables de seguridad, al parecer, están
perdiendo la guerra contra los atacantes y deben aceptar de forma inmediata que el
problema no es la tecnología, si no la mentalidad que están teniendo para hacer frente a la
situación actual: ¿cómo enfrentar la batalla?

En la actualidad muchos directores de seguridad siguien estancados en una forma de

pensar que pertenece al oscurantismo y decir los de la traes o al creer firmemente que para
mantener alejados a los intrusos deben seguir construyendo castillos con una ellas cada vez
más altas y fuerzas más profundas y no logran aceptar que sin importar que tan alta es un
profundo sean estas barreras los atacantes finalmente pasarán por arriba, por debajo, por
los lados o por el medio. Otros responsables siguen creyendo que la seguridad únicamente
es cuestión de hardware y/o software y siguen sin implementar un modelo de administración
y gobierno de seguridad.

¿Cómo cambiar la mentalidad para ganar?

Para modificar la mentalidad es necesario cambiar la premisa. En la actualidad es

insuficiente pensar que los controles de tipo disuasivo, defectivo en negación de acceso son
suficientes ya que deben implementarse controles que contrarreste los ataques mientras se
está materializando. Un ejemplo de este tipo de controles son los equipos de respuesta a
incidentes puesto que no únicamente reciben informe sobre los incidentes de seguridad si
no responden a las amenazas mientras estén materializando.

Además, para que los responsables de la protección se conviertan en verdaderos

administradores de seguridad y cambien su mentalidad, deben de recordar cinco principios
que brindan los constante por más oscurantista que sea la situación:

1. Entendimiento de la organización. Antes de implementar cualquier medida de

seguridad el administrador de seguridad se debe dar el tiempo para entender el
100% de lo que se está protegiendo ya que si no logra entenderlo, cualquier control
 implementado no agregará verdadero valor ni generará ninguna ventaja competitiva
a la organización. Un modelo de análisis multi para este es el modelo PESCLE.
2. Inventario de activos y análisis de riesgo. Entendido lo que se protege, se deben
identificar sus componentes por medio de un inventario de activos y una vez
terminado se debe ejecutar un análisis de riesgo. Un consejo para hacer uno de
estos lo más completo es "cuanto más negativamente se piense ¡será mejor! Por
qué encontraremos una mayor cantidad de escenarios que pudieran afectar a los
activos. No olviden que para encontrar riesgos no hay límite.
3. Apoyo de la dirección. Una vez identificados los activos y sus riesgos, se debe
conseguir total apoyo de la junta directiva de la organización puesto que sin éste,
cualquier iniciativa del programa de seguridad no será soportada en impulsada a lo
largo y alto de toda organización. Si no se logra el apoyo, encontraremos muchas
frustraciones en nuestras actividades porque estaremos tratando de cambiar el
rumbo de un barco del cual nosotros únicamente somos marineros y no el capitán.
4. Gobierno de seguridad. Conseguido el apoyo de la dirección, debe ser
implementado un gobierno de seguridad, lo cual es muy sencillo pues éste debe de
garantizar que la persona correcta haga las cosas correctas. Para ello el gobernante
(responsable de seguridad) únicamente debe hacer dos cosas: dirigir y monitorizar.
El gobernante debe de recordar que es el máximo responsable de seguridad y
deberá implementar el gobierno de arriba a abajo y medir lo de abajo arriba de la
organización.
5. Establecimiento del programa de seguridad. Para hacer el programa, el responsable
de seguridad deberá implementar proyectos que vuelvan realidad los controles que
mitigar los riesgos y cada proyecto terminado se vuelve más operativo, por lo que
deberá documentar cada operación para garantizar su repetición y medición.

Finalmente estoy convencido que al cambiar la premisa y recordar los principios básicos
tendremos una mejor mentalidad para enfrentar las ciber guerra y lograremos publicar que
2017 fue el año en que los administradores de seguridad retomaron la ventaja en la batalla
por la seguridad al cambiar la mentalidad.