Inicio / Blog / La importancia de conocer el entorno a proteger

La importancia de conocer el entorno a proteger

Publicado el 13/08/2014, por Mariano del Río
conocer el entorno a proteger

En distintos proyectos de ciberseguridad, tanto tecnológicos como de gestión, se suelen presentar los beneficios de la implementación de los procesos o productos, se habla de retorno de inversión, de la cantidad de amenazas y/o ataques que se pueden prevenir, de tal o cual regulación que establece la necesidad de la iniciativa, etc. Incluso a veces se contrata al mismo vendor “para que la implementación sea un éxito” y la presentación al management deslumbre con gráficos y números. Sin embargo, la realidad a veces nos suele mostrar la cara más real de la situación.

No hay retorno de inversión más real que conocer el entorno que intentamos proteger, su comportamiento y particularidades. Los que me conocen habrán escuchado sobre “Conocer qué tenemos” cuando hablamos del inventario de activos, en esta oportunidad estamos hablando de entender cómo funciona la organización.

Si bien es muy importante utilizar las mejores prácticas, guías de seguridad y recomendaciones de los fabricantes, es fundamental relevar el comportamiento de los activos, sus relaciones y dependencias, quién es el owner, desde donde se gestiona y quién lo hace. Los procesos de negocio que se ejecutan y cuál es su resultado, la performance de los mismos y aquellas situaciones que todos conocen y nadie resuelve (porque de esas hay siempre). Las fuentes antes mencionadas (best practices) nos darán un buen resultado si son validadas y testeadas por las personas claves, tanto a nivel técnico (verificación técnica) como de negocio (validación y aprobación). En definitiva trabajamos para ellos, ¿no?

Proyectos de SIEM, Hardening, Vulnerability Management y tantos otros que se podrían basar en buenas prácticas o una visión externa, pero que para agregar un verdadero valor requieren de la participación y del conocimiento de la organización y sus referentes.

Ya lo compartimos en un post anterior respecto a la importancia de documentar el conocimiento. Y es algo que con el correr del tiempo, las iniciativas y los proyectos, se convierte en un problema adicional que no se resuelve con un “descuento del vendor” o más gente involucrada. Es una forma costosa de reflejar el nivel de madurez de las organizaciones.

Volviendo al caso de un proyecto de SIEM, recientemente el CPNI-UK publicó un trabajo excelente al respecto y que podría ser una fuente de referencia para que los técnicos identifiquen la información requerida para activar eventos o conocer su finalidad. Sin embargo, sin el conocimiento del owner del activo y la información involucrada (basado en su clasificación), lejos estaríamos de agregar un verdadero valor al negocio. De saber qué situaciones podrían considerarse un incidente de seguridad o algo normal (aunque involucre malas prácticas). Sin mencionar que si no contamos con una valoración de los activos, podríamos estar invirtiendo recursos en aquellos que no tengan ningún impacto en los objetivos del negocio. Lo mismo podría suceder en un proyecto de gestión de vulnerabilidades o de hardening, y todo se basa en desconocer el valor de los activos y su impacto en el cumplimiento de los objetivos de negocio. Saber cómo funciona la organización, desde sus sistemas.

Ningún consultor externo podrá aportar más valor que aquellos que conocen el negocio y el entorno tecnológico involucrado. Las buenas prácticas podrían no formar parte de la realidad de la organización, y su análisis e implementación requiere del conocimiento y tiempo del personal clave.

Otro punto clave son las métricas y monitoreos, que si bien se suelen ver cada vez con mayor frecuencia, en muchos casos no surgen de objetivos de la organización, sino de la necesidad de tener métricas (parece que están de moda). Nuevamente es necesario conocer lo que estamos protegiendo, su valor para el negocio y lo que su owner quiere medir, además de lo que a nivel del programa de ciberseguridad quisiéramos medir (porque también debe tener sus objetivos). En este sentido, aquellas organizaciones que no conocen muy bien cómo funciona el entorno quizás se enfocan en métricas cuantitativas (cantidades y/o tiempos), algo que no está mal, pero que podría no generar valor al no contar con el aspecto clave del conocimiento del entorno a proteger.

Una manera de analizar el valor de las métricas es  identificar cuántas decisiones hemos tomado en base a ellas.

En definitiva, quizás coincidimos en el diagnóstico pero no en su solución, porque ello depende de cada organización, su cultura, apetito de riesgo, las personas que la integran. Sin embargo, es difícil pensar en un programa de ciberseguridad efectivo sin el involucramiento de la Alta Dirección, los líderes de la organización y el personal clave de los procesos y activos que estén involucrados. Aquellos que cuenten con este escenario, sin dudas estarán ante una organización con la madurez necesaria para que las inversiones sean más efectivas y los resultados generen un verdadero valor agregado, en un mismo camino y hacia un mismo sentido. Lo conversamos en cualquier momento.

---

Mariano M del Río – cybersecurity and compliance services
@mmdelrio / info@securetech.com.ar / www.securetech.com.ar