Autores:

Miguel Olías de Lima. Responsable Estrategia de Ciberseguridad de Deloitte 

Fernando Conde Latorre. Experienced Senior de Estrategia de Ciberseguridad de Deloitte 

Summary:

La estrategia de ciberseguridad, lejos de su visión actual de ser un impedimento o pura burocracia para las organizaciones, es realmente una herramienta muy potente en cualquier entidad para asegurar las acciones realizadas, evitar errores relevantes y para superar a la competencia aportando valor. Sin embargo, para ser realmente útil, debe realizarse correctamente. 

Artículo:

Desde hace un tiempo, se viene observando un curioso fenómeno en nuestra industria de ciberseguridad que es, a un tiempo, preocupante y prácticamente exclusivo, ya que no sucede tan notablemente en otras industrias. Este es el hecho de que las compañías no perciben un valor asociado a trazar una correcta estrategia de ciberseguridad y prefieren lanzarse a acometer Planes directores de Seguridad o acciones diversas en la materia sin calibrar el aporte de estas acciones o la dirección en la que encaminan a la empresa.  

Esta situación la plasman claramente los propios ejecutivos de las empresas (sólo un 35% de ellos consideran que su estrategia va a ser un éxito), así como datos donde se observa que una estrategia consistente ayuda a las organizaciones a crecer (hasta tres veces más probable) y a obtener mejores beneficios (hasta dos veces más) que la media. 

Pese a lo anterior, no sirve con copiar la estrategia de otra empresa. Si bien todas las compañías pueden compartir una misma táctica, la estrategia debe ser única para cada una. No tiene sentido que varias compañías compartan una estrategia, puesto que ésta responde a la realidad y al contexto de específico de cada organización. 

El error de no diseñar una buena estrategia se entiende mejor con ejemplos que suceden en algunas compañías. Al no haber una dirección o rumbo común, tenemos responsables que acometen los proyectos que consideran más relevantes, pudiendo llegar a situaciones de riesgo absurdas donde el responsable de la seguridad en servidores considera que la mayor protección debería estar en los endpoint (“al final todos inician la conexión desde ahí”), en tanto que el responsable de los endpoint considera que es mejor delegar las protecciones en la red o los servidores (“al final todas las conexiones pasan por esos puntos”). Lo que se resolvería con una visión en conjunto de dónde queremos, como empresa, poner el mayor énfasis de seguridad, se convierte en un ir y venir de delegaciones que no favorecen a la organización.  

Otro paradigma de error en la estrategia lo encontramos en aquellas empresas donde, al no existir una estrategia definida y clara sobre la nube, hay equipos que están, incluso, desplegando consolas de seguridad en la nube para controlar todo desde ahí, en tanto que otros equipos de la misma empresa están trabajando por proteger todas las conexiones de administración para que tengan que pasar por máquinas locales controladas (on premise), suponiendo un esfuerzo ineficiente en cuanto a protección e inversiones. 

Estas cuestiones, que se pueden resolver con acciones correctivas tras un assessment o un Plan Director, no serían necesarias con una correcta definición de la estrategia, que declare lo que es importante y lo que no para la organización, ya que las medidas implantadas obedecerían a unos pilares y un propósito superior: la estrategia de ciberseguridad. 

Además de estos problemas más vinculados a errores concretos, la estrategia también debe seguir un proceso consolidado y formal para su formación y evaluación, considerando todas las alternativas posibles y generando estrategias consistentes en todas sus acciones (principio conocido como MECE por sus siglas en inglés, “Mutuamente Excluyente, Completamente Exhaustiva”). No realizar este proceso puede acarrear varios errores.  

Uno de ellos es el dejarse mejores alternativas de acciones a incluir en la estrategia sin analizar (un claro ejemplo lo encontramos en aquellas compañías que dedican enormes esfuerzos a eliminar todos los sistemas obsoletos o fuera de soporte para, al año siguiente, cambiar la infraestructura de servidores y desplegar nuevas versiones igualmente, haciendo el primer esfuerzo ineficaz, en el mejor de los casos).  

Otro problema es el de mantener estrategias que ya se han podido quedar obsoletas, al no estar haciendo un proceso sistemático de construcción o revisión, por lo que nos dejamos tendencias del mercado y de las amenazas sin considerar y, en consecuencia, mantenemos una exposición de riesgo no controlada.  

El último gran error de la falta de este proceso suele ser una estrategia genérica, no adaptada a la casuística de nuestra empresa, lo que suele terminar en herramientas de seguridad desplegadas sin un claro propósito o, peor aún, restringiendo severamente operativas claves del negocio, al no haber estudiado bien los procesos que se pretendían proteger. 

En conclusión, la estrategia de ciberseguridad no es sólo que aporte valor a las empresas, si no que su ausencia conduce, generalmente, a perjuicios claros para estas. Y, si bien es algo complejo al tener que dar con una estrategia única que se adapte a cada empresa, aplicando metodologías de resolución de problemas complejos (CPS o Complex Problem Solving), se pueden lograr muy buenos resultados. Si otras industrias fuera de ciberseguridad han podido aplicarlo con éxito, nosotros también debemos aprender y mejorar en este ámbito.