Gestión de Riesgos de Seguridad y Ciberseguridad: ¿desde la víctima o desde el adversario?

Introducción

Los riesgos propios de la ciberseguridad y la seguridad de la información por lo general se atienden siguiendo los lineamientos de los estándares y buenas prácticas vigentes los cuales apuntan tradicionalmente al ISO 31000 de gestión de riesgos. Este ejercicio clave para asegurar los riesgos conocidos, se adelanta en perspectiva reactiva, toda vez que no sólo se conoce y hace el tratamiento de los riesgos, sino que se prepara a la organización cuando uno de ellos se materialice.

En este sentido, prácticas actuales como la del marco de ciberseguridad del NIST (identificar, proteger, detectar, responder, recuperar) (2018) se ubican en la perspectiva de la víctima que debe atender el evento adverso y donde el atacante tiene muchas certezas sobre el funcionamiento de su infraestructura y operaciones. Esto significa, que la aplicación de las prácticas estándares intrínsecamente buscan responder a los eventos adversos en la infraestructura sin considerar las intenciones o capacidades del adversario, análisis que se adelanta sólo si el ataque fue exitoso (si es que se hace).

En esta perspectiva pareciese que la organización sólo tuviese la opción de recibir y manejar los eventos adversos que le propone su atacante, dejando abierta la posibilidad de nuevos y novedosos ataques de sus posibles adversarios. Los marcos de trabajo en seguridad y ciberseguridad buscan prevenir los ataques, por lo general conocidos y documentados, lo que complica el ejercicio tradicional de la prevención, pues en la realidad, la innovación, la sorpresa y la novedad son la esencia de las propuestas de los adversarios.

Así las cosas, se hace necesario avanzar en plantear una gestión de riesgos cibernéticos desde la perspectiva del adversario. Esto es, comprender tanto las intenciones y sus capacidades (Martin, 2019) para salir de la zona cómoda de los estándares, y movilizar a la organización a otro marco de trabajo que busque detectar, disuadir, demorar, confundir y anticipar, para concretar una perspectiva más proactiva y prospectiva de la gestión, donde la organización estará más atenta a su contexto de operaciones, la protección de aquellos activos críticos que son de interés para un adversario, los comportamientos de las personas y sobremanera, una postura vigilante que mantenga una visión estratégica de la organización basada en su apetito de riesgo (Wucker, 2021).

Por tanto, esta breve reflexión desarrolla dos perspectivas de la gestión del riesgo de seguridad y ciberseguridad (desde la víctima y el adversario), con el fin de sintonizar los esfuerzos alrededor del tratamiento de los riesgos conocidos y el desarrollo de capacidades para mantener una postura vigilante frente a los riesgos latentes y emergentes, que permita a la organización establecer una trayectoria en medio de los inciertos y la inestabilidad propia del contexto actual internacional.

Gestión de riesgos de seguridad y ciberseguridad: Desde la víctima

Esta es la perspectiva tradicional de la gestión de riesgos que busca ubicar una serie de sensores en la organización (que llamamos controles) los cuales se definen para que generen alertas de posibles eventos adversos y desde allí, iniciar la gestión del riesgo basado en la información que se genere por cuenta de los riesgos conocidos.

Esta lectura de la gestión de riesgos supone una reacción por parte de la empresa, para atender los posibles eventos que están ocurriendo y adelantar las acciones necesarias para su tratamiento. Nótese que mientras no se generen alertas el sistema de gestión no se activa para avanzar en el conocimiento de lo que ocurre en el entorno. Así las cosas, mientras más fino y mejor calibrado esté el control mejores alertas se pueden tener para avanzar en la identificación y aseguramiento del posible riesgo.

En la literatura especializada esta postura se denomina defensa pasiva (Cai et al, 2016). Un ejercicio basado en un conjunto de dispositivos y mecanismos tecnológicos que monitorean y se actualizan sobre las tendencias de amenazas y ataques con el fin de alertar a la organización sobre estas temáticas, y así mantener la confiabilidad de la infraestructura, basados en patrones conocidos, nuevas técnicas reportadas o actualizaciones de firmas en los “appliance” instalados en los centros de datos o en la nube.

Cuando una organización sustenta su gestión de riesgos desde la perspectiva de la víctima es claro que estará preparada para enfrentar la inestabilidad y el evento adverso conocido. Podrá movilizar activar el protocolo identificar, proteger, detectar, responder, recuperar, y el equipo de atención de incidentes para identificar, contener, actualizar y erradicar el riesgo que se ha materializado, para luego de un examen forense de lo que ha ocurrido, poder capitalizar las lecciones aprendidas y efectuar los ajustes del caso tanto en la infraestructura como en los procedimientos de la organización.

La gestión del riesgo cibernético y de seguridad de la información en perspectiva de “atacado”, reitera la vista del marco de calidad conocido como PHVA (Planear, Hacer, Verificar y Actuar), que si bien, permite mantener una vista repetible y previsible sobre un escenario con variables conocidas, es reactivo a las condiciones emergentes del entorno, donde no tiene otra opción que activar su protocolo de “análisis de causa-raíz”, con el fin de entender lo que ha pasa, cómo ha afectado a la organización y qué correctivos debe hacer para incorporar a su práctica actual (Cano, 2020).

Avanzar en la gestión de riesgos el marco del calidad, puede llevar a la organización a entrar en la zona de la “falsa sensación de seguridad”, donde el adversario es capaz desarrollar una inteligencia confiable sobre la dinámica de la organización, así como de la forma en que asegura los riesgos concretos de seguridad en sus diferentes productos y servicios. De esta forma, logra tener un cúmulo de información bien documentada y consistente desde donde puede estudiar rápidamente cómo crear la distracción y el engaño para crear la inestabilidad necesaria que le permita luego concretar su pivote de acción y desplegar el ataque concreto sobre un activo críticos específico (Cano, 2021).

Gestión de la seguridad y la ciberseguridad: desde el adversario

Cuando se cambia la perspectiva de la gestión de riesgos ahora desde el adversario, la organización debe mantener lo que sabe hacer frente a los riesgos y amenazas conocidas, y salir a explorar nuevas posibilidades para comprender mejor quién es su adversario y que capacidades tiene. Si bien esto no va limitar o cambiar las intenciones del atacante, si es viable crear una disuasión creíble que le permite moverse de un objetivo inicialmente previsto a otro (Martin, 2019).

Mientras la gestión de riesgos desde la víctima responde a una perspectiva mecánica de causa-efecto, la perspectiva desde el adversario es eminentemente sistémica, esto es, sensible al contexto, interconectado, interdependiente y con efectos en cascada. Es reconocer que el atacante desarrolla una mirada abierta y fina de la interacción y el acoplamiento de los diferentes elementos de la infraestructura, con el fin de producir el máximo daño con el mínimo de esfuerzo.

El adversario puede producir un evento adverso en el ciberespacio, como puede ser la liberación de código malicioso con capacidades inéditas: multiplataforma, polimórfico, cifrado, con mecanismos de autodestrucción (si es detectado) e hipercontagio, el cual llega a una infraestructura tecnológica (bien local o en la nube) donde se propaga de forma acelerada, y que termina por penetrar todos los nodos visibles desde dicha infraestructura, quedando activo en unos equipos y pasivo en otros, con el fin de darle confianza al equipo de atención de incidentes por el tratamiento del evento, e invisibilidad posterior al adversario sabiendo que tiene pivotes disponibles para validar el comportamiento de la red y poder concretar una acción más silenciosa, anónima e invisible al radar de los controles instalados (Forscey et al., 2022).

En este contexto, la gestión del riesgos debe salir a explorar el entorno, consultar los datos disponibles del monitoreo actual, utilizar algoritmos de inteligencia artificial no supervisados para encontrar anomalías, reconocer y reflexionar los pronósticos de seguridad disponibles a la fecha, capturar las alertas tempranas de riesgos emergentes y sobremanera ubicar las tensiones geopolíticas que son relevantes para el desarrollo de los negocios de la empresa (Reeves et al., 2022).

Con estos insumos la gestión de riesgos de seguridad y ciberseguridad deberá avanzar en:

• Detectar: alertas tempranas basadas en la identificación de señales débiles del entorno que se deberán cruzar con las tendencias consolidadas y allí encontrar espacios en blanco desde donde pueden avanzar los adversarios.
  
• Disuadir: Incorporando tecnología de blanco móvil o decepción con el fin de deteriorar la inteligencia previa del adversario y así aumentar su nivel de incierto, lo que obliga al agresor a repensar su estrategia frente a un objetivo inicial.
  
• Demorar: Creando zonas de distracción para el adversario, donde este pueda perder mucho tiempo tratando de penetrar la infraestructura o cambiarle las prioridades en su plan de ataque.
  
• Confundir: Cambiando la configuración de la infraestructura de forma dinámica, con el fin de crear mayor incierto en su modelo de riesgos y así, llevarlo a que pueda dar pasos en falso y exponer su identidad.
  
• Anticipar: Habiendo aplicado las etapas anteriores se tiene un marco de trabajo donde es viable ver la trayectoria y el movimiento del adversario en la infraestructura, lo que habilitar un espacio concreto para interceptarlo antes de que tenga éxito.

Gestión de riesgos de seguridad y ciberseguridad – Víctima y adversario

Si se establece una vista complementaria de las dos perspectivas de la gestión de riesgos, es necesario crear una zona de conversación convergente que permita tener voz y voto a los riesgos conocidos propios de la dinámica de la organización, así como para los riesgos emergentes. Esta zona la literatura la denomina diseño y análisis de escenarios. Un ejercicio de construcción colectiva donde la mirada está puesta no en los riesgos en sí mismos, sino en el contexto donde pueden ocurrir los eventos, para lo que se hace necesario reconocer los retos de la organización, los posibles adversarios y las buenas prácticas que se tienen a la fecha (Cano, 2020).

Desde la práctica de escenarios es posible convocar diferentes voces y perspectivas de los ejecutivos, de la gerencia táctica y el aseguramiento de la operación, como una vista consolidada que piensa en los posibles eventos y efectos que pueden tener para la organización. Desde esta perspectiva, se consolida una vista integral del riesgo que sale de la zona técnica y se traduce en posibilidades que terminan ocasionando impactos negativos en la organización. La ciberseguridad y la seguridad se traducen en narrativas que aumentan la consciencia situacional de la organización frente a un entorno cada vez más FANI: Frágil, Ansioso, No lineal e Incomprensible (Cascio, 2020).

Cuando se combinan las dos visiones: víctima y adversario, se potencia un estado vigilante (que puede alcanzarse en un grado variable) respecto de la comprensión y proyección de los riesgos y amenazas en el entorno cibernético y su evolución en el futuro próximo (Renaud & Ophoff, 2021). Esto es, una apropiación del riesgo a nivel corporativo, que liderado desde los ejecutivos del primer nivel logra permear la organización en sus diferentes niveles. Nada de esto se puede concretar, sin una apertura a ver las cosas distintas, sin incomodar los saberes previos y experimentar el incierto como insumo para aprender/desprender.

Conectar las dos visiones permite no sólo establecer que es un comportamiento normal y esperado de una plataforma tecnológica,  sino reconocer los comportamientos y acciones de las personas frente a una amenaza, con el fin de crear conciencia y precauciones frente a posibles eventos que puedan ser reconocidos como anormales. La participación de múltiples perfiles y experiencias en el desarrollo de los escenarios habilitan espacios de reflexión y proactividad que desmitifican el riesgo de seguridad y ciberseguridad, para situarlo en la cotidianidad de las operaciones.

Adelantar el diseño y análisis de escenarios es habilitar una plataforma de aprendizaje/desaprendizaje donde todas las perspectivas suman, todas posibilidades son permitidas, con el fin de construir, desde los objetivos y retos estratégicos de la compañía, el filtro requerido que defina el marco de trabajo y discusión relevante para aunar esfuerzos en la defensa de la empresa frente a posibles adversarios conocidos y desconocidos, así como frente a contextos de inestabilidad posibles y probables donde debe la organización debe trazar un rumbo en medio de un mar de incertidumbres (Cano, 2020).

Reflexiones finales

Adelantar la gestión de riesgos de seguridad y ciberseguridad no es un ejercicio que tiene una sola mirada. Es una dinámica que requiere no sólo la perspectiva tradicional de la víctima que se prepara para un incidente, sino el reto que implica salir de la zona cómoda de los estándares, y situarse en el territorio del adversario para aumentar la incertidumbre en su modelo de riesgos.

Si bien la gestión de riesgos en perspectiva del marco de trabajo identificar, proteger, detectar, responder, recuperar ha demostrado avances y logros sobresalientes en diferentes empresas a nivel global, se hace necesario movilizar los esfuerzos para complementar la vista desde las capacidades e intenciones del adversario, como una forma de mantener una postura vigilante y no solo reactiva, que impulse la dinámica empresarial y desarrolle las capacidades necesarias de acuerdo con el apetito de riesgo de la empresa.

De esta forma, es viable a través de la construcción de escenarios crear una ventana de aprendizaje, una “caja de arena” donde es posible experimentar y explorar posibilidades situadas en la dinámica de la organización, con el fin de aumentar la consciencia situacional cibernética (Renaud & Ophoff, 2021)  en la cotidianidad misma de la organización, sin sesgos tecnológicos o especializados, donde cada persona puede reconocer los impactos y los efectos de un evento adverso como parte de la forma como se deben entender y gestionar los riesgos de seguridad y control en el desarrollo de sus actividades.

Cuando se suman las dos perspectivas: la víctima y el adversario, la organización avanza en una posición de resiliencia organizacional, donde es capaz de definir sus umbrales de operación, reconoce cuál es su nivel de tolerancia al riesgo, qué tanta capacidad tiene para absorber la materialización de un evento adverso y sobremanera, cómo mantendrá las operaciones a pesar de haber sido impactado por evento adverso (Denyer, 2017). La preparación y exigencia para responder y recuperarse que se adquiere en la aplicación de los estándares y buenas prácticas, debe ser complementada con las capacidades necesarias para reconocer el adversario y enfrentarlo en su propio terreno.

Las organizaciones que quieran avanzar en medio de las tensiones actuales y enfrentar la incertidumbre propia del riesgo cibernético, no sólo deben atender las recomendaciones y exigencias de los estándares, sino abrirse a tomar riesgos de forma inteligente y calculada, lo que en el fondo implica “una capacidad para evaluar adecuadamente las probabilidades y posibilidades de la materialización de un evento no deseado y sopesarlo con las percepciones, teniendo en cuenta las alertas tempranas, las tendencias consolidadas y los mejores pronósticos, así como los aspectos emocionales que puedan influir en la decisión final”(Wucker, 2021).

 Referencias

Cai et al. (2016). Moving target defense: state of the art and characteristics. Frontiers of Information Technology & Electronic Engineering. 17(11). 1122-1153. http://dx.doi.org/10.1631/FITEE.1601321  

Cano, J. (2020). Repensando la práctica de la seguridad y la ciberseguridad en las organizaciones. Una revisión sistémico-cibernética. Global Strategy. Global Strategy Report No. 58. https://global-strategy.org/repensando-la-practica-de-la-seguridad-y-la-ciberseguridad-en-las-organizaciones-una-revision-sistemico-cibernetica/

Cano, J. (2021). La “falsa sensación de seguridad”. El reto de incomodar las certezas de los estándares y tratar de “domesticar” los inciertos. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. 82-95. https://doi.org/10.29236/sistemas.n159a6

Cascio, J. (2020). Facing the age of caos. Institute for the future. https://medium.com/@cascio/facing-the-age-of-chaos-b00687b1f51d  

Denyer, D. (2017). Organizational Resilience. A summary of academic evidence, business insights and new thinking. Report. BSI and Cranfield School of Management. https://www.cranfield.ac.uk/som/case-studies/organizational-resilience-a-summary-of-academic-evidence-business-insights-and-new-thinking

Forscey, D., Batema, J., Beecroft, N. & Woods, B. (2022). Systemic Cyber Risk: A Primer. Paper. Carnegie Endowment for International Peace. https://carnegieendowment.org/2022/03/07/systemic-cyber-risk-primer-pub-86531

Martin, P. (2019). The rules of security. Staying safe in a risky world. Oxford, UK.: Oxford Press.

NIST (2018). Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf  

Reeves, M., Ramaswamy, S. & O’Dea, A. (2022). Business Forecasts Are Reliably Wrong — Yet Still Valuable. Harvard Business Review. https://hbr.org/2022/03/business-forecasts-are-reliably-wrong-yet-still-valuable

Renaud, K. & Ophoff, J. (2021). A cyber situational awareness model to predict the implementation of cyber security controls and precautions by SMEs. Organizational Cybersecurity Journal: Practice, Process and People. DOI: 10.1108/OCJ-03-2021-0004

Wucker, M. (2021). You are what you risk. The new art and science of navegating an uncertain world. New York, USA: Pegasus Book