El sistema inmunológico de la ciberseguridad

Archivado en: Columnistas · José Antonio Lagos
| miércoles, 26 de octubre de 2022, 09:51

Joseu0301 Antonio Lagos

El sistema inmunológico del ser humano es un mecanismo de defensa tan complejo como potente a la vez. Su función es defender el cuerpo de organismos que causan enfermedades, como virus y bacterias. Este se activa suministrado dosis de un antígeno, como virus vivos debilitados o muertos, para activar la "memoria" del sistema, la que le permite al cuerpo reaccionar rápida y eficientemente a exposiciones futuras.

Si llevamos este ejemplo a la ciberseguridad, este es un mecanismo de protección para defender a la organización de agentes patógenos o cibercriminales que introducen virus, malware, ransomware u otra amenaza, la que logra materializarse, gracias a la existencia de vulnerabilidades de la organización.

Los incidentes de ciberseguridad son aquellas “pequeñas dosis de antígeno”, que activan la memoria de la organización, y que, al parecer, el sistema solo logra aprender una vez que los hechos ocurren, cuyo sesgo de optimismo o ilusión de control no permite visualizar lo cerca que están las organizaciones de sufrir un incidente de ciberseguridad.

Estas se encuentran a solo un clic de ser víctimas de un incidente de ciberseguridad, provocados en un 90% por errores involuntarios o no forzados de las personas, y por delitos planificados, producto de la existencia de insiders dentro de la organización.

El gran desafío para las organizaciones hoy, considerando las turbulencias del mercado, los cambios geopolíticos, cambio climático y tecnológicos, con una creciente disrupción en la tecnología y la creación de nuevas plataformas, es generar un sistema inmunológico que permita enfrentar las amenazas del ciberespacio y proteger los activos digitales que generan valor.

¿Qué debería incorporar este sistema inmunológico como ciberdefensa? Las organizaciones deben desarrollar una gobernabilidad en ciberseguridad, que considere un modelo adecuado de tres líneas de defensa, y cuente con una definición clara de roles y responsabilidades, a nivel de directorio y administración. Asimismo, debe contar con una estrategia y gestión de riesgos, que implique definir los activos de valor a proteger y las actividades de ciberseguridad que contribuirán al logro de los objetivos de negocio, al tiempo que se implemente un framework de control. En tanto, el modelo de gestión de riesgos debe definir el apetito al riesgo en ciberseguridad, los límites de tolerancia y la capacidad de absorción del riesgos, elementos fundamentales, al momento de definir las técnicas de mitigación de riesgo.

Junto con ello, las organizaciones deben iniciar una transformación cultural en ciberseguridad, que permita cambiar el mind set de los comportamiento adecuados y requeridos, para que cada colaborador sea un agente de protección. Y poner el foco en generar capacidades adaptativas, como la gestión de vulnerabilidades, inteligencia de amenazas, análisis forense, gestión de riesgos, entre otras, más que en los Framework de Control, como ISO 27.00X, NIST o CIS 18.

La tecnología, en este aspecto, juega un rol fundamental, pero no se trata de incorporar tecnología por hacerlo. Los productos que se adquieran, como Firewall, IDS, IPS, WAF, DLP, EDR, SIEM u otros, deben ser parametrizados correctamente, con un enfoque de reglas de negocios y casos de uso, que respondan al enfoque de riesgos de la empresa.

Un aspecto importante a considerar es la deuda técnica en ciberseguridad, que consiste en tratar de saldar la deuda generada años anteriores en la materia. Para ello, se requiere instaurar una práctica que incorpore la ciberseguridad desde el inicio de los proyectos, o implementar una cultura de DevSecOps, enfoque que aborda la cultura, la automatización y el diseño de plataformas, incorporando la seguridad como una responsabilidad compartida en el ciclo de vida TI.

Finalmente, es preciso definir un modelo de cibercrisis y resiliencia, el que en base a simulaciones genere las capacidades necesarias que respondan a la materialización de riesgos, la detección temprana, el análisis causa raíz, recuperación de la reputación perdida, lecciones aprendidas y restablecimiento a la normalidad.


José Antonio Lagos

Profesor UEjecutivos

Facultad de Economía y Negocios

Universidad de Chile

europapress