Existen numerosos paralelismos entre las fuerzas armadas y la ciberseguridad. Las habilidades que los miembros de las fuerzas armadas utilizan cada día -desde perfeccionar su conocimiento de la situación hasta cultivar una atención excepcional a los detalles- son igualmente críticas para navegar por un panorama de amenazas que se encuentra en constante evolución. Y muchas de estas lecciones aprendidas en el campo de batalla pueden ser aplicadas fácilmente por los equipos de seguridad para proteger más eficazmente a una organización de los ciberataques.
El actual -y complejo- panorama de ciberamenazas
La complejidad no se limita al ámbito militar. Al igual que las fuerzas armadas, la comunidad de ciberdefensa también se enfrenta a un panorama de amenazas complejo, volátil y a menudo incierto.
Los ciberdelincuentes avanzan con frecuencia en sus planes para eludir los mecanismos de defensa y ampliar sus operaciones. El resultado es que las amenazas más complejas y sofisticadas se están convirtiendo en omnipresentes, y no hay ningún sector que sea inmune. Por ejemplo, los ataques de ransomware siguen volviéndose más agresivos, con atacantes que introducen nuevas cepas y actualizan, mejoran y reutilizan las antiguas. Según el informe Threat Landscape del primer semestre de 2022 de FortiGuard Labs, este equipo identificó 10.666 nuevas variantes de ransomware en este periodo, frente a las 5.400 del segundo semestre de 2021. Incluso las superficies de ataque, como los dispositivos en el perímetro y las tecnologías operativas (OT), que antes eran menos populares entre los atacantes, se están convirtiendo cada vez más en objetivos atractivos.
Para defender adecuadamente a las organizaciones de las ciberamenazas, los equipos de seguridad necesitan primero una imagen clara de su entorno y de los factores externos -como los requisitos regulatorios- que afectan a las tecnologías que adquieren y a los procesos que aplican. Los CISO y sus equipos también deben crear resiliencia, lo que les exige evaluar periódicamente su nivel de riesgo y asegurarse de que cuentan con las estrategias de mitigación adecuadas.
Desarrollar la resiliencia comprendiendo la conexión entre riesgo y estrategia
Desarrollar la resiliencia frente a entornos empresariales complejos e inciertos requiere comprender el vínculo entre riesgo y estrategia. Esto significa entender los riesgos a los que se enfrenta una organización y diseñar una estrategia eficaz para gestionarlos.
La identificación y evaluación de riesgos son dos de los componentes más cruciales para su gestión, ya sea en el campo de batalla o protegiendo un entorno informático. Los riesgos asociados a la ciberseguridad cambian constantemente. Por ejemplo, la modificación de los procedimientos de la empresa o la introducción de nuevas tecnologías pueden alterar significativamente los riesgos de una empresa. Hay que aprovechar estas oportunidades para ajustar adecuadamente la evaluación general de riesgos de la organización. Para garantizar una seguridad eficaz, los procedimientos deben evaluarse continuamente para detectar deficiencias y mejorarlos. Las evaluaciones de riesgos también son fundamentales porque proporcionan información sobre dónde existen vulnerabilidades en la actualidad y qué amenazas se vislumbran en el horizonte.
Organizaciones de todas las formas y tamaños deberían emular a los militares a la hora de hacer uso de la inteligencia. Recopilar y revisar regularmente la inteligencia sobre amenazas es otra parte vital para comprender su riesgo y los incidentes potenciales que podrían afectar a la organización, y hoy en día es más importante que nunca.
Sólo después de entender a qué se enfrenta la empresa se podrá crear un plan eficaz para adelantarse a los adversarios. Además de recopilar inteligencia sobre amenazas, es esencial desarrollar un método para analizar los datos procedentes de fuentes específicas y un mecanismo para aplicar la inteligencia táctica obtenida del análisis.
Sin embargo, aunque la evaluación de los riesgos y la creación de un plan para mitigarlos son sin duda componentes esenciales de la creación de una postura de seguridad sólida, la planificación de la estrategia en sí -los juegos de guerra y las pruebas de estrés- es quizás la pieza más crucial del proceso.
Planificar (y probar) lo es todo
Como declaró el ex presidente de los Estados Unidos Dwight D. Eisenhower, «Al prepararme para la batalla, siempre he descubierto que los planes son inútiles, pero la planificación es indispensable».
Poner a prueba el plan ayuda al equipo a identificar y comprender las áreas de riesgo que aún hay que tener en cuenta, y también pone de relieve qué partes del plan funcionan bien y cuáles podrían beneficiarse de ajustes adicionales. También es el momento ideal para plantearse preguntas del tipo «¿Y si…?» y trabajar con distintos escenarios. Si se identifican varios escenarios de riesgo y se ponen en práctica en equipo en un entorno seguro frente a fallos, los analistas sabrán cómo responder cuando se produzca un incidente.
Además de implicar al propio equipo en la planificación y los ejercicios de prueba, hay que asegurarse de incluir también a otros miembros de la organización que deban participar en la respuesta a un incidente cibernético. Aunque es posible que estas partes afectadas no estén en primera línea a la hora de gestionar un incidente, es importante pensar en quién más dentro de la organización puede tener que tomar medidas en relación con una brecha. Esto podría incluir equipos tales como relaciones públicas y marketing, legal y recursos humanos.
Las múltiples sinergias entre el servicio militar y la ciberseguridad
Existen muchos paralelismos entre el servicio militar y la ciberseguridad. Estas similitudes pueden utilizarse no sólo para evaluar el riesgo o crear una estrategia de seguridad sólida; también pueden ayudar a abordar la actual escasez de talento en ciberseguridad. A la hora de incorporar nuevo talento, una opción es tener en cuenta a exmilitares o militares en la reserva.
Los militares son solucionadores de problemas naturales que entienden la importancia de mantener una postura de defensa fuerte y seguir la cadena de mando cuando se trata de una amenaza activa. Los militares de hoy en día también son muy técnicos. Muchos de ellos fueron entrenados para utilizar algunas de las tecnologías más sofisticadas que se ejecutan en algunas de las redes más específicas del mundo. Por ello, su experiencia práctica y sobre el terreno se traslada fácilmente al campo de batalla de la ciberseguridad.
Pablo García Perez, Manager Systems Engineer, Fortinet
