Artículos

Un acercamiento realista a la ciberseguridad significa evitar la trampa de complacencia de los cuasi-accidentes

¿Cuántas veces hemos escuchado hablar de gente que no presta atención a las alertas sobre daños potenciales causados por desastres naturales o humanos solo para resultar afectados negativamente por ellos? Las investigadoras Robin Dillon-Merrill y Catherine Tinsley, de la Escuela de Economía McDonough de la Universidad de Georgetown, observaron este fenómeno en un informe llamado “Cómo los cuasi-accidentes amplifican o atenúan la toma riesgosa de decisiones”. Todo se reduce al hecho de que tendemos a ver los resultados como indicadores de éxito o fracaso. En el caso de un cuasi-accidente, el resultado es positivo, así que nuestra tendencia natural es a considerarlo un éxito. Con suficientes resultados ‘exitosos’ la complacencia puede empezar a arraigarse, y con ella, un falso sentido de seguridad; las experiencias pasadas influyen en las valoraciones individuales de riesgo y nos llevan a tomar decisiones más riesgosas. Como ejemplo, el informe cita el huracán Katrina y cómo la ‘fatiga de huracán’ se había afianzado, haciendo que muchos individuos no prestaran atención a las alertas de evacuación.

Sin embargo, las investigadoras también encuentran que si cambiamos nuestra perspectiva y vemos el resultado de un cuasi-accidente como un cuasi-fracaso, entonces podemos actuar para minimizar el riesgo en caso de desastre. Para hacer esto tenemos que privilegiar la seguridad. Los más importantes fabricantes de automóviles tienen un largo historial de hacer esto exitosamente. Desde que introdujo sus pruebas de choque en 1995, el Instituto de Seguros para la Seguridad en Carretera reporta que la mayoría de vehículos probados han mejorado su calificación de pobre a marginal a buena (la máxima nota). Los fabricantes de automóviles demuestran que si identificamos eventos de cuasi-accidente como cuasi-fracasos y luego los usamos como oportunidad para reconocer y corregir condiciones peligrosas, podemos reducir activamente el riesgo y avanzar hacia el verdadero éxito.

Este mismo acercamiento se debería aplicar a la ciberseguridad en cuanto a que la complacencia no solo opaca nuestra habilidad para examinar el peligro, sino que de hecho agrava el riesgo al crear vulnerabilidades. Esto sucede debido a que la seguridad es temporal. Usted podría estar seguro hoy, pero, ¿y mañana? Los modelos de negocios están evolucionando, los vectores de ataque están evolucionando y los atacantes evolucionan también. Usted se encuentra confrontado a atacantes persistentes y astutos que aprovechan los ambientes dinámicos y las brechas de seguridad para penetrar sus redes.

Como profesional de la seguridad que se enfrenta a esta realidad, ahora es más importante que nunca poder identificar eventos de cuasi-accidentes y tomar cartas en el asunto, convirtiéndolos en oportunidades para mejorar la seguridad. A continuación presentamos unas cuantas consideraciones clave para evaluar tecnologías y procesos para apoyar este esfuerzo.

Abierto. Para manejar ambientes dinámicos, usted necesita acceso a una inteligencia global, con el contexto adecuado, para identificar vulnerabilidades y actuar de inmediato. Una arquitectura abierta le permite compartir la más reciente inteligencia sobre amenazas y protecciones en toda una vasta comunidad de usuarios para proveer inmunidad colectiva. Esta también le permite integrarse fácilmente con otras capas de defensas de seguridad a medida que su ambiente informático y sus requerimientos de negocio cambian. 

Integrado. Para eliminar las brechas de seguridad que los atacantes explotan, usted requiere de tecnologías que trabajen en conjunto para asegurar las redes, extremos, ambientes virtuales, centros de datos y servicios móviles. Sea cual sea el factor de forma que su negocio requiere —físico, virtual, de nube o servicios— busque soluciones que le permitan mejorar los controles de seguridad con gestión de políticas centrales, monitoreo y ejecución distribuida de políticas.

Generalizado. Las políticas y controles son importantes para reducir el área superficial de un ataque, pero las amenazas todavía logran superarlos. Dados los ataques sofisticados y maliciosos de hoy en día, usted requiere defensas que aborden el continuo de ataque completo: antes de que ocurra el ataque, durante el tiempo en que se desarrolla y aún después de que empiece a dañar sistemas. Usted también debe abordar todos los vectores de ataque, incluidos red, extremo, móvil, virtual, e-mail y web. La protección generalizada es la única manera de detectar, comprender y detener malware singularizado y amenazas persistentes avanzadas, y evitar los efectos dañinos constantes de un ataque de larga duración bien arraigado.

Continuo. Los ataques avanzados no ocurren en un único punto en el tiempo; son continuos y requieren escrutinio continuo. Una infraestructura de seguridad basada en el concepto de vigilancia, que pueda agregar y correlacionar datos de toda la red extendida con patrones extendidos e inteligencia global de ataque, le permite discernir entre ataques activos y simple ruido de fondo. Esto le permite concentrarse rápidamente en un ataque malicioso, actuar para detener la amenaza y usar esa inteligencia contra futuros ataques.

Hay muchas cosas que podemos entender acerca de nuestro ambiente y atacantes para identificar cuasi-accidentes, y corregir las condiciones peligrosas es un acercamiento realista a la seguridad para ver el cuasi-accidente como lo que realmente es: un cuasi-fracaso. Con esta perspectiva usted puede evitar la trampa —y riesgo— de la complacencia y obtener una seguridad más efectiva.