En ciberseguridad tenemos la percepción de que debemos someternos a un nivel de escrutinio más alto que otros. Se espera que seamos el estándar de oro: todo un nivel de perfeccionismo que es inalcanzable. Entonces, ¿qué sucede cuando una empresa de seguridad cibernética comete un simple error? CrowdStrike puede considerarse un caso de estudio de esto. Recuerdo haber leído la lectura técnica y era tan «simple» como agregar un campo adicional a una plantilla y eso fue lo que falló todo. Sin embargo, supongo que este no fue un simple caso de falla de un caso de prueba, sino probablemente una serie de eventos que resultaron en un problema global importante. A veces esto se llama el modelo del queso suizo, donde un conjunto de fallas o pruebas fallan y todos los agujeros en el queso se alinean permitiendo que ocurra un evento. Pero debemos aceptar que sucedió, y esto se debe a que nunca podremos eliminar realmente el riesgo en la tecnología: cuanto antes cambiemos nuestra percepción de esto, antes podremos estar preparados para manejar incidentes futuros de manera efectiva o, lo que es más importante, comprender los riesgos involucrados, como sea. improbables que sean. Reconocer la naturaleza sistémica de los riesgos La interrupción de CrowdStrike realmente resaltó la pregunta: ¿nos hemos vuelto demasiado dependientes de empresas de tecnología que dependen críticamente unas de otras en un gran sistema? La razón por la que utilizamos todos estos proveedores centralizados de nube y SaaS es que los beneficios a menudo superan los riesgos. Pero si uno de estos grandes proveedores experimenta un incidente, podría tener un impacto generalizado en muchas organizaciones que dependen de sus servicios. Esto puede crear una dinámica de «demasiado grande para quebrar», como en el sector financiero, donde el fracaso de un actor importante podría tener efectos en cascada. He descubierto que, en general, las personas entienden bien los riesgos que les son personales. Todos sabemos que cruzar una calle muy transitada en hora pico es riesgoso, pero mitigamos ese riesgo utilizando áreas de cruce designadas. Pero, como seres humanos, somos malos para comprender los grandes problemas sistémicos que enfrentamos de la misma manera, y que potencialmente estamos sobrecargando todo este riesgo en un puñado de organizaciones. ¿Es hora de empezar a diversificar nuestras pilas de tecnología y no poner todos los huevos en una sola canasta? El riesgo cero no es alcanzable. ¡Seamos honestos con nosotros mismos! Por mucho que a usted le gustaría pensar que se pueden eliminar todos los riesgos, nosotros no podemos. Necesitamos ser realistas acerca del riesgo; de lo contrario, las organizaciones gastarán dinero y tiempo infinitos en mitigar el riesgo en los controles de seguridad, y eso no es práctico ni pragmático. Si terminas codificando hasta que las vacas regresen a casa, no se publicará nada. La atención debería centrarse en reducir el riesgo a un nivel razonable y manejable, en lugar de esforzarse por lograr un riesgo absolutamente cero. Siempre habrá algún nivel que deba gestionarse. Trabajé en el sector ferroviario del Reino Unido y existía un concepto llamado Tan bajo como razonablemente practicable. Utilizo este enfoque hoy y me ha resultado muy útil. Sea transparente sobre los riesgos residuales Ser sincero sobre el hecho de que algunos riesgos permanecerán, incluso después de los esfuerzos de mitigación, es importante para establecer expectativas realistas con las partes interesadas y los altos directivos. No intente engañar a nadie y decir que el riesgo de su organización será cero; debe ser transparente con sus partes interesadas sobre el desempeño de la función o con qué está trabajando. No puedes sentarte ahí y decir que todo está bien cuando no es así y darle a alguien una mala sorpresa si las cosas van mal. La transparencia no sólo es importante si se produce un incidente; en muchos casos, es incluso más importante en la prevención del incidente en sí. Personalmente, creo que CrowdStrike hizo todo lo que pudo para responder bien al incidente. Fueron abiertos y honestos, se comunicaron claramente con los clientes y las partes interesadas y pusieron muchos recursos y esfuerzos en relaciones públicas, gestión de relaciones y, fundamentalmente, ayuda técnica. Puede ver esto en las actualizaciones constantes y los consejos de solución publicados en línea. Pero no importa lo que haga una organización, nunca podrá eliminar realmente el riesgo en sus sistemas y prometerlo al mundo. La clave es encontrar el equilibrio adecuado. Es fundamental mantener las medidas de seguridad y la respuesta a incidentes simples y fáciles de implementar; de lo contrario, es probable que se descuiden. Y, al mismo tiempo, las organizaciones deben ser lo suficientemente transparentes para mantener la confianza, gestionar los riesgos a un nivel aceptable e implementar soluciones prácticas que puedan seguirse de manera consistente.