Cuando su organización se convierte en el centro de las noticias negativas, es fundamental responder de manera eficaz y estratégica para minimizar los daños y reconstruir la confianza de las partes interesadas. Aprender de estas experiencias y planificar para prevenir futuros incidentes son lecciones fundamentales. En nuestra industria, las fallas de seguridad pueden ser catastróficas cuando las organizaciones no pueden funcionar, como se vio en el reciente incidente de CrowdStrike. A pesar de muchos éxitos, CrowdStrike ha enfrentado múltiples episodios de críticas en el pasado, incluso durante la investigación del hackeo del Comité Nacional Demócrata de 2016 por atribuir prematuramente el ataque a Rusia. Más recientemente, una actualización defectuosa de su plataforma Falcon provocó fallas generalizadas del sistema que afectaron a entidades como el NHS, HSBC y varios aeropuertos del Reino Unido, y las 500 principales empresas estadounidenses sufrieron pérdidas estimadas en $5.4 mil millones, sin incluir a Microsoft. La gente suele llegar a la conclusión de que cada problema es un problema de seguridad, asumiendo que debe haber un «malo» involucrado. Pero, ¿qué queremos decir exactamente con un problema de seguridad? ¿Es un problema de seguridad solo si hay un actor malicioso? Esta mentalidad es contraproducente para los equipos de seguridad y no ayuda a las empresas a gestionar los riesgos de seguridad de la información. Afecta a la forma en que abordan la seguridad dentro de su cultura y con sus empleados. Los profesionales de la ciberseguridad se enfrentan a muchos desafíos Los profesionales de la ciberseguridad se enfrentan a numerosos desafíos más allá de sus tareas diarias, como la escasez de habilidades, las limitaciones de tiempo y los presupuestos o la formación insuficientes. En el Reino Unido, esta brecha de habilidades es evidente, ya que la mitad de las empresas dependen de una sola persona para la ciberseguridad. Incluso las organizaciones más grandes rara vez tienen equipos de más de cinco personas. Los profesionales de la ciberseguridad tienen dificultades para actualizar sus habilidades o contratar talento debido a la falta de personal, financiación y presión. Entre el 53% de las empresas del sector cibernético con vacantes desde 2021, el 67% informó tener dificultades para cubrir los puestos, en consonancia con los hallazgos anteriores del estudio Ipsos Cyber ​​Security Skills in the UK Labour Market 2022. Los principales desafíos son la falta de candidatos con experiencia técnica y la oferta de salarios o beneficios bajos en comparación con las demandas de los puestos. Los profesionales de la ciberseguridad se ven abrumados por su carga de trabajo, en parte debido a las soluciones comercializadas como soluciones integrales que simplemente se suman a sus responsabilidades de gestión. Los equipos de ciberseguridad se esfuerzan constantemente por hacer más con menos. La mitad de los profesionales de la ciberseguridad citan su carga de trabajo diaria como un importante factor de estrés, mientras que el 30% pierde el sueño por la amenaza de los ciberataques. La comunidad de ciberseguridad también se enfrenta a una enorme presión para mantener una reputación impecable, lo que pone de relieve las altas exigencias y expectativas que se les imponen. La mayoría de los equipos están tan preocupados por las amenazas inmediatas que carecen del ancho de banda para anticipar los desafíos futuros. Para agravar este problema, tenemos que depender de unos pocos gigantes tecnológicos: Microsoft domina el software de oficina, aunque también es líder en almacenamiento en la nube junto con Amazon, lo que deja a las organizaciones con opciones limitadas. La dependencia excesiva de proveedores importantes como Microsoft o Amazon puede generar varios desafíos para las organizaciones, como la dependencia de un proveedor, la reducción del poder de negociación y el aumento de los riesgos de seguridad. También puede sofocar la innovación y limitar las opciones de personalización debido a la naturaleza estandarizada de estas plataformas. La dependencia de un solo proveedor aumenta la vulnerabilidad a las interrupciones del servicio y puede dar lugar a aumentos de costes con el tiempo. Además, las organizaciones pueden enfrentarse a dificultades para garantizar la privacidad de los datos y el cumplimiento normativo en diferentes jurisdicciones. Para mitigar estos riesgos, es recomendable que las organizaciones diversifiquen su conjunto de tecnologías y adopten una estrategia de múltiples proveedores para mejorar la flexibilidad y la resiliencia. Los equipos de seguridad no solo están ahí para combatir a los actores maliciosos; desempeñan un papel vital en la resolución de incidentes de seguridad y la mitigación de problemas que surgen de una capacitación inadecuada o una cultura organizacional deficiente. Centrarse únicamente en asignar culpas socava las prácticas de seguridad efectivas y crea un entorno tóxico. Si el objetivo es encontrar chivos expiatorios, disuadirá a las personas con talento de querer trabajar en un entorno tan punitivo. En cambio, deberíamos fomentar una cultura de responsabilidad y colaboración, donde los equipos de seguridad estén capacitados para proteger y educar en lugar de simplemente reaccionar y defender. El 50% de los profesionales cibernéticos dijo que sus dos principales fuentes de estrés son su carga de trabajo diaria, mientras que el 30% no puede dormir por las noches pensando en sufrir un ciberataque. ¿Qué constituye un incidente cibernético? Por supuesto, el incidente de CrowdStrike se clasificó inicialmente como un problema de seguridad no cibernética, pero debe considerarse como tal porque resultó en que uno o más sistemas de información dejaran de estar disponibles. A menudo, los debates sobre ciberseguridad se centran estrictamente en las violaciones de datos y la información personal, mientras que otros solo consideran las fallas del sistema de TI. Lo que necesitamos es una definición integral que abarque todos estos aspectos. Cualquier interrupción no planificada del sistema que interrumpa el acceso legítimo se califica como un incidente de información. Por lo tanto, si redefinimos «incidente cibernético» como «incidente de información», capturamos con precisión la naturaleza de la situación de CrowdStrike. La creencia de que un incidente de ciberseguridad requiere un actor malicioso pasa por alto el impacto de errores internos accidentales o configuraciones incorrectas por parte de nuestros equipos de TI o socios de la cadena de suministro. Al obsesionarnos con el término «cibernético», corremos el riesgo de ignorar el alcance más amplio de las amenazas y reducir nuestra eficacia en el manejo de incidentes. Debemos reconocer que la ciberseguridad abarca tanto los ataques externos como los contratiempos internos, y adaptar nuestras estrategias en consecuencia para garantizar una protección integral. Las organizaciones pueden ver una superposición entre los equipos de gestión de la información y los cibernéticos porque los marcos de seguridad cibernética, como los del NCSC y el NIST, abarcan más que solo TI. Estos marcos incluyen elementos como las personas, la propiedad, la continuidad del negocio y la información, tradicionalmente vistos como parte de la seguridad de la información. Etiquetar todos estos elementos como «cibernéticos» crea desafíos para los equipos de TI, que pueden carecer de las habilidades para gestionar áreas como las auditorías de garantía de la cadena de suministro. Es fundamental que las organizaciones reconozcan esta distinción y se aseguren de que los equipos cibernéticos comprendan claramente sus responsabilidades para evitar invadir los roles que tradicionalmente manejan los equipos de gestión de la información. Si hay confusión sobre quién gestiona la seguridad cibernética y de la información, la dirección debe intervenir para aclarar los roles y proporcionar orientación. No es únicamente responsabilidad de los equipos cibernéticos prevenir las violaciones de seguridad; la alta dirección debe asegurarse de que todo el personal se adhiera a las mejores prácticas de seguridad. Microsoft destacó recientemente este problema al hacer de la seguridad su máxima prioridad para cada empleado, tras años de críticas y recientes reprimendas severas del gobierno de los EE. UU., que etiquetó a Microsoft como una «amenaza a la seguridad nacional». Integración de proveedores Aunque la última historia se centra en CrowdStrike, CrowdStrike y Microsoft están interconectados en el ámbito de la seguridad cibernética a través de sus soluciones de seguridad y asociaciones complementarias. CrowdStrike proporciona protección avanzada de puntos finales e inteligencia de amenazas, mientras que Microsoft ofrece una gama de herramientas de seguridad como Microsoft Defender. Sus productos a menudo se integran para crear una estrategia de defensa en capas para las organizaciones. Las recientes violaciones de seguridad de Microsoft han incluido problemas importantes como la exposición de datos confidenciales y vulnerabilidades en sus sistemas. En particular, un fallo crítico en Microsoft Exchange Server, explotado por atacantes, provocó violaciones generalizadas de datos que afectaron a numerosas organizaciones. Además, también se han atacado vulnerabilidades en los servicios en la nube de Microsoft, lo que ha suscitado inquietudes sobre la protección de datos y la seguridad general. Estos incidentes han subrayado la necesidad de mejorar las medidas de seguridad y han llevado a Microsoft a priorizar la seguridad en todos sus productos y servicios. Organizaciones como Microsoft y CrowdStrike, que tienen una influencia significativa en los sistemas de seguridad globales, deben mantener un estándar de seguridad intachable. Dado su papel central en la protección de innumerables sistemas, sus procesos y procedimientos deben diseñarse rigurosamente para evitar violaciones e incidentes. Estas empresas deben cumplir los más altos estándares de responsabilidad y excelencia, lo que refleja la naturaleza crítica de sus responsabilidades de seguridad. Continuidad empresarial y la nube Durante años, nos han asegurado que la nube ofrece una seguridad y una resiliencia superiores en comparación con las soluciones internas, lo que nos ha llevado a renunciar al control sobre nuestra propia resiliencia. Cuando ocurren incidentes como el reciente fallo de CrowdStrike, surge una pregunta crítica: ¿hemos incorporado estos escenarios en nuestra planificación de resiliencia y continuidad empresarial? ¿O hemos depositado erróneamente una fe ciega en la infalibilidad de la nube, asumiendo que siempre será confiable? Todas las organizaciones deberían volver a sus planes de continuidad empresarial y asegurarse de que incluyan una planificación de resiliencia para incidentes como este. La promesa inicial de la nube era tentadora: menores costos, mayor agilidad y mayor innovación. Sin embargo, la realidad está pintando un panorama diferente. El 43% de los líderes de TI descubrió que trasladar aplicaciones y datos a la nube era más costoso de lo esperado, según una encuesta de Citrix. Repatriación de la nube: este es el nombre que se le da al cambio que estamos viendo en las organizaciones que están trayendo sus servicios de vuelta a la empresa para poder gestionarlos por sí mismas. Nuestra planificación de continuidad empresarial debe ser lo suficientemente sólida como para abordar posibles fallas y evitar la falacia de asumir que los principales proveedores de la nube son infalibles o inherentemente superiores. Confiar en la suposición de que la seguridad está incorporada automáticamente en nuestras soluciones de nube puede ser engañoso, al igual que las experiencias pasadas con los equipos de seguridad. Debemos evaluar críticamente y prepararnos para las vulnerabilidades, en lugar de asumir una fe ciega en la confiabilidad de la nube. No culpe a los equipos cibernéticos por problemas más amplios No culpemos a la profesión de seguridad cibernética por las fallas de las grandes tecnológicas, donde muchas pueden carecer de una profunda experiencia en seguridad cibernética. Recuerde, las grandes empresas tecnológicas priorizan las ganancias, y sus sistemas complejos, compuestos por grandes cantidades de código, siempre son susceptibles a vulnerabilidades y errores de codificación que pueden causar interrupciones. Es nuestra responsabilidad como profesionales de la seguridad cibernética asegurar que nuestra resiliencia interna sea lo suficientemente fuerte como para manejar tales incidentes. Si bien esto es un desafío dada nuestra dependencia de estos proveedores, es esencial mantener defensas internas rigurosas. Los profesionales de la seguridad cibernética a menudo no son reconocidos por sus éxitos y solo se los nota cuando surgen problemas. Para mejorar nuestra visibilidad y percepción, debemos mejorar la forma en que nos presentamos e integrarnos de manera más efectiva en el negocio. El estereotipo de los equipos de seguridad cibernética como aislados y defensivos se debe en parte a la culpa y las críticas frecuentes que enfrentan cuando ocurren incidentes. Muchos aspectos de lo que ahora se considera «cibernético» están fuera del control directo de la mayoría de los equipos de seguridad cibernética, pero a menudo se los responsabiliza injustamente y se los castiga por problemas que están fuera de su influencia. Un liderazgo eficaz es crucial para definir responsabilidades claras dentro de nuestros equipos y garantizar que los líderes superiores comprendan lo que nuestros equipos de seguridad cibernética están comunicando. El liderazgo marca la pauta y las prácticas de seguridad cibernética siguen esta guía. Los líderes deben estar bien versados ​​en los riesgos clave de seguridad cibernética y colaborar activamente con sus equipos para aclarar las funciones en la gestión y mitigación de riesgos. Es esencial que el liderazgo comprenda tanto los matices del riesgo cibernético como las implicaciones comerciales, mientras que los profesionales de la seguridad cibernética deben comunicarse de manera más eficaz en términos de riesgo comercial. A menudo, los líderes superiores tienen dificultades para comprender el impacto más amplio y pueden no reconocer que algunas cuestiones requieren decisiones que están fuera del control del equipo cibernético. La seguridad cibernética debe integrarse en todos los aspectos de la empresa, en lugar de verse como una preocupación periférica.