This post is also available in: Português Español

Las operaciones de seguridad digital de alta confiabilidad incorporan el factor humano como una capa esencial de defensa.

A finales del 2017, un trabajador de Maersk, el mayor conglomerado de transporte marítimo del mundo, vio cómo las pantallas de los computadores de repente se ponían negras y se bloqueaban irremediablemente.

Ocurrido debido a un malware muy avanzado que se aprovechó de los equipos de la empresa en Ucrania, que estaban sin los últimos Parches de seguridad de Microsoft Windows.

El gusano violó el sistema de tecnología de la empresa y bloqueó el acceso a todos los computadores y servidores en todo el mundo. Esto interrumpió las operaciones de envíos por varios días.

Este incidente le custó a Maersk nada menos que US $ 200 millones en ingresos perdidos, además de causar costos no cuantificados de bienes que no se pudieron rescatar y de esfuerzos para recuperarlos. Añadiéndole, una gran cantidad de clientes insatisfechos.

Lo que sucedido con Maersk es bastante común. En el 2015, cerca de 80 millones de datos de clientes fueron robados de Anthem porque un trabajador respondió inocentemente un correo electrónico de phishing. En el 2017, el Servicio Nacional de Salud del Reino Unido sufrió un ataque de ransomware que resultó en 19.000 compromisos cancelados, debido al uso de una versión desactualizada y sin parche del Microsoft Windows.

Ya en el 2019, los datos de 106 millones de clientes de Capital One fueron robados por causa de un firewall mal configurado.

Estos son solo algunos ejemplos, pues la lista continúa y no es pequeña.

Con la ciberseguridad en el tope de la agenda corporativa, ser víctima de una filtración catastrófica es un escenario temido de pesadilla.

En medio de la pandemia de COVID-19, con el aumento repentino del trabajo remoto, los crímenes digitales han aumentando drásticamente.

Cada vez más, los CEOs tienen la obligación de imprimir esfuerzos para evitar incidentes digitales, lo que nos lleva a la pregunta: ¿cómo?

Es común escuchar que: con el uso de tecnologías más avanzadas, pero aún así eso no habría impedido el incidente de Maersk, donde una pequeña falla humana (una actualización de software no instalada) terminó en consecuencias catastróficas.

Claramente la tecnología está en el foco de las inversiones de la industria y se espera que esos gastos sean de unos US $ 133 billones por año solo en el 2022. Pero, aunque escoger la tecnología correcta sea esencial, la mayoría de los incidentes se tratan de lagunas causadas por el factor humano, un problema persistente y muchas veces olvidado en la seguridad digital de la mayo parte de las organizaciones.

Si no se aborda la cuestión del factor humano, se convierte en un círculo vicioso. Cuando las empresas incorporan nuevas tecnologías, también añaden más personas y procesos.

Mientras eso continúe, las interacciones entre la tecnología, los procesos y las personas se acumulan, y el nivel de complejidad aumenta exponencialmente. En algún momento, esa complejidad sobrecarga la infraestructura de seguridad digital y opaca las amenazas que surgen, hasta que, sobrecarga los sistemas legados, la empresa se pone lenta en comparación a los cibercriminales, y ocurre el ataque.

Em consecuencia, la empresa busca un parche tecnológico para esa amenaza específica, y luego el ciclo se repite.

Operación de seguridad digital de alta confiabilidad

Cerrar la laguna del factor humano, incorporar nuevas acciones y el conocimiento colectivo como parte de la cultura y el curso normal de los negocios, no es una tarea pequeña, pero es la mejor defensa contra los ciberataques.

Existe una analogía para abordar este tipo de riesgo y aprovechar el factor humano como capa fundamental de defensa: la organización de alta confiabilidad (HRO), que puede ser definida como una organización que tiene un número notablemente bajo de percances, de forma consistente a lo largo de un período razonable y ejecuta tareas altamente complejas e peligrosas.

El concepto de HRO surgió de prácticas originadas hace más de 60 años con el Programa de Propulsión Nuclear Naval de los Estados Unidos, que reconoció la necesidad de tener prácticas organizacionales únicas para colocar un reactor nuclear extremamente complejo en un barco, en el fondo del océano, y operarlo con seguridad con una tripulación joven de marineros.

Eso significaba evitar la cultura militar tradicional que existió durante siglos: seguir órdenes, hacer lo que se pide y no hacer preguntas.

Tras la pérdida del transbordador espacial de la NASA, Columbia, el Consejo de Investigación de los accidentes consideró la marina nuclear estadounidense como el modelo más importante de una organización de alta confiabilidad.

Las ideas de HRO ganaron notoriedad como parte de la respuesta del sector energético a la creciente complejidad y a catástrofes como el desastre en Deepwater Horizon, y luego se extendieron a los campos de la salud, manufactura y seguridad digital.

Las HROs son diferentes a las no-HROs, en 3 formas específicas:

Atención

Las HROs muestran una alerta crónica – un estado de hipervigilancia ante las primeras señales de peligro.

Responsabilidad

Las HROs identifican problemas emergentes de forma temprana y responden rápidamente para interrumpir el desarrollo del incidente.

Capacidad de aprendizaje

Las HROs aprenden con cada evento y comparten el conocimiento rápidamente para mejorar el sistema.

En la marina nuclear de EUA, significa, que todo submarino que va hacia el mar representa las lecciones acumuladas de más de 6.200 años de operación de la planta del reactor.

Esas características de una HRO fueron bien estudiadas y caracterizadas, pero los pilares del programa no son tan comprendidos. Los pilares operacionales individuales, al aplicarse colectivamente, dan lugar a un rendimiento superior de una HRO.

Esos pilares son: formalidad, nivel de conocimiento, integridad, actitud inquisitiva y respaldo activo del equipo.

Operaciones de alta seguridad digital (HRCOs) emplean los mismos pilares HRO para cerrar la laguna del factor humano y añadir una capa adicional fundamental de ciberseguridad.

Hace tiempo que la seguridad digital dejó de ser responsabilidad exclusiva del departamento de TI, y ser responsabilidad de todos.

Pilares HRO y su aplicación en la seguridad digital

La aplicación de los 5 pilares de las organizaciones de alta confiabilidad puede ayudar a una organización a hacer que su operación de seguridad digital sea de alta confiabilidad.

Formalidad

• Las personas deben seguir procedimientos autorizados (no soluciones alternativas);
• Deben comunicarse de manera disciplinada para garantizar que la información sea consistente y confiable.

Aplicación en la HRCO

• Existen procesos para gerenciar identidades, cuentas e información confidencial
• Las reglas son claras sobre la razón de conferir un privilegio, quien es responsable y como es revisado.

Nivel de conocimiento

• Las personas no deben solamente entender lo que hacen, sino también por qué lo hacen;
• Aumentan continuamente su comprensión de los sistemas, procesos y peligros en su alrededor.

Aplicación en la HRCO:

• Los usuarios comprenden la facilidad con que las contraseñas pueden terminar comprometidas y el riesgo de acceso no autorizado;
• Todos usan contraseñas fuertes únicas, con seguridad de contraseñas que soporta cambios periódicos de contraseña.

Integridad

• Se puede confiar en que las personas realizarán lo que han mencionado hacer y lo que se espera de ellas;
• Se responsabilizan y también a otros.

Aplicación en la HRCO:

• Los trabajadores operan voluntariamente dentro de las políticas de seguridad y usan las herramientas según fueron diseñadas/deseadas;
• Lo hacen aunque cambie la forma en que trabajan (usando dispositivos provistos por la empresa, limitando downloads, el acceso, backups regulares, etc.).

Actitud inquisitiva

• Las personas se anticipan a los problemas y están atentas a las condiciones inusuales;
• Siempre se preguntan: ¿Qué podría salir mal? ¿Qué ha cambiado? ¿Qué podríamos estar olvidando?

Aplicación en la HRCO:

• Debido a las limitaciones de los filtros antivirus, existe una alerta crónica de los trabajadores con la validez de los correos electrónicos;
• Los funcionarios verifican las URLs antes de clicar en los links y sospechan de solicitudes de información de identificación personal.

Backup de equipo activo

• Las personas se cuidan activamente unas a las otras;
• Entienden que son parte de algo mayor que ellos mismos y que deben trabajar en conjunto para ser eficaces.

Aplicación en la HRCO:

• Al configurar el nuevo acceso al firewall, los miembros del equipo verifican y prueban las actualizaciones;
• Lo hacen de manera planificada y estructurada – no por desconfianza, sino que verifican para garantizar la integridad y precisión.

Vamos a considerar como una HRCO se parece en la práctica. Todos en una HRCO tienen un alto nivel de conocimiento. Entienden la facilidad con que las contraseñas pueden ser comprometidas y los riesgos de un acceso no autorizado, ya que reconocen que la ciberseguridad es responsabilidad de todos. Ellos leen y toman en serio los avisos que el departamento de seguridad digital envía todas las semanas.

Hay un nivel de formalidad en cómo los procesos de seguridad se gestionan, un protocolo claro para gestionar cuentas e información privilegiada, que solo funciona cuando está ligado a la integridad, la disposición de operar dentro de los protocolos de seguridad, aún cuando no sea conveniente de forma personal.

Esa formalidad también resalta cuando algo está fuera de lugar o es fuera de lo común, permitiendo una actitud dubitativa, que evita que los trabajadores hagan clic en un correo electrónico o URL cuestionable que parece sospechoso, como un ataque de phishing.

Además, quienes están en un HRCO siempre cuentan con un apoyo mutuo – backup activo del equipo – por lo tanto, al configurar el nuevo acceso al firewall, los miembros del equipo verifican y prueban las actualizaciones, no por desconfianza, sino para verificar su integridad y precisión.

Esos pilares pueden verse afectados por cada individuo de la organización y, por ende, servir como base para ayudarlos a transformarse en un HRCO.

Aunque las culturas usualmente se describan en términos colectivos o descriptivos, el impacto en los comportamientos individuales es la única forma en que realmente se podrá cambiar esa cultura.

El primer paso es desarrollar un conocimiento básico de cómo los individuos ven la cultura a su alrededor y lo que ellos consideran como cultura ideal.

En caso de que se vean lagunas importantes en el rendimiento de una cultura actualmente, pero exista un acompañamiento organizacional muy fuerte sobre como la cultura se pretende transformar, la batalla no está totalmente perdida.

Por otro lado, si el personal de primera línea y los directivos tienen opiniones muy diferentes sobre lo que es ideal, será difícil mudar a las prácticas HRCO hasta que se resuelva la discordia.

La comunidad de seguridad digital está despertando ante la enorme laguna del factor humano. En febrero de este año, el “elemento humano” fue el tema central de una importante conferencia de seguridad digital.

Las principales ideas emergentes son familiares: la tecnología por si sola es insuficiente, todo está cambiando de forma muy rápida, debemos aprovechar las prácticas organizacionales como una defensa adicional importante.

Incluso la mejor tecnología fallará o se hará obsoleta ante hacks cada vez más sofisticados. Los billones usados en gastos tecnológicos de ciberseguridad no resuelven el problema.

Aunque los protocolos y procedimientos fuertes sean imperativos, no pueden ser responsables en todos los escenarios.

Se recomienda que los directivos vuelvan a las lecciones de las HROs – organizaciones que fueron capaces de operar en entornos descentralizados y de alto riesgo, con un número de incidentes notablemente bajo – y comience su viaje de convertirse en un HRCO.

Incorporar comportamientos de HRCO ofrece un beneficio que no tiene sustitución: Cuando la tecnología y los procesos fallan, la intervención humana es lo único que se interpone entre usted y un ciberataque.

Vía: MITSloan.

This post is also available in: Português Español