Por: Rafael Chávez
Regional Sales Manager para Sourcefire de Cisco México
La analogía entre el deporte y los negocios se hace frecuentemente, pero mientras veía los partidos amistosos de la selección nacional, previos a la Copa del Mundo, me llamó la atención las similitudes que existen entre el fútbol y la seguridad de TI.
En muchos sentidos, el Oficial Principal de Seguridad de la Información (CISO) en una empresa tiene un trabajo similar a la de cualquier entrenador que va al mundial con su equipo a Brasil, preparando a su equipo para lo que sea que su adversario le lance.
La analogía continúa como lo que antes era un juego de aficionados, el fútbol se ha convertido en un negocio serio con un nivel de profesionalismo que los futbolistas no reconocerían desde hace 20 años. A su vez, actualmente CISO enfrenta una amenaza de los hackers profesionales y bandas de ciberdelincuencia que no existían hace apenas 10 años. En ambos casos, ya no es un juego de aficionados, pero en lugar de culminante momento y con frecuencia recursos altamente profesionales con un objetivo en mente y claro.
Al igual que un entrenador de fútbol, la planificación para un CISO es crítica. Un entrenador de fútbol se pondrá a sí mismo en la mente de su oponente y tratará de ver sus propias debilidades, fortalezas y dónde atacaría si estuviera jugando su propio lado. Del mismo modo, un CISO tiene que pensar como un atacante cibernético ya que con una comprensión más profunda del enfoque metódico que los atacantes utilizan para ejecutar su misión puede identificar formas de fortalecer las defensas.
Planificar de esta forma antes del partido o ‘ciber incidente’ es un principio esencial para tratar con el atacante y asegurarse de que su equipo está preparado para la amenaza por venir.
Durante el juego en sí un gerente necesita constantemente evaluar dicha amenaza y sus oportunidades y revisar sus planes en consecuencia. La visibilidad de lo que está sucediendo durante el partido es fundamental, ya que es esta la visibilidad que permite al administrador tomar las decisiones tácticas necesarias para ganar el juego.
De la misma manera, un CISO necesita tener visibilidad y contexto durante un incidente de delito cibernético, a fin de ser capaz de identificar los indicadores de compromiso una vez que la amenaza ha entrado en la red, el CISO necesita tomar un enfoque de dos niveles con herramientas y procesos que combinan las capacidades de trayectoria, análisis de datos grandes y visualización.
Después del partido y la victoria, un entrenador de fútbol trabajará tan duro como durante el partido, en sí analizando los resultados y evaluando las habilidades de sus jugadores, sus fortalezas y debilidades. Al llevar a cabo este tipo de investigación forense de video y de las estadísticas, se pueden determinar los puntos débiles en curso que pudiera necesitar para reemplazar o reforzar durante la próxima temporada.
Un CISO similar tiene que tener la capacidad de mirar hacia atrás en el incidente de seguridad para determinar qué ha sucedido y qué medidas se deben tomar para mitigar el riesgo. La seguridad Retrospectiva utiliza esta capacidad continua para permitir que el CISO, en esencia, viaje atrás en el tiempo y de forma retrospectiva a identificar qué dispositivos han sido expuestos a malware, independientemente de si el archivo es identificado como malware.
Esto requiere no sólo el seguimiento de todos los archivos, sino también el linaje completo de cada acción que ocurre en cada dispositivo protegido y mapeo de cómo los archivos viajan a través de la organización y lo que hacen los archivos en el sistema. Al ser capaz de determinar el alcance de un brote y las causas de raíz, puede cambiar rápidamente a modo de respuesta durante un ataque y efectivamente determinar e implementar los controles necesarios y los pasos de remediación.
Así que la próxima vez que vea a su equipo favorito o al Tri de México en el mundial, piense en el equipo de seguridad de TI en la empresa donde se trabaja, o el Banco que tiene sus ahorros. La derrota o el descenso para un equipo de fútbol es bastante malo para el equipo y para los aficionados, pero el fracaso en la seguridad informática puede impactar el precio de las acciones y la reputación de un negocio por lo que es aún más importante que se consiguiera lo correcto.
Pero mediante la planificación de Antes, Durante y Después de un incidente, tanto el CISO y el entrenador de fútbol, pueden estar seguros de que han hecho todo lo posible para prepararse para el inevitable ataque por venir.
Seguridad un divertido video juego
