Definir un proyecto de ciberseguridad es similar a construir una figura con piezas LEGO, donde cada una es un proyecto. Como bien sabemos, tenemos piezas de muchas formas, tamaños y colores. De igual forma funcionan los proyectos de ciberseguridad, donde se cuenta con una amplia gama de tecnologías que se requieren en un ejercicio de aseguramiento de TI y debemos escoger con cuáles piezas vamos a iniciar, qué tan grandes van a ser y en qué espacio de tiempo las vamos a implementar.
Una de las principales necesidades que tenemos como organización e incluso como seres humanos, independiente del sector donde se desarrolla nuestro negocio (salud, educación, finanzas, gobierno, etc), es la seguridad de la información que hace parte activa y fundamental del ecosistema tecnológico actual.
Desde hace varios años se trabaja la seguridad de la información en las empresas con mayor o menor madurez. Y a lo largo del tiempo se han introducido nuevas prácticas, regulaciones e incluso conceptos nuevos como el de la ciberseguridad.
Construir una estrategia integral pieza por pieza
La ciberseguridad incluye una serie de estrategias, metodologías y tecnologías que operan en conjunto para protegernos de las amenazas digitales actuales y futuras. Sin embargo, cuando realizamos auditorias de seguridad tanto internas como externas al interior de TI en las organizaciones, encontramos que en su mayoría carecen de una estrategia real en cuanto a implementación de proyectos de ciberseguridad y de hecho perdura un fuerte desconocimiento de la gestión de riesgos, pieza clave en el desarrollo de cualquier arquitectura tecnológica independientemente del lugar donde resida (el centro de datos, la nube, terceros, etc.).
Se hace importante y de hecho necesario, definir una estrategia a largo plazo en la implementación de arquitecturas seguras dentro de las empresas, lo cual no es una tarea fácil porque para hacerlo existen diversas metodologías. Entonces, al intentar definir una estrategia muchas veces nos quedamos cortos sin saber con qué piezas tecnológicas debemos concebirlas o peor aún en qué orden debemos implementarlas.
Elegir el juego correcto
El problema es más complejo cuando debemos entender que, así como en un LEGO, las piezas deben estar perfectamente interconectadas con el fin de tener una sola y única figura final (estrategia) que perdure en el tiempo, o en caso contrario, tendríamos un montón de piezas (proyectos) unas sobre otras, pero de forma inestable.
Esto sería más parecido a un juego de JENGA, aquel juego donde colocamos una torre de fichas y jugamos a retirarlas una a una hasta que toda la torre se derrumbe. Curiosamente muchas decisiones que tomamos en términos de proyectos o tecnologías operan más como JENGA que como un LEGO porque no hay figura (estrategia) o diseño bien pensado antes de la implementación y solo cubrimos falencias (huecos – hallazgos) que surgen de las auditorias o de riesgos que se materializan y para los cuales no estábamos preparados.
Montar un LEGO de ciberseguridad es entonces una tarea que requiere imaginación y una base consistente, que soporte la figura (estrategia) final que se quiere crear. Lo primero a escoger la figura final, la estrategia para un fin. Muchos deciden montar un LEGO que los lleve a cumplir con alguna regulación local o internacional, otros deciden montar una figura (estrategia) enfocada en algún proyecto, y otros más osados y maduros deciden su LEGO basado en gestión de riesgos. Éste último es la mejor opción porque resulta transversal a cualquier tecnología y cubre amenazas conocidas, desconocidas, recientes y futuras en un sólo planteamiento.
¿Cuál sería entonces el orden a seguir para montar esta figura?
- La primera pieza, la más grande e importante, debiera ser la gestión de riesgos, porque ésta va a definir la forma final de la figura (estrategia), el tamaño (cobertura del proyecto), forma (tipo de tecnología) y color (recursos requeridos) de las siguientes piezas (proyectos).
- La segunda pieza, casi del mismo tamaño de la anterior y con el mismo nivel de importancia, debiera ser la de políticas, normas y estándares.
- Las siguientes piezas, resultado de la identificación de riesgos y controles, se deben ir colocando dependiendo del nivel de exposición al riesgo, teniendo en cuenta los recursos de la organización para definir la forma (tipo de tecnología), el tamaño (cobertura del proyecto) y el color (recursos requeridos) de cada una.
Teniendo siempre en mente la figura (estrategia) definida en un principio, es fundamental que cada pieza esté interconectada para que la estrategia sea estable y que perdure a lo largo del tiempo como una sola unidad y no se desintegre ante el más mínimo movimiento con los cambios vertiginosos que hoy en día sufre el ecosistema tecnológico.
En síntesis, toda figura (estrategia) de ciberseguridad debe implementarse teniendo en cuenta la unión de múltiples y diversos proyectos (piezas) debidamente interconectadas. Formada por elementos tan complejos como cualquier proyecto de TI (recursos, tiempos, tecnologías), tener en mente una figura (estrategia) clara hará mucho más fácil concebir una pieza sólida a lo largo del tiempo.
Finalmente, no estamos solos en esta definición, tenemos alrededor muchas herramientas (fabricantes, proveedores, integradores, ISPs, consultores/auditores) que nos pueden guiar en la definición de cómo implementar nuestro propio LEGO de ciberseguridad al interior de la organización, sólo se requiere estrategia e imaginación.
Por Oscar Cortes, Ingeniero de Fortinet en Colombia