Como profesionales de seguridad, y aunque no seamos expertos en todas las áreas, debemos ser conscientes de los riesgos presentes en nuestro entorno diario y tomar medidas preventivas.
por Gigi Agassini, CPP*
En el mundo hiperconectado de hoy, nuestra dependencia de la infraestructura digital es inmensa. Desde empresas hasta gobiernos, y desde comunicaciones personales hasta servicios nacionales críticos, el ámbito digital es la columna vertebral de la sociedad moderna. Sin embargo, esta dependencia también nos expone a riesgos significativos.
El reciente fallo de CrowdStrike que afectó globalmente, paralizando operaciones enteras y causando caos internacional, sirve como un recordatorio contundente de cuán vulnerables y frágiles somos. Resaltó, sin duda, las deficiencias en nuestros planes de respuesta, procesos, políticas, controles, comunicación, recursos y capacitación.
El panorama digital está plagado de riesgos, que van desde ciberataques hasta fallos técnicos y errores humanos. Es común hacer un fuerte enfoque solo en una parte de todo nuestro medio ambiente y dejar de considerar todos los puntos de falla, por una sobre confianza en que nos sentimos “protegidos o seguros” por la inversión que hemos hecho en fabricantes reconocidos, en ciertas herramientas, cambios en procesos, o incluso, la elaboración de nuevos planes de respuesta.
Es evidente que somos más frágiles de lo que pensamos y debemos prestar mayor atención a nuestro entorno organizacional interno, sin descuidar el externo y toda la cadena de suministro. No debemos "asumir" que procesos aparentemente pequeños e inofensivos, como el "control de cambios", están bajo control solo porque esperamos que las aplicaciones funcionen como deberían.
Ignorar que esta pequeña pieza puede marcar una gran diferencia es un error. Es crucial reconocer la importancia de cada elemento en nuestros procesos para evitar sorpresas que puedan afectar significativamente la operación.
En toda la cadena de suministro, todos los desarrollos de software (sin importar la marca) involucran humanos y ese simple hecho le abre un margen de error. Nuestro trabajo es asegurarnos de establecer las medidas, políticas y controles necesarios para prevenir algo así, especialmente, en productos críticos.
Por lo anterior es que este tipo de incidentes volverán a ocurrir; sería muy incierto pensar lo contrario. La consolidación de la industria en algunos proveedores significará que cada vez más organizaciones e instituciones se verán afectadas la siguiente vez que ocurra un gran error de software. Hoy ocurrió con cierta marca, más todas están expuestas a lo mismo, incluso los desarrollos propios que algunas organizaciones generan para uso interno.
Lo anterior genera ciertos “vacíos” ya que los equipos de seguridad que se encuentran al límite de sus posibilidades solo empeorarán su capacidad de respuesta. Las personas están en una fatiga y estrés laboral, en las áreas de seguridad especialmente por los cambios en los mercados y la velocidad en el dinamismo que ha tomado. Hay una falta en la fuerza laboral en la industria, lo que sin duda incrementa y genera diferentes riesgos y retos en la operación.
Como profesionales de seguridad, y aunque no seamos expertos en todas las áreas, debemos ser conscientes de los riesgos presentes en nuestro entorno diario y tomar medidas preventivas. Algunos de estos riesgos, que están aumentando de manera considerable, deben integrarse en nuestros planes de respuesta a incidentes, procesos, controles y políticas.
Ciberataques: actores maliciosos, incluidos hackers y estados-nación, buscan constantemente explotar vulnerabilidades en los sistemas digitales. Estos ataques pueden llevar a brechas de datos, pérdidas financieras y la interrupción de servicios.
Fallos técnicos: los fallos de hardware y software pueden derribar redes enteras. Ya sea debido a tecnología obsoleta, mantenimiento insuficiente o errores imprevistos, estos fallos pueden detener las operaciones.
Errores humanos: los errores cometidos por empleados o administradores pueden llevar a brechas de seguridad significativas o fallos del sistema. Esto incluye desde una mala gestión de contraseñas hasta sistemas mal configurados.
Desastres naturales: eventos como terremotos, inundaciones y huracanes pueden dañar la infraestructura física, lo que lleva a apagones prolongados y pérdida de datos.
Nuestra fragilidad en el mundo digital demuestra que, sin importar el tamaño de la organización o la fortaleza dentro de la industria, todos somos vulnerables a errores humanos o ataques cibernéticos. Como lo reseñamos inicialmente, CrowdStrike, una empresa líder en ciberseguridad, sufrió un fallo significativo que interrumpió los servicios de múltiples organizaciones a nivel global, afectando hospitales, gobiernos, y otras operaciones críticas. Este incidente reveló varios problemas cruciales que debemos considerar para fortalecer nuestras defensas y mitigar futuros riesgos.
Revisión de los planes de recuperación de desastres: el fallo de CrowdStrike, aunque no fue un incidente de ciberseguridad, debería tratarse como tal por la sencilla razón que tuvo la fuerza de parar operaciones enteras y llevó al quiebre a cualquier plan de respuesta a incidentes y de continuidad de negocio. Lo que abre una oportunidad para que los CISOs revisen sus planes de respuesta y preparación ante crisis similares, utilizando este caso para simular cómo reaccionarían ante un problema similar de semejante importancia en el futuro, pues definitivamente no fue cualquier cosa.
Expectativa de repetición: como lo señalé anteriormente, errores como este son inevitables debido a la intervención humana en el desarrollo de software, por lo que pensar que es un evento “aislado y único” es irreal. Las organizaciones deben asumir que volverán a suceder (no sabemos cuándo) y estar preparadas con sólidos planes de recuperación para minimizar el impacto.
Proveedores de software: incluso los proveedores más confiables y reconocidos pueden fallar, como ya se señaló y se vivió con la desafortunada experiencia de CrowdStrike. Es crucial no depender únicamente de la reputación; en su lugar, es importante que en tus evaluaciones de herramientas incluyas la verificación de sus compromisos a través de acuerdos claros (SLAs) y gestiona los riesgos del proveedor con un enfoque maduro, esto tiene que ser parte de tu plan de respuesta a incidentes.
Todos los altos ejecutivos deberían preguntarse si cuentan con un proceso de rendición de cuentas a los proveedores con acuerdos de nivel de servicio para los tiempos de crisis. Probablemente después de este incidente todos, incluyendo los proveedores de software, aprenderemos de la experiencia.
Comunicación en crisis: revisar y fortalecer los planes de comunicación interna es fundamental. Las empresas deben asegurarse de que pueden comunicarse eficazmente con sus empleados a través de canales alternativos durante una crisis para mantener la operatividad.
Después de comunicar los riesgos, es esencial centrarse en estrategias de mitigación claras. Describiendo acciones específicas y planes de contingencia para gestionar cada riesgo, asegurando que se alineen con los objetivos organizacionales y la tolerancia al riesgo.
Los “stakeholders” deben ver los pasos proactivos que se están tomando para abordar las amenazas potenciales. Como profesional de seguridad, es crucial entender las necesidades de cada “stakeholder” y construir relaciones de asesoría sólidas.
Este enfoque ayuda, de cierta manera, a aliviar un poco las preocupaciones, fomenta la confianza y asegura el apoyo a los esfuerzos de gestión de riesgos. Las estrategias de mitigación bien definidas son vitales para integrar la gestión de riesgos en la estrategia organizacional y asegurar la confianza de los “stakeholders”.
Gestión de recursos: como parte de las remediaciones a la situación desafortunada sufrida con CrowdStrike, requirió en varios sitios procesos que tenían que hacerse de manera manual, lo que generó otra crisis debido a que la facilidad de hoy hacer muchos procesos de manera remota o centralizada ha llevado a la reducción o incluso eliminación de recursos locales. Este incidente nos permite ver que es necesario reconsiderar el contar con personal local.
Contar con personal en el lugar es esencial para una rápida remediación. Durante la caída de CrowdStrike, algunas organizaciones enfrentaron desafíos al no tener personal disponible para manejar manualmente los problemas. Mantener un equipo de respaldo, aunque sea mínimo, es crucial para la recuperación.
Capacitación insuficiente: muchas organizaciones no contaban con la formación adecuada para enfrentar interrupciones significativas. La falta de preparación dejó a los empleados sin un protocolo claro de respuesta, lo que generó confusión y redujo la eficiencia operativa.
Este vacío en la capacitación revela la necesidad urgente de establecer programas de formación continua que equipen a los empleados con las habilidades y conocimientos necesarios para gestionar crisis de manera efectiva y minimizar el impacto en la organización.
Aunque algunas organizaciones aún no han recuperado el 100% de sus operaciones, y es lamentable el impacto global, especialmente en sectores críticos como hospitales y aeropuertos, es crucial extraer lecciones de lo ocurrido. Aprender de este incidente nos permitirá fortalecer nuestras estrategias y prepararnos mejor para futuras crisis, minimizando riesgos y mejorando la resiliencia organizacional. Por lo que es importante considerar:
Gestión integral de riesgos: las organizaciones necesitan adoptar estrategias integrales de gestión de riesgos que consideren todas las amenazas potenciales, incluidas las de socios de confianza.
Mejora de la redundancia: implementar redundancia en sistemas críticos puede ayudar a mitigar el impacto de los fallos. Esto incluye tener medidas de ciberseguridad de respaldo y proveedores alternativos.
Mejora de los planes de respuesta: desarrollar y actualizar regularmente los planes de respuesta a incidentes es esencial. Estos planes deben incluir protocolos claros para diferentes tipos de incidentes y simulacros regulares para asegurar la preparación.
Capacitación continua: la capacitación continua para los empleados es vital. Esto incluye no solo capacitación técnica sino también educación sobre concienciación en ciberseguridad y mejores prácticas.
Auditorías regulares: realizar auditorías regulares de la infraestructura digital y medidas de seguridad puede ayudar a identificar y corregir vulnerabilidades antes de que sean explotadas.
Es importante fortalecer nuestras defensas digitales a través de las siguientes estrategias:
Inversión en tecnología: invertir en tecnología actualizada puede prevenir muchos fallos técnicos. Esto incluye no solo herramientas de ciberseguridad sino también actualizaciones de infraestructura.
Colaboración y compartición: compartir información sobre amenazas y mejores prácticas entre organizaciones puede ayudar a construir una defensa colectiva más robusta.
Estándares de gobierno e industria: los gobiernos y los organismos industriales deben trabajar juntos para establecer y hacer cumplir estándares de ciberseguridad y resiliencia de la infraestructura digital.
Concienciación pública: aumentar la concienciación pública sobre los riesgos digitales puede ayudar a que individuos y organizaciones más pequeñas tomen las precauciones necesarias.
El mundo digital ofrece inmensas oportunidades, pero también nos expone a riesgos significativos. El fallo de CrowdStrike es un recordatorio de cuán vulnerables somos y destaca la necesidad de planes de respuesta, políticas, controles y capacitación robustos. Al aprender de tales incidentes y tomar medidas proactivas, podemos construir una infraestructura digital más resiliente capaz de soportar las múltiples amenazas que enfrentamos.
En un mundo donde nuestras vidas diarias y servicios críticos son cada vez más digitales, abordar estas vulnerabilidades no es solo una necesidad técnica sino un imperativo social. El momento de actuar es ahora, antes de que el próximo fallo o ataque revele nuevamente nuestras debilidades.
¡Hasta la próxima!
*Gigi Agassini, CPP
Consultora Internacional de Seguridad
GA Advisory
[email protected]