Los cartones de bingo de muchos líderes tecnológicos y de riesgos no empezaron el año con una casilla abierta para otro compromiso de la cadena de suministro, y mucho menos uno con un impacto potencial mayor que el de SolarWinds. Sin embargo, aquí estamos, con la polvareda de la puerta trasera de XZUtils lo suficientemente lejos en el espejo retrovisor como para que hayamos dejado atrás cualquier posible apagafuegos. Pero las ramificaciones todavía están lo suficientemente cerca en la mente que nos ofrece una buena oportunidad para la reflexión.
En concreto, eso significa reflexionar sobre uno de los principales factores que contribuyen a tantas de nuestras noches de insomnio: nuestro miedo colectivo a lo desconocido. En la gestión de riesgos de seguridad empresarial (ESRM), son los riesgos desconocidos los que te hundirán.
¿Por qué? Porque los riesgos desconocidos no se gestionan y, por tanto, no se abordan eficazmente. En el mejor de los casos, y en pequeñas cantidades, se transfieren de forma ineficaz a través de los seguros. En el peor de los casos, en manos de los actuales actores de amenazas, motivados y destructivos, se convierten en forraje de titulares dañinos y noticias nocturnas.
¿Qué podemos aprender para la gestión de la seguridad de los riesgos empresariales?
Cuando un motivado ingeniero de Microsoft llamado Andres Freund estaba solucionando lo que en un principio podría haber parecido un problema benigno de rendimiento, acabó adentrándose en una madriguera de seguridad lo suficientemente profunda como para destapar un lío. En última instancia, frustró a un actor malicioso con el tipo de planificación estratégica a largo plazo de un Estado nación, ahorrando a mucha gente un montón de problemas.
Esto es digno de mención, en primer lugar, porque ningún esfuerzo preventivo o de cumplimiento formal habría mitigado este riesgo y, en segundo lugar, porque la victoria se produjo fuera de un programa o jerarquía de seguridad formal. Esto ejemplifica dos factores culturales que deberían ser promovidos por todo líder que se tome en serio la gestión de riesgos desconocidos: La curiosidad y la colaboración.
¿Por qué estos valores culturales son tan eficaces para gestionar riesgos desconocidos? La mejor forma de responder a esta pregunta es mediante una analogía.
Gestionar los icebergs y los arrecifes de riesgos desconocidos
La realidad es que los riesgos desconocidos suelen adoptar una de dos formas. En la primera, imitan a los riesgos identificados, pero en su mayoría acechan bajo la línea de flotación de las medidas rutinarias de descubrimiento, como los icebergs. En la segunda, los arrecifes inexplorados, están completamente bajo el agua y son exclusivos de algún aspecto de la empresa, pero no son totalmente ajenos al conocimiento colectivo y distribuido del dominio, la pericia y la experiencia de la plantilla.
De los dos, los icebergs son los más fáciles de conceptualizar porque muchos de nosotros reconocemos patrones en nuestra empresa de riesgos bien entendidos, pero elusivos, los que sabemos que están presentes pero no descubiertos. Aunque la mayoría de estos riesgos están por debajo de la superficie, tenemos la ventaja de poder descubrir señales reveladoras, si sabemos dónde (y cómo y cuándo) mirar. Abordar culturalmente estos riesgos exige replantearse los procesos habituales de toma de decisiones. Hay que reconocer los límites de las listas de comprobación tradicionales, el descubrimiento de vulnerabilidades y las pruebas de penetración. Aunque estos principios de gestión de riesgos establecidos y aceptados en todo el mundo son valiosos para ofrecer un suelo de riesgo fiable, nunca deben confundirse con cubrir el techo.
Una cultura que da prioridad a la curiosidad no se conforma con explorar un problema bien definido cada año. En lugar de ello, el equipo evalúa continuamente las decisiones de gestión de riesgos, pone en tela de juicio los supuestos y, en ocasiones, opta por salirse de los límites. En términos prácticos, estas culturas se centran en la mejora continua para una gestión de riesgos más holística. Combinan herramientas e intuición humana para probar y validar toda la cadena de actividades de protección, detección, respuesta y recuperación. Al fomentar la colaboración, se incentiva a las personas a descubrir los icebergs de riesgo indagando, investigando y yendo a la caza más allá de limitaciones que, de otro modo, serían mundanas.
Mientras tanto, los arrecifes inexplorados representan una clase de riesgo que reside enteramente bajo la línea de flotación. Aunque estos problemas no se ajustan a las listas de comprobación, los marcos o las denominadas mejores prácticas, a menudo son comprendidos a nivel colectivo e instintivo por toda la plantilla. ¿Y por qué habría de sorprendernos cuando la naturaleza de este riesgo es en sí misma un subproducto de factores agregados de la empresa? Por ejemplo, las combinaciones de la cadena de suministro, el modelo de negocio, las pilas tecnológicas internas y la prevalencia de factores como la TI en la sombra pueden influir en los riesgos empresariales de forma compleja e interconectada.
Anticipar todas las implicaciones de estos complejos factores desde arriba suele ser inviable, sobre todo para las organizaciones empresariales, en las que son habituales los silos, los feudos políticos y el aislamiento organizativo. Una vez más, la curiosidad y la colaboración como valores culturales redundan en su beneficio al incentivar el cruce de estas fronteras culturales, dando a su fuerza de trabajo una oportunidad real de identificar y priorizar los riesgos a través de su experiencia colectiva en el dominio, el conocimiento y la experiencia. Así es como las organizaciones de éxito reúnen, identifican y mitigan los riesgos mucho antes de que se produzca ningún daño.
En la práctica, este enfoque reconoce que, aunque la gestión centralizada de riesgos es necesaria, no es suficiente para todos los casos de uso. Al fin y al cabo, el propio riesgo está distribuido por la organización. Aunque los esfuerzos formales, como los programas Security Champions o la concienciación y formación, son valiosos, no superan la importancia de las líneas abiertas de comunicación y acceso. Fomentar relaciones significativas es fundamental para descubrir y gestionar estos riesgos.
Para reforzar tus defensas, céntrate en la cultura
Sí, la gestión de riesgos desconocidos va más allá de los esfuerzos culturales: las personas, los procesos y la tecnología desempeñan un papel. Pero sin una capacitación cultural, incluso los mejores tendrán un largo camino por delante. Por eso es tan importante crear una cultura ambiciosa. No sólo es la base de su agilidad frente a las amenazas modernas, sino que también le permite aprovechar todo el potencial de su personal. Y una vez sentados esos cimientos, estará en condiciones de maximizar la capacitación y las herramientas.
La cultura es fundamental: la práctica de la seguridad de su organización depende de ella. Prepare a todo el mundo para el éxito dándole prioridad.
¿No sabe por dónde empezar? Miles de analistas y arquitectos de SOC utilizan la plataforma Vectra AI para detectar, priorizar, investigar y responder a amenazas desconocidas en múltiples superficies de ataque. Realice una visita autoguiada para ver cómo funciona.