Autoconcepto, Ciberseguridad y dejar de mirarse el ombligo.

Lo importante de la Ciberseguridad es lo que se ve desde fuera.

La percepción que tenemos de nosotros mismos, es variable y subjetiva. En psicología, cuando se habla del autoconcepto se suele diferenciar entre tres diferentes percepciones: Cómo se es, cómo uno piensa que es, y cómo se es visto por los demás. Y en la mayoría de los casos, estas tres percepciones tienen poco que ver. Algo similar puede ocurrir con el nivel de ciberseguridad de las empresas.

Percepción de la Organización corporativa a nivel de seguridad vs realidad

Estamos acostumbrados a tomar medidas de ciberseguridad que se establecen y analizan de forma interna. Se realizan grandes inversiones para establecer medidas defensivas y se externaliza la responsabilidad de la seguridad corporativa en muchas ocasiones a proveedores de servicios gestionados que garantizan unos SLAs que permiten a los responsables sentirse seguros, ya que aparentemente, la organización está suficientemente asegurada. Es decir, la percepción que la organización tiene de sí misma, porque así lo dice el plan interno, las medidas tomadas y los informes de los proveedores que prestan el servicio. 

¿Es esto real? ¿Significa esta percepción que la organización es segura? ¿Coincide la percepción que se tiene de uno mismo con lo que se es en realidad?

La respuesta, igual que en la vida real es que no. Es cierto que en la vida real, saber como uno es visto por los demás puede ser muy útil para corregir actitudes y comportamientos. Pero en el caso de la Ciberseguridad de las organizaciones, resulta que es lo único que importa. Sólo de esta forma es posible detectar vulnerabilidades, riesgos y amenazas, para poder actuar sobre ellos y aumentar el nivel de protección de la organización.

Sistemas de detección para la protección de la organización

Para intentar obtener esta información se utilizan varios sistemas: Análisis de Vulnerabilidades, Tests de Penetración, Análisis de logs, o correlación de eventos que permitan detectar fallos de en los sistemas de seguridad o ver por donde se intentado un ataque. Sin embargo estos métodos tienen como principal problema la falta de continuidad. Son procedimientos complejos, que aunque están automatizados en gran parte, terminan requiriendo un elevado número de horas de personal técnico especializado, por lo que el tiempo que se invierte realizaros es mucho, y también lo es su coste. Esto hace que su periodicidad se mida en trimestres en el mejor de los casos. y en semestre o años en la mayoría. Y cuando hablamos de Ciberseguridad, un trimestre es casi toda una vida.

Afortunadamente existen en el mercado herramientas que son capaces de detectar en tiempo real y de manera continuada el nivel real de riesgo digital de las compañías, mostrando exactamente lo que los demás pueden ver de la organización desde fuera. En algunas de estas herramientas es posible medir (que es lo que permite la toma de decisiones y la resolución de problemas) cuatro vectores de riesgo :

  • Eventos. Cualquier actividad anómala relacionada con la organización que sea un indicio de un posible ataque: Mensajes de SPAM, Servidores malware, Host Exploits, infecciones botnet, comunicaciones no solicitadas o pérdida de datos.
  • Diligencia. Verificación de todas las tareas de protección y prevención que deberían haberse realizado desde la organización o su proveedor de servicio, y que por algún motivo no se encuentran optimizadas: Configuraciones SSL, Registros DNSSEC, DKIM, puertos abiertos, o seguridad de aplicaciones
  • Comportamiento de usuarios. Monitorización de las actividades de los usuarios en los dispositivos conectados a la red corporativo para detectar comportamientos de riesgo tecnológico y/o legal para la organización. Compartición de ficheros, conexiones o servicios no autorizados, uso de redes sociales, o streaming.
  • Pérdida de datos. La presencia de datos en lugares en los que no deberían estar, puede indicar accesos indebido a la información y a la organización: Detección de robo y venta de información confidencial, presencia en sitios no deseados o intentos de acceso no autorizados.

El hecho de que la información sobre todos estos vectores de riesgo se recopile de forma continuada y se actualice prácticamente en tiempo real, puede ser clave para los departamentos técnicos de la organización, ya que además de comprobar la situación real de riesgo digital, permiten verificar la información que proporcionan los proveedores del servicio sobre su propio servicio, en el caso de que este se encuentre externalizado. 

Sin embargo, bajo nuestro punto de vista no es este el principal valor de estas herramientas. Su principal valor es la capacidad para presentar la información técnica relativa a Ciberseguridad, Amenazas y Riesgo Digital de forma entendible para los ejecutivos de las compañías, algo que hasta ahora ha sido imposible. Como planteábamos en nuestro post anterior, la Transformación Digital de las empresas hace que la Seguridad Digital se convierta en un punto crítico en las organizaciones, que debe incluirse en el Gobierno Corporativo y por tanto formar parte de las conversaciones entre los altos directivos, más allá del CISO. Estas herramientas permiten que esto ocurra y que Comités de Dirección y Consejos de Administración puedan tomar decisiones informadas sobre Seguridad Digital. Es decir, sobre la Seguridad de su Empresa.

¿Quieres saber más?  Pregúntanos sobre Bitsight