ciberseguridad y la toma de decisiones: ¿qué buenas prácticas deben adoptarse?

Cultivar la serenidad y la capacidad de análisis

En todos los ámbitos, la dificultad no es tanto decidir como tomar la decisión correcta. El problema del CISO en este ámbito es doble: vinculado por una obligación de medios, tiene que tomar decisiones sabiendo que el riesgo cero no existe, al tiempo que está sujeto a importantes limitaciones de tiempo y presupuesto. Dado que la perfección es claramente inalcanzable, al CISO le interesa cultivar una cierta mentalidad para maximizar sus posibilidades de tomar la "decisión" correcta.

En la práctica, esto significa no fiarse de las primeras impresiones. Aunque es muy frecuente que los CISO recién contratados tengan que decidir sobre cuestiones técnicas "por instinto", este enfoque no es sostenible a largo plazo. Como teorizó el economista y sociólogo estadounidense Herbert Simon, nuestra racionalidad estálimitada. Les guste o no, los CISO, como todo el mundo, están expuestos a la trampa de los sesgos cognitivos:

• El sesgo de confirmación, que consiste en prestar atención únicamente a los elementos que apoyan el punto de vista inicial;
• Sesgo de conformidad, que lleva a las personas a tomar decisiones similares a las de sus compañeros, aunque la situación no sea la misma;
• sesgo de información, que se refiere a la tendencia a buscar cada vez más información, incluso información inútil, en la creencia de que así se tomará una decisión mejor.

Sería posible ampliar esta lista, pero estos pocos ejemplos bastan para ilustrar la cuestión: para "tomar las decisiones correctas", los CISO deben alejarse constantemente de sus reacciones "in situ" y dar prioridad al razonamiento basado en elementos a la vez concretos y fiables. Esta es la mejor manera de tomar decisiones informadas y, de paso, de convencer a los responsables en cuestiones de presupuesto o estrategia corporativa.

ciberseguridad herramientas se están desarrollando, ¡y eso es bueno! Pero hay que ser muy prudentes. Cada herramienta tiene su propia forma de trabajar, lo que significa que no es necesariamente capaz, por sí sola, de dar respuesta a todas las preguntas que deben plantearse.

Por ejemplo, una herramienta de recopilación de datos puede, debido a su configuración por defecto, alertarle falsamente de la existencia de estaciones de trabajo no cubiertas por el antivirus corporativo. Si el CISO no hace el esfuerzo de comprender la forma en que la herramienta gestiona los datos, y luego de interpretar el material que proporciona utilizando su propia rejilla de interpretación, es muy probable que la decisión tomada sea errónea. Si se basa en una creencia falsa, puede no ser pertinente, y el CISO corre el riesgo de perder credibilidad.

Conclusión: utilizar las herramientas para tomar decisiones, sí, pero dejar que las herramientas tomen las decisiones, ¡no!

Basado en datos pertinentes

Como todos los CISO saben, la práctica de ciberseguridad se basa sobre todo en los datos. Sin embargo, la recopilación de datos por sí sola no puede garantizar la calidad de las decisiones tomadas.

Para el CISO, el ejercicio es como desentrañar una cadena de razonamiento, de arriba abajo.

• ¿Cuáles son los puntos clave de la estrategia ciberseguridad?
• ¿Cuáles son los requisitos para alcanzar estos objetivos?
• ¿Qué indicadores se derivan de ello?
• ¿Qué información debe buscar sobre el terreno?

Es partiendo de la estrategia como el CISO consigue identificar los datos más relevantes que debe buscar, al tiempo que establece prioridades: siendo lo mejor enemigo de lo bueno, lo ideal sería siempre trabajar con unos pocos indicadores bien elegidos, en lugar de arriesgarse a perderse con demasiada información.

En cuanto a los CISO que luchan por poner en marcha la información, la mejor decisión sería sin duda aplicar los principios básicos antes de embarcarse en la construcción de un cuadro de mando:

• parche ;
• instalar un antivirus ;
• gestión de copias de seguridad y vulnerabilidades ;
• no permiten a los usuarios ser administradores de sus estaciones de trabajo ;
• sensibilizar sobre los riesgos cibernéticos.

Por desgracia, unos datos fiables no bastan por sí solos para tomar una decisión acertada. Hay que "hacer hablar" a los datos, lo que implica diversas manipulaciones, como el cruce de información o la modelización que permiten las herramientas de Business Intelligence.

Mejor aún, los datos merecen ser tratados hasta el punto de que puedan utilizarse para evaluar la posición de la empresa en materia de seguridad. En este ámbito, lo ideal es empezar por el tema más importante (la informática de la empresa, por ejemplo) y realizar a continuación un análisis objetivo basado en una reglamentación previamente seleccionada (guía ANSSI, CIS, NIST, etc.). A continuación, debe reevaluarse periódicamente la situación, aunque ello implique ampliar el análisis sobre la marcha, por ejemplo incluyendo filiales, socios o unidades de negocio.

Para ello, las herramientas de puntuación de seguridad como Bitsight o Security Scorecard son de indudable interés, con la salvedad de que deben utilizarse siendo conscientes de su prisma. Como estas herramientas sólo recogen información de fuentes abiertas, es probable que no detecten una prioridad si no es visible en Internet.

También hay que recordar que la puntuación sólo es útil... ¡si los datos evaluados son fiables! Los puntos de referencia también son útiles, ya que le permitenobjetivar su nivel de seguridad observando el alcanzado por sus homólogos en el mismo ámbito reglamentación. Como atraen la atención de la alta dirección, también ayudan al CISO a obtener las aprobaciones presupuestarias necesarias.