Cuando se trata de implantar de forma correcta la seguridad, la detección, en lugar de la prevención, es nuestra primera línea de defensa

Muchos conocemos el ciclo de seguridad en su forma más simple como una secuencia de actividades que toma la forma de Prevención, Detección y Respuesta. Es decir, implantamos controles preventivos como autenticación, autorización y prevención de malware, de forma que las amenazas sean detenidas en su intento por vulnerar los sistemas, antes de que puedan penetrar y hacer cualquier daño. Seguido esto procedemos a implantar mecanismos de detección, estos son aquellos que identifican cualquier actividad sospechosa que represente una amenaza para nuestros activos de información. Por último, a esta detección debe seguir una respuesta o acciones para contener y mitigar la amenaza antes de que ocasione el daño e impacte de forma negativa nuestra operación.

Esto parece ser el orden lógico en el que debemos proceder para implantar un ambiente de control. Sin embargo, si nos referimos a cualquier estándar o norma de seguridad reconocida nos damos cuenta que no es así. Los principales marcos de gestión de seguridad, tecnología de información y control interno, incluyendo ISO 27001, COBIT y COSO nos indican que la primera actividad para implantar correctamente un sistema de control interno es la detección. Todos hablan de identificar vulnerabilidades, amenazas, incidentes, impactos y riesgos; es decir, de tener visibilidad de la postura actual de nuestro ambiente, de forma tal que podamos diseñar las salvaguardas o contramedidas que nos ayudarán a tratar efectivamente estos riesgos. En pocas palabras, el ciclo es totalmente lo inverso de lo que tenemos establecidos como la norma, es decir: Detección, Respuesta, Prevención.

Dado esto, no es sorpresa que cobre especial importancia aplicar un balance adecuado entre tecnología, procesos y personal cuando intentemos establecer nuestro sistema de gestión de seguridad, y no sólo prestar atención a invertir en tecnología y resolver el problema instalando productos. Esto es así porque esas fases iniciales del ciclo, la detección y respuesta, requieren más de procesos definidos y personas capacitadas que de tecnología.

Cuando hacemos nuestro análisis y monitoreamos nuestro ambiente, el aspecto humano, sus habilidades y experiencias, conjuntamente con procedimientos adecuados, son los elementos que garantizan el éxito y calidad en los resultados. Estas son actividades mayormente manejadas por personal, apoyadas por la tecnología, pero en ausencia de humanos capaces, metodologías correctas y procedimientos definidos, el proceso de evaluar y diseñar los controles, así como el de responder ante amenazas o anomalías, indudablemente sufrirá defectos que se reflejan en nuestra habilidad para proteger adecuadamente nuestros sistemas y activos de información más críticos.

Aún al mismo proceso de prevención precede la detección, ya que a menos que identifiquemos positivamente algo como una amenaza no podremos detenerlo sin causar algún impacto negativo en el funcionamiento y las operaciones normales del sistema. Es decir, la detección y monitoreo diligente son los procesos clave al mecanismo preventivo y al proceso de seguridad en general.

Otra de las razones por las cuales la detección y monitoreo activo por parte de personal capacitado es crítico radica en la complejidad creciente y naturaleza evolutiva de las amenazas, lo que hace muy difícil lograr defenderse de ellas por medio de técnicas y/o productos inánimes. En este punto me refiero a lo citado por Bruce Schneier, un respetado experto en el área: Se trata de mantener un balance de poder, quienes nos atacan son humanos habilidosos y creativos, por lo tanto nuestra defensa debe estar manejada también por humanos, capaces de adaptar las salvaguardas a la situación y naturaleza de las amenazas.

En seguridad lo que hace la diferencia es quién nos está defendiendo. Las habilidades y experiencia de personal capacitado, que conoce las amenazas y enfrenta variadas técnicas de ataque regularmente, es un elemento que no debe faltar en nuestro arsenal de defensa.