En la cosmología Maya, existía la figura de Pawathun, el dios encargado de sostener el cosmos en su espalda. Era representado como un hombre con caparazón de tortuga, y en ocasiones también como cuatro hombres, porque tenía además la capacidad de ser uno y a la vez cuatro. Cada uno de estos cuatro hombres en ocasiones era representado sosteniendo cada una de las esquinas del cosmos.
Un dios que puede sostener el peso del cosmos, del universo entero en sus espaldas, definitivamente es un ser con poderes más que sobrenaturales. A pesar de que ha pasado tanto tiempo desde que los Mayas y su civilización desapareciera, hoy en día nos enfrentamos a retos en los temas de ciberseguridad y seguridad de la información que pueden hacer sentir a cualquier como Pawathun. Hablamos muy bonito respecto a seguridad en capas, controles técnicos y administrativos, modelado de las amenazas y tratamiento del riesgo; y sobre el papel pareciese ser que todo está bajo control mientras tengamos los debidos procesos y procedimientos. Pero cuando nos enfrentamos a la operativa diaria en el mundo de la seguridad la historia es completamente distinta…
Firewalls, web application firewalls, DLP, proteccion DDoS, Protección de BOTS, encriptación, protección de DNS, CASB, cloud posture mangement, IPS, SIEM, XDR, SOAR, protección de email, Privilege Access management, protección de identidades en general, HSM, Protección de endpoint, protección de móviles, herramientas de parchado, herramientas de descubrimiento de vulnerabilidades, revisión de código… y podría seguir mencionando algunas de las plataformas de seguridad que las organizaciones implementan y administran hoy en día. Y los administradores de estas plataformas terminan convirtiéndose en un Pawathun moderno, que debe soportar sobre sus espaldas un peso tremendo con una responsabilidad muy alta.
Si lo analizamos a priori, o si preguntamos y nos responden sin mayor análisis, muchos podrían decirnos que es “normal” que así es esta profesión, sin embargo, cuando analizamos la manera en la que trabajamos nos damos cuenta de que a nivel lógico hay incongruencias. ¿Como es posible que mientras la tecnología avanza y se vuelve más sencilla, los que administran esta tecnología deben dedicar cada vez más tiempo a este trabajo? Y cuando se vende o compra seguridad, ¿por qué las personas que la administran no se sienten más seguras? No sienten la seguridad de ir a sus casas temprano porque deben monitorear por si existe un incidente, no se siente seguros de poner su teléfono en modo avión y dedicarles tiempo a sus hijos, porque tienen el temor anticipado de que con seguridad les llamaran por una emergencia en el trabajo.
La verdad es que muchos de los que nos convertimos en consultores en este medio cometemos el error de no tomar en cuenta las personas cuando diseñamos proyectos de seguridad. El XDR y SOAR se pone de moda, hacemos presentaciones vistosas con casos de éxito y demos, pero pocos quieren decir la verdad de cuanto tiempo toma alcanzar la madurez para llevar a cabo respuesta automática y orquestación de seguridad. Usamos continuamente las palabras automatizado, inteligencia artificial, simple, y otras por el estilo, y todo parece un cuento de hadas: “Implemente XDR y SOAR y todo viviremos felices para siempre”.
La realidad es que pasa un año y el SOAR en la mayoría de los casos no esta orquestando absolutamente nada, y lo que si ha orquestado es más horas en la oficina para las personas involucradas en los proyectos. Cuando hablamos de seguridad, en mi opinión, transparencia, ética y conocimiento, es lo que debemos buscar en quien nos asesore en temas de ciberseguridad y seguridad de la información.
Sin ánimo de crear polémica debo decir: si antes de implementar un proyecto de ciberseguridad pasabas 8 horas en la oficina, y después de implementarlo 11 horas, el proyecto ha fracasado. Y no me refiero a los primeros meses de adaptación. Los controles técnicos deben implementarse bajo la premisa de la mejora continua, con una metodología que permita ganar madurez paulatinamente, y con expectativas reales.
Certeza, confianza y convicción son solo algunos de los sinónimos de la palabra seguridad. Cuando analizamos nuestros proyectos en este ámbito primero debemos tener la certeza de lo que conseguiremos con este proyecto, la confianza en la plataforma, y la convicción de que además de proteger la organización, esto mejorara ostensiblemente nuestra gestión de ciberseguridad; y la convicción solo puede ser personal, por eso la seguridad debe ser primero para las personas, y después para las instituciones.
