Otra perspectiva en inversión para prevenir incidentes

La gestión de incidentes de seguridad, normalmente tiende a ser uno de los puntos más dolorosos del presupuesto de las áreas que gestionan la seguridad de la información, especialmente porque el retorno de la inversión se vuelve más complicado de justificar, más de lo que nos gusta aceptar.

Esto se debe, principalmente, a la posibilidad de la ocurrencia del riesgo, no es lo mismo decir que vamos a invertir en una licencia de $15.000 de un software para análisis forense, cuando existe solo un 5% de que el riesgo se materialice, que cuando existe un 60% de posibilidades de materialización. Con un mundo de amenazas cambiantes como lo es la seguridad de la información estas fluctuaciones se vuelven bastante impredecibles.

Así que, como asesores de riesgos para nuestra organización, debemos asegurar que nuestras inversiones sean tan efectivas como visibles, esto lo podemos lograr considerando los siguientes tres elementos:

• Hablemos con la primera línea: Que vivamos en un mundo de tecnología no quiere decir que sea el único punto de ataque. Debemos recordar que el servidor es usualmente el último que fue afectado, en ocasiones existe un usuario al inicio de la cadena, esto nos obliga a olvidar aquellos viejos modelos de capacitaciones anuales sobre seguridad, por lo que es necesario entrar e invertir en un constante programa de capacitación disponible para el usuario en todo momento, así como existen los programas de desarrollo sostenible y calidad del servicio en las organizaciones. Este debería ser nuestro primer foco de inversión inteligente, siempre es más efectivo un usuario proactivo y vigilante, que la última tecnología.
• ¿Lo barato siempre sale caro?: Nuestro segundo punto de inversión inteligente es enfocarnos en desarrollar conocimiento y habilidades de nuestro personal técnico, el cual responde en primera instancia a incidencias de seguridad, sin embargo, no es necesario un laboratorio de última tecnología. Las herramientas de software libre y código abierto ofrecen una experiencia enriquecedora para cualquier profesional de tecnología, esto es especialmente cierto para las herramientas de atención de incidentes, donde no solo se requerirá aprender del funcionamiento de sistemas operativos, scripts y línea de comandos para la operación, sino también, para su instalación. Estos conocimientos sobre múltiples arquitecturas y funciones son elementos necesarios e indispensables para el análisis forense y para esta infraestructura pueden utilizarse equipos fuera de soporte, donados o de segunda mano. Esto podríamos decir que a la larga, es de esas ocasiones donde lo “barato” no sale “caro”, sino que va presentar un valor inesperado.
• Convertir el plan B en el Plan A: Retornando a las matemáticas, nuestro porcentaje de ocurrencia de riesgo puede encontrarse dentro de los percentiles más bajos, estas circunstancias podrían favorecer mantener una “reserva ante incidentes”, es decir, en lugar de tener especialistas de planta podemos recurrir a los “ahorros de emergencia” para que nos asistan proveedores de servicios especializados, algo muy similar a consumo por demanda. Esto se vuelve más atractivo, considerando que la resolución de un incidente puede durar de una hora a semanas (incluyen las investigaciones pertinentes).

Los puntos anteriores, aunque sencillos, suelen ser de los menos considerados debido a que requieren un mayor análisis de la situación actual, que la compra de una solución. Sin embargo, son elementos que efectivamente pueden ayudar a balancear el presupuesto sin dejar al descubierto la atención de incidentes.