Opinión

¡ Improvisemos !

Durante la segunda guerra mundial, se enfrentaron más de 40 ejércitos a través del mundo. De entre ellos, hay cuatro que jugaron un rol muy relevante: el ejército alemán, el ejército inglés, el ejército soviético y el ejército norteamericano. Tres de ellos fueron victoriosos y uno derrotado, pero el ejército derrotado, en términos de pérdidas infringidas al enemigo, fue el más efectivo. 

Cada uno de estos ejércitos, contaba con una doctrina propia, arraigada en aspectos culturales y en su experiencia de la política, la industria o la misma guerra. El ejército norteamericano, influido por las estrategias de administración de Taylor y Ford, veía a su ejército como una gran fábrica de obreros especialistas, dónde cada uno de ellos debía hacer su tarea para llegar al resultado de la victoria. El ejército soviético, miraba la guerra desde una perspectiva política: la guerra, era un acto político, donde el derrotismo era traición. 

Fernando Fuentes foto.jpg

Los comisarios estuvieron presentes en este ejército controlando a los derrotistas y los actos de sacrificio más allá de lo humano, fueron una tónica. Las masas en guerra, con hombres y mujeres, soldados y partisanos fueron otra faceta. Los alemanes, por su lado, guiados por una tradición de guerra proveniente desde el ejército prusiano, habían observado, que durante la guerra, lo primero que falla son los planes. No nos equivoquemos, eran maestros en la construcción de planes. Pero estos planes, que podían ser seguidos desde el alto nivel estratégico, en el nivel operativo, sufrían de la presencia de lo no considerado: un mapa mal hecho, una unidad enemiga no identificada, un puente caído, un problema en los tanques y tantas otras cosas que podían salir mal. 


Los alemanes, pues, pusieron gran énfasis en la improvisación de sus comandantes. Estos debían ser capaces de improvisar frente a lo inesperado y así los entrenaron, con gran iniciativa y recursos para adaptarse a un territorio que iba a ser diferente el mapa.

 
En ciberseguridad, el escenario no es tan diferente. La vertiginosa velocidad de cambio de las amenazas y los propios sistemas a proteger es uno de los aspectos que afectan a los responsables de la defensa de activos y los afecta especialmente en el momento culmine: el momento del incidente, la batalla que se libra para evitar daños mayores. Este es el momento de la verdad de la ciberseguridad. 

Lo que podamos hacer depende de tantos factores: los sistemas que tengamos en ese momento, el nivel de actualizaciones, los controles que tengamos a disposición, el tipo de amenaza y la forma en que entró o los sistemas afectados, el tiempo que lleva la amenaza desplegándose, los recursos que tengamos a cargo en ese momento. Las guías y playbooks, pueden ayudar ciertamente, pero van a ser eso: guías, pues el momento de la verdad, va a tomar un camino propio. Y en ese momento, vamos a tener que improvisar. 

Pero hay formas y formas de improvisar y tal como hizo el ejército alemán, nos podemos preparar para improvisar. De hecho, el jazz ha hecho de la improvisación una faceta esencial de su arte. También lo hicieron los románticos del siglo XIX,  y cuando estas improvisaciones devinieron en arte excepcional, quedaron sus registros en los variados impromptus, parte del repertorio de muchos artistas.

La cuestión, entonces, es cómo, cuando lo indeseado llega, improvisamos. Si vamos a improvisar, debemos tener algunos principios rectores y sencillos. Cuando un músico improvisa, lo hace en ciertas escalas y conoce ciertas progresiones en torno a las cuales va a buscar el sonido que quiere. En nuestro caso, tenemos un factor externo y no siempre podemos elegir nuestra escala, pero??

En primer lugar, sabemos que en un incidente hay una serie de tareas que deben ser realizadas: análisis de logs, alertas y dispositivos, recuperación de equipos, implementación de medidas, monitoreo en tiempo real, búsqueda de información sobre la amenaza, coordinación y comunicación con el resto de la organización u otros externos a la organización. Un primer aspecto de improvisar bien,  es tener claridad sobre estas tareas genéricas, por que vamos a necesitar poner responsables sobre las mismas. Y si vamos a poner responsables, es bueno saber con quienes contamos o podríamos contar, para ver si son aptos para la tarea.

Luego, este equipo requiere algo sobre lo cual trabajar. Este algo, son datos y herramientas. Los sistemas de almacenamiento de logs son variados, pero su adopción es limitada. La ausencia de los mismos es uno de los grandes dolores al momento de responder: o no hay nada con qué trabajar o está tan diseminado y poco homologado, que requiere valiosas horas para poder usarlo. El no contar con un par de herramientas que permitan visualizar ese contenido o buscar dentro de equipos posiblemente comprometidos.

Tenemos a nuestro equipo, tenemos asignadas sus tareas, pero ¿hacia dónde corremos?. Correr a ciegas a toda velocidad en la dirección equivocada, significa terminar contra una muralla, con un tobillo esguinzado en una zanja, o en un precipicio tenemos que ver hacia dónde correr. Cuando nos largamos en la tarea de respuesta, generalmente nos enfrentamos a lo desconocido: ¿estamos frente a una falla de software o un incidente? (si alguien se pregunta porqué los equipos de ciberseguridad están cuando hay una posible falla de software, es porque siempre nos van a indicar como el primer responsable) o tal vez es un problema de configuración. Acá, el viejo método científico (sí el de Galileo), viene al apoyo: necesitamos generar hipótesis y trabajar sobre ellas, pero como proponía Popper, tenemos que tratar de falsear dichas hipótesis, para quedarnos con las más satisfactorias. Esta disciplina, que busca evidencia para falsea la hipótesis es una herramienta poderosa. Esto tiene una razón: siempre podemos encontrar evidencia para apoyar una hipótesis: “el servidor ha estado lento durante la semana”, “este servidor ha fallado dos veces este año”, “estos equipos sabemos que no son muy confiables”.

Finalmente, se impone la necesidad de un ritmo de avance, una coordinación permanente, sobre las hipótesis sobre las que trabajamos, las que descartamos, las acciones que tomamos.

De la misma forma que es impensable que un equipo de fútbol juegue los fines de domingos sin haberse preparado durante la semana, sin haber entrenado para enfrentar diversos escenarios o para imponer su propio escenario, la respuesta a incidente, requiere esa mirada. Entrenar a los equipos, acostumbrarse al método, refinarlo y hacerlo propio.

 

Hoy, la tecnología, nos brinda además, sistemas que permiten automatizar una serie de tareas o que nos permiten coordinar mejor a nuestros equipos de trabajo y sistematizar nuestras guías de trabajo. Todos estos sistemas son invaluables cuando el tiempo parece ser demasiado poco y la presión demasiado alta. Sin embargo, estos sistemas, necesitan un sistema que les saque su potencial completo. Una capacidad de enfrentar lo desconocido con un sistema.

Así, pues, planifiquemos para improvisar.

contacto@cibertime.com
CiberTime - Todos los derechos reservados.