Un buen analista de ciberamenazas sabe cuándo aplicar el principio BLUF. 

En el mundo de la ciberseguridad, la forma en la que decimos algo importa tanto como, tal vez incluso más, que lo que decimos. 

Un experimento mental para ilustrar esta cuestión:

Usted es el CEO de uno de los mayores oleoductos del país. Le han convocado a una reunión informativa sobre inteligencia de amenazas porque sus analistas han encontrado un par de ciberamenazas importantes que podrían afectar a su organización.

¿A cuál de estas dos amenazas le das prioridad a la hora de responder?  

• Amenaza 1: "Una banda de ransomware ha estado atacando a otras empresas energéticas, bloqueando datos críticos hasta que la empresa pague un rescate. Si este ransomware pusiera en peligro nuestra red, estimamos que podría cifrar hasta 100 gigas de nuestros datos".

• Amenaza 2: "Un malware altamente disruptivo ha afectado a varios sistemas de infraestructura crítica en los últimos meses, dejando fuera de línea los servicios principales. Si penetra en nuestra red, estimamos que este malware cerraría todo el pipeline durante una semana".

Es una pregunta trampa. Ambas amenazas describen el mismo ataque: el ataque de ransomware Colonial Pipeline de 2021, el mayor ciberataque a infraestructuras petroleras en la historia de EE. UU. Hackers malintencionados cerraron el oleoducto que transporta el 45 % del combustible de la costa este y presionaron a las víctimas para que pagaran un rescate de 4,4 millones de dólares. (El Departamento de Justicia acabó recuperando parte de ese rescate).

Observe cómo, a pesar de describir el mismo ataque, estos informes de amenazas no se sienten igualmente urgentes. La amenaza 1 parece mala, pero la amenaza 2 requiere una respuesta inmediata.

La amenaza 2 parece mucho más urgente porque enfatiza el impacto comercial del ataque, en lugar de los detalles técnicos. Desafortunadamente, los analistas de amenazas a menudo entienden esto al revés, lo que contribuye a una profunda brecha de comunicación entre la ciberseguridad y la empresa.  

Esta brecha es más que un mero inconveniente. Puede dejar a la organización expuesta a todo tipo de ataques. 

Todos.

Por un lado, los profesionales de la ciberseguridad no siempre expresamos nuestros conocimientos en términos empresariales. A menudo adoptamos un enfoque más técnico, haciendo hincapié en los aspectos internos de todo ello: los nombres de los actores de amenazas, las cepas de malware, los IOC y las puntuaciones de CVE y CVSS, todo un muro impenetrable de acrónimos especializados.

Estas cosas significan mucho para nosotros como profesionales, pero significan mucho menos para los líderes empresariales a los que queremos educar. 

Por otro lado, esos mismos líderes empresariales podrían tener algunas ideas inexactas sobre el papel de la ciberseguridad y el verdadero alcance de su valor. La ciberseguridad se suele tratar como un ejercicio de verificación de casillas, una cuestión de cumplir con alguna regla para evitar una multa u obtener una certificación. 

Esta mentalidad hace que la seguridad sea poco más que una partida adicional en el presupuesto, un centro de costes en lugar de un ahorro de costes o incluso una ventaja competitiva. 

Como resultado, cuando nos sentamos a la mesa de conferencias, terminamos hablando entre nosotros. Aquí hay consecuencias materiales. Si la seguridad no puede transmitir las amenazas en un lenguaje que la empresa entiende, la empresa podría subestimar los riesgos o negar ciertas inversiones en seguridad porque "no parecen valer la pena".

Hasta que ocurre el desastre. 

Pero a nadie le gusta escuchar "Te lo dije". Desde luego, eso no te hace ganar amigos en el equipo directivo. 

Una vez más, los profesionales de la ciberseguridad no tienen toda la culpa de la brecha. Pero estamos en una posición única para cerrarla.

Si nos comunicamos en términos que sean importantes para los líderes empresariales, podemos alinear mejor a toda la organización en cuanto a las prioridades de gestión de amenazas y los controles de seguridad.

Esta alineación, a su vez, facilita que el equipo de seguridad obtenga apoyo para sus recomendaciones. Con el tiempo, a medida que estas inversiones en seguridad dan sus frutos, la empresa empieza a ver la seguridad como un verdadero creador de valor. 

Aquí hay cuatro cambios de comunicación que los equipos de ciberseguridad pueden hacer para comenzar a cerrar la brecha: 

Es fácil centrarse en lo que podría ocurrir: ataques que podrían materializarse, sistemas que podrían ser vulnerables, actores de amenazas que podrían surgir. 

Los líderes empresariales suelen estar más interesados en lo que sucedió: los ataques que evitamos y las vulnerabilidades que solucionamos.

Esto es, en cierto modo, algo positivo. Por un lado, es una señal de confianza en el equipo de seguridad. Los líderes empresariales no necesitan conocer todas las posibilidades porque confían en nosotros para prevenir la mayoría, si no todas. 

Esto también nos permite promocionar más nuestras victorias, para demostrar nuestro valor informando sobre cómo hemos protegido con éxito a la organización del peligro. 

Dicho esto, tenemos un problema que resolver. Aunque queremos hacer hincapié en lo real, no podemos abandonar por completo lo posible. Después de todo, parte de nuestro cometido es identificar nuevas ciberamenazas y establecer las medidas de seguridad adecuadas para detenerlas.

He aquí un enfoque que puede adoptar para equilibrar estos factores:

Cuando aparezca una nueva ciberamenaza, identifique su probabilidad y su impacto potencial. A continuación, identifique las medidas que puede utilizar para hacer frente a la amenaza sin necesidad de permisos ni nuevos recursos, y luego impleméntelas. Evalúe cómo estas medidas reducen la probabilidad y el impacto de la amenaza y, a continuación, determine el nivel de riesgo general de la amenaza. 

Las amenazas de alto riesgo probablemente requieran más recursos, y deben señalarse a la atención de los líderes empresariales.  Las amenazas de bajo riesgo pueden compilarse en una lista complementaria o mencionarse de pasada, pero no es necesario que ocupen un valioso tiempo de reunión.  

Hablando de impactos de amenazas: es mejor anclar los informes y estimaciones de impacto a números concretos y consecuencias empresariales concretas.

Los profesionales de la seguridad a veces asumimos que las vulnerabilidades son evidentemente malas. Si hay algún fallo en un sistema, hay que arreglarlo porque es un fallo. 

Pero fuera de la seguridad, la mera existencia de una vulnerabilidad podría no ser motivación suficiente.

En parte, esto se debe a que solemos hablar de vulnerabilidades en términos abstractos: "Nuestro sistema es vulnerable a nuevas cepas de ransomware que eluden muchos de nuestros controles existentes. Proponemos implementar nuevas protecciones contra ransomware a un coste de 200 000 USD".  

Una recomendación razonable, pero 200 000 USD es un precio elevado. Los responsables de la toma de decisiones pueden resistirse a tal inversión, especialmente si la única justificación es algo tan inespecífico como "detener el ransomware".

Considere este marco en su lugar: "Nuestro sistema es vulnerable a las nuevas cepas de ransomware. Hemos analizado incidentes en organizaciones similares y estos ataques de ransomware cuestan una media de dos millones de dólares al día debido a una combinación de pérdida de negocio y el precio de la corrección. Proponemos implementar nuevas protecciones contra ransomware a un coste de 200 000 USD". 

Ahora, estamos hablando de gastar 200 000 USD no para "detener el ransomware", sino para evitar que la organización pierda dos millones de dólares por día. Parece un buen negocio. 

Los profesionales de la ciberseguridad tendemos a pecar de precavidos. Pero para muchas empresas, el nivel óptimo de riesgo no es cero. 

Piense en la clásica tríada de seguridad de la información de la CIA. Dice que un sistema de información seguro requiere confidencialidad, integridad y disponibilidad. 

En otras palabras: los datos y sistemas confidenciales deben estar protegidos, pero también deben estar disponibles para que los empleados los utilicen. Este equilibrio es difícil de lograr. Las protecciones estrictas pueden mantener los sistemas seguros, pero el impacto en la productividad no siempre vale la pena.

Por ejemplo, uno de nosotros trabajaba en una empresa de medios de comunicación que prefería restricciones bastante laxas sobre los tipos de empleados tecnológicos utilizados. Esta política abrió oportunidades para la TI invisible no gestionada y la navegación arriesgada, pero también permitió a los empleados investigar de forma rápida y dinámica las tiendas en desarrollo. Esta actividad era fundamental para el modelo de negocio de la empresa, por lo que la organización estaba dispuesta a aceptar los riesgos que conllevaba.  

Con una comprensión compartida de lo que significa el riesgo, los equipos de ciberseguridad pueden buscar tácticas y herramientas que satisfagan las necesidades de seguridad sin interrumpir las operaciones comerciales. 

Tenga en cuenta que alinearse con la tolerancia al riesgo no significa que la ciberseguridad siempre se pliegue a los intereses del negocio. Los equipos de ciberseguridad pueden y deben utilizar su experiencia para influir en la comprensión del riesgo por parte de la empresa.

Uno de nosotros recuerda una sesión informativa de inteligencia de amenazas en particular. La sesión informativa había identificado un ataque específico como de bajo riesgo, pero un ejecutivo lo rechazó. En su opinión, el nivel de riesgo debería ser mayor porque la organización había sufrido este tipo de vulneración en el pasado.

El equipo de inteligencia de amenazas señaló que el panorama había cambiado desde entonces. La organización había instalado protecciones que reducían la probabilidad y la gravedad de un ataque de este tipo. Además, la amenaza no se había dirigido recientemente a organizaciones como esta empresa.   

El ejecutivo escuchó el caso y estuvo de acuerdo con la evaluación de bajo riesgo. Si no nos hubiéramos tomado el tiempo para alinearnos con el riesgo, habríamos terminado gastando tiempo y recursos en una amenaza que planteaba poco daño.

Este último punto es el más simple, pero quizás el más impactante. No requiere cambios de mentalidad ni redirecciones estratégicas. Es, en cambio, un pequeño cambio estructural en la forma en que redactamos los informes.

Estamos hablando del principio BLUF, o "poner lo más importante al principio".

Especialmente en los círculos de inteligencia de amenazas, tenemos la costumbre de producir informes largos y detallados de 20, tal vez 30 páginas, que abarcan inmersiones profundas en toda la información nueva que tenemos que compartir.

Puede que todo esto nos resulte interesante, pero muchos ejecutivos lo ven y piensan: "TLDR: demasiado largo, ¡no lo he leído!" 

Cuando utilizas el principio BLUF, empieza directamente con lo esencial: esto es lo que ha pasado. Esto es lo que debe preocuparle. Esta es nuestra evaluación de la situación y lo que pensamos que deberíamos hacer al respecto.

El resto del informe puede seguir siendo un análisis en profundidad para aquellos lectores que lo deseen. Pero un resumen digerible, basado en detalles pertinentes y concretos, suele ser suficiente para que los líderes empresariales tomen una decisión informada. 

Para cerrar la brecha de las comunicaciones de ciberseguridad, lo que en última instancia debemos hacer es traducir los términos técnicos de nuestro arte a un lenguaje de urgencia e impacto que resuene en los líderes empresariales.

Al cambiar nuestro enfoque de la comunicación, también podemos cambiar la percepción de la seguridad de la empresa: de otra línea de pedido a una inversión crítica que ayuda a la organización a operar, innovar y prosperar.