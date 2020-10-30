Si hubiera encuestado a expertos en ciberseguridad de camino al trabajo el 12 de mayo de 2017, la mayoría de ellos habría dicho que sabían que se avecinaba un gran evento de ciberseguridad.
Sin embargo, ese día nadie esperaba que se encontraran en la tormenta perfecta (con el ransomware WannaCry, el ciberataque más dañino hasta la fecha) cuando viajaban en coche, ferry o avión a sus respectivas oficinas esa mañana de primavera.
Nuestros dispositivos, sistemas y redes están cada vez más interconectados, lo que significa que los virus pueden moverse entre sistemas con mucha más facilidad de lo que lo hacían en el pasado. Pero sin un acontecimiento importante en la memoria reciente, la mayoría de nosotros (incluso un periodista de ciberseguridad como yo) nos volvimos un poco confiados. Al combinar estos factores con el número de dispositivos y sistemas activos, el escenario estaba preparado.
Este ataque de ransomware fue el mayor evento de ciberseguridad que el mundo había visto jamás, en parte porque el impacto fue más amplio que el propio brote. Provocó enormes réplicas en las empresas, la política, la comunidad hacker y la cultura de ciberseguridad.
Incluso después de encontrar el interruptor de emergencia, el virus continuó devastando todos los sistemas y todos los datos que tocaba, atacando los sistemas informáticos de 300 Organizaciones en 150 países.
De todos los países del mundo, Rusia sufrió el mayor número de intentos de infección, según la BBC. Sin embargo, la mayoría de los servidores de misión crítica no se vieron afectados, ya que ejecutaban un software de la era soviética conocido como Elbrus. No obstante, la inmunidad técnica no impidió que el virus se propagara a los ordenadores de todo el país. Eliminó endpoints en el Ministerio del Interior, los ferrocarriles, los bancos y el enorme operador de telefonía móvil Megafon.
Informar en directo sobre WannaCry me dejó intrigado y lleno de preguntas, incluso años después. Cada vez que el ataque se convertía en un tema de conversación en los últimos tres años, escuchaba repetir la misma idea: WannaCry fue abrumador y cambió la forma en que abordamos la ciberseguridad y vemos los riesgos para las empresas.
Para mí, ese sentimiento era demasiado amplio para un evento de esta magnitud. Tenía preguntas específicas. ¿Cómo era ser un profesional de la seguridad el 12 de mayo de 2017? ¿Cuál fue el impacto total para las empresas y los gobiernos de todo el mundo? ¿Cómo influyó lo aprendido ese día en nuestro panorama empresarial, tecnológico y de ciberseguridad?
También me preguntaba cómo el hecho de que todo el mundo siguiera el evento (a través de las redes sociales y las páginas de noticias digitales) cambió tanto la respuesta como el impacto general. Los líderes empresariales y el público observaron la cobertura informativa y nadie sabía exactamente qué estaba ocurriendo. Casi todos coincidieron en que parecía ominoso. Yo tenía también curiosidad por saber si esto aumentaba el pánico público o ayudaba a resolver el problema antes.
"Sigue siendo grande. Se usa como ejemplo de algo para lo que las organizaciones no estaban preparadas. Fue una muy buena llamada de atención para muchas empresas", afirma Tracey Nash, directora del Programa de Comando de Incidentes de IBM X-Force. Nash cuenta el 12 de mayo de 2017 como el momento en que las organizaciones aprendieron que necesitaban considerar el lado empresarial de los riesgos de ciberseguridad.
Para averiguar exactamente qué sucedió (y, lo que es más importante, por qué WannaCry dejó un cráter en el paisaje) hablé con los actores clave que respondieron al ataque. Una persona con la que pasé muchas horas hablando fue Wendi Whitmore, vicepresidenta de IBM X-Force Threat Intelligence. También hablé con Christopher Scott, director de Innovación y Corrección de Seguridad (Oficina del CISO) en IBM, para conocer su perspectiva sobre los acontecimientos de ese día y la recuperación tras el ataque WannaCry.
Esta historia narra el viaje para descubrir qué ocurrió realmente aquellos días caóticos hace tres años y cómo el impacto y el legado de WannaCry perduran hoy en día.
Muchas personas, incluso profesionales de la ciberseguridad líderes en el sector, se enteraron del ataque por primera vez a través de un tweet. Un médico del Sistema Nacional de Salud (NHS) del Reino Unido fue uno de los primeros en dar la noticia sobre el ataque masivo en Twitter. Esto vino seguido de innumerables colegas que mostraron fotos de sus pantallas de ordenador bloqueadas, todas con el mismo mensaje: "¡Vaya, sus archivos han sido cifrados!"
En ese momento, los empleados del NHS no tenían ni idea de que el ataque acabaría provocando 70.000 dispositivos infectados y el cierre total de un tercio de todos los hospitales del NHS. El impacto de WannaCry en el NHS y otros hospitales de todo el mundo fue una prueba de que la ciberdelincuencia podría causar estragos en la era del Internet de las cosas médicas (IoMT). Afortunadamente, los investigadores de seguridad clínica han comprobado de manera definitiva que el caos de los criptogusanos no provocó la muerte de ningún paciente.
Incluso aquellos que no estaban frente a sus ordenadores supieron rápidamente que algo grave estaba sucediendo:
En la señalización digital que anunciaba las llegadas y salidas de los viajeros en Alemania apareció un reclamo de bitcoin.
Esas mismas palabras también aparecieron en docenas de pantallas de cine en Corea del Sur.
En Yakarta, Indonesia, los pacientes de hospitales esperaron durante varias horas mientras los médicos pasaban de los sistemas informáticos a los registros en papel.
Whitmore, que en ese momento trabajaba como socio global y líder de respuesta a incidentes con X-Force Threat Intelligence, dice que casi tan pronto como dio inicio el ataque, su equipo comenzó a rascarse la cabeza y a decir en voz alta: "esto es raro".
En concreto, el equipo de Whitmore sabía que se enfrentaba a algo diferente cuando descubrió que era literalmente imposible liberar los archivos infectados. El ransomware no permitía a los piratas informáticos saber quién pagó el rescate.
Una de sus primeras prioridades era obtener copias del malware. Sabía que no se puede detener algo hasta que no se sabe exactamente cómo funciona. Pero conseguir las copias y descomponerlas fue duro, sobre todo bajo la presión de saber que el mundo se detenía rápidamente.
WannaCry fue el ataque de ciberdelincuencia de mayor propagación jamás experimentado. Los ordenadores conectados a Internet sin parches podían ser víctimas en cuestión de minutos y empezar a propagar rápidamente el gusano a través de una red. Muchas noticias describen equipos de IT corriendo de un lado a otro intentando contener los daños mientras sus compañeros encendían sus ordenadores de trabajo.
Cuando le pregunté a Laurance Dine, director global de X-Force Threat Intelligence (que en ese momento trabajaba para un Proveedor de servicios gestionados), qué recordaba mejor de aquel día, me dijo que era que el teléfono sonaba constantemente. Todas las personas del otro lado eran clientes asustados que necesitaban ayuda. Resumió el día como “una locura absoluta”.
Muy rápidamente, todo su equipo, incluidos otros expertos en seguridad que no formaban parte del Equipo de Respuesta a Incidentes (RI), se desplegó en primera línea.
“Estaba en todas partes y parecía que todos estaban involucrados. El ciudadano medio sabía lo que estaba pasando con el ransomware", afirma Dine. "Entendieron las noticias y lo que estaba sucediendo, y no podían ir a los hospitales, y eso afectó la vida de las personas".
A lo largo del día, los trabajadores de respuesta a incidentes cancelaron sus planes colectivamente y se prepararon para un largo fin de semana de duro trabajo. Todo el mundo observaba con asombro cómo las empresas globales quedaban estupefactas tras la aparición del gusano WannaCry.
Lo que ninguno de nosotros sabía en ese momento era que el criptogusano que destruía todos los sistemas que tocaba era en realidad una vulnerabilidad de dos meses de antigüedad conocida como EternalBlue. Una vez que 'Wanna Decryptor' logró infectar una sola máquina en una sola red, WannaCry comenzó a propagarse a otras computadoras en la misma red mientras escaneaba Internet en busca de otras máquinas sin parches. La vulnerabilidad explotada por EternalBlue dejó las máquinas Windows sin parches abiertas a la infección y propagó el virus WannaCry.
Los criptogusanos suelen detectarse rápidamente en redes empresariales. Pero WannaCry pasó desapercibido, hasta que no lo hizo. La detección es algo que muchos actores de amenazas sofisticados intentan evitar a toda costa, especialmente durante un ataque altamente dirigido, pero WannaCry no fue un ataque dirigido. Fue un ataque global cuidadosamente planificado y diseñado para llamar la mayor atención posible, que es exactamente lo que ocurrió.
En muchos casos, explica Scott, la propagación también fue posible gracias a lo que él llama una "red M&M". En un caso así, la estructura de la red es dura por fuera y blanda por dentro. Era un interior acogedor para los actores de amenazas y los criptogusanos. Comenta que una vez que el criptogusano pasó la dura cobertura de caramelo en el borde de la red, WannaCry encontró mucha libertad para mover por el entorno.
Durante las siguientes siete horas, el "gran gusano baboso" causó estragos en todo el mundo hasta que los investigadores de ciberseguridad Marcus Hutchins y Jamie Hankins descubrieron un interruptor de emergencia. Se descubrieron dos interruptores de emergencia adicionales, lo que finalmente hizo que la cepa de ransomware quedara prácticamente inerte.
Pero el largo proceso de corrección acababa de empezar para 300 organizaciones de todo el mundo, y ninguno de nosotros nos dimos cuenta de la magnitud del daño y del proceso para hacer las correcciones. Seguíamos en territorio no mapeado, incluido el equipo de Scott, que se apresuraba a aplicar una corrección.
"Necesitaba volver a poner esos entornos en condiciones operativas", dice Scott. “Pero ¿cómo realizamos las pruebas para asegurarnos de que la solución sea correcta? ¿Cómo gestionamos la aceptación por parte de los usuarios? Y, luego, ¿cómo lo llevamos a producción?"
En muchos casos, el equipo de Scott tuvo que pasar por alto los procesos de prueba tradicionales y correr el riesgo de que las prisas “rompieran algunas cosas”. WannaCry no ofrecía precisamente opciones a las personas, que fue una de las grandes razones de la destrucción masiva que dejó tras de sí.
La mayoría de los profesionales de la ciberseguridad saben que WannaCry no fue un éxito financiero, y los datos sobre su beneficio neto muestran que fue mucho menor de lo esperado. Los registros de blockchain revelan que entre mayo de 2017 y diciembre de 2019, WannaCry supuso para los atacantes un total de alrededor de 386.000 dólares, aunque el total fluctúa con la valoración de bitcoin. Es decir, unos míseros 1,08 dólares o menos por ordenador infectado.
Comparado con virus de correo electrónico mucho más antiguos, estrictamente en términos de dólares, era casi una ganga. Symantec estimó pérdidas financieras de 4.000 millones de dólares en 2018 debido a WannaCry, una cifra probablemente mayor en la actualidad. El virus Conficker causó más de 9.100 millones de dólares en daños en 2007 e infectó millones de ordenadores en todo el mundo. En 2004, MyDoom causó unos 38.000 millones de dólares en daños y afectó a alrededor del 25% de los correos electrónicos enviados a lo largo del año.
Este criptogusano estaba destinado a hacer mucho ruido en lugar de beneficiarse de un único objetivo. Los actores de amenazas detrás de WannaCry aprovecharon específicamente el software de contabilidad fiscal ucraniano, un software que el gobierno exigía para cualquier organización que hiciera negocios en Ucrania, según Dine. Al lanzar una actualización de software, los actores de la amenaza lograron derribar una gran parte de la infraestructura nacional de Ucrania por el camino.
La gran mayoría de la ciberdelincuencia tiene motivaciones financieras. Es raro encontrar un ransomware diseñado para causar estragos masivos sin preocuparse por los rescates reales.
Cuando se le pregunta cuál cree que es la parte más significativa de WannaCry, Whitmore dice que todo era significativo.
"Sin duda fue una gran llamada de atención", dice Whitmore. “Así que, para cualquier organización que visto estos conglomerados globales… que contaban con buenos programas y protocolos de seguridad y se vieron afectados [por el virus], esto generó conciencia”.
Las campañas más específicas son más comunes a raíz de WannaCry, dice. Aunque los ataques no siempre son contra un solo cliente, ahora los actores de amenazas pueden enviar muchos correos electrónicos de phishing y obtener acceso a 10 clientes. A partir de ahí, observa que los actores de amenazas pasan entre seis y doce meses realizando un reconocimiento cuidadoso de posibles objetivos mientras evitan la detección dentro de la red.
Al final, dice Whitmore, lanzan el ransomware cuando saben o sospechan que van a tener más posibilidades de que les paguen.
WannaCry es probablemente responsable, al menos en parte, del vector de amenazas actual y de la creciente popularidad de los ataques comerciales de ransomware. El ransomware representó el 39% de todos los incidentes de malware con pérdida de datos en 2017, según el Informe de investigaciones de vulneración de datos (DBIR) de 2018. Desde entonces, los ataques se han vuelto mucho más sofisticados y costosos para las víctimas. El ransomware comercial también suele ser altamente capaz de evadir los métodos de detección.
Muchas organizaciones que fueron afectadas tenían copias de seguridad abundantes, pero no siempre eran recuperables. En muchos casos, las copias de seguridad estaban conectadas a la red y eran vulnerables a que WannaCry las bloqueara. En otros casos, las organizaciones tenían copias de seguridad fuera del sitio y no las habían probado para facilitar la recuperación.
El incidente de criptoransomware de mayo de 2017 supuso un punto de inflexión en el panorama de amenazas. WannaCry tuvo un impacto positivo en la cultura de ciberseguridad empresarial, pero también catapultó el ransomware en la conciencia de los actores de amenazas globales. Muchos actores de amenazas de ransomware ahora realizan una investigación cuidadosa del valor de los datos de una víctima si se pierden o se venden a un competidor.
Un ejemplo: Whitmore acaba de presenciar un ataque de ransomware contra una organización en las últimas seis semanas. Los atacantes pidieron 25 millones de dólares como rescate. “Esta no era una gran empresa en absoluto”, afirma Whitmore.
Antes de WannaCry, la mayoría de los líderes empresariales parecían tener una actitud de "no nos puede pasar a nosotros", especialmente fuera del área de la salud. Ahora, cuando menciono el ransomware, la gente escucha. Los líderes empresas suelen ser los primeros en hablar del ransomware conmigo y con otros expertos en ciberseguridad. Desde mi punto de vista, uno de los impactos más significativos del trauma y la destrucción de WannaCry fue cómo los líderes empresariales se dieron cuenta de que el ransomware era una amenaza significativa.
El evento tuvo también un profundo impacto en el papel de la ciberseguridad dentro de una empresa y en el papel del CISO (director de seguridad de la información y ciberseguridad) en la junta directiva. Ahora los líderes se da cuenta de es posible sufrir una vulneración cibernética importante y acabar mejor desde el punto de vista reputacional.
Una marca de logística con sede en la UE muestra cómo sufrió poco daño reputacional por parte de WannaCry. El CEO asumió un papel público y habló directamente con el público y los clientes en los días posteriores al ataque. La combinación del criptogusano y el CEO confiado y comunicativo fue un primer paso crítico hacia una cultura de ciberseguridad empresarial de responsabilidad compartida.
Tras el primer ataque de WannaCry se produjeron innumerables imitaciones y réplicas. ESET reveló en mayo de 2020 que WannaCry representó el 40,5 % de todas sus detecciones de ransomware en el primer trimestre de 2020. Algunos países siguen viéndose desproporcionadamente afectados por las réplicas de WannaCry porque los principales proveedores de servicios bloquean los dominios de los interruptores de emergencia. Algunas de estas infecciones persistentes se deben a malas prácticas de higiene cibernética. Otras infecciones persisten en endpoints no tradicionales que son difíciles de detectar, y mucho menos de gestionar, para muchas empresas.
Es difícil decir si las empresas estarían significativamente mejor preparadas para un ataque global de criptogusanos en 2020 que en 2017. Sin embargo, la mayoría de los expertos con los que he hablado están de acuerdo en que el elemento humano de la ciberseguridad ha evolucionado drásticamente, lo que debería dar esperanzas a los profesionales de la respuesta a incidentes.
Sin embargo, según ESET, los datos del motor de búsqueda Shodan revelaron que casi 1 millón de dispositivos seguían siendo vulnerables y no tenían parches contra la vulnerabilidad EternalBlue en mayo de 2019. Ha habido muy poca variación en esa cifra desde finales de mayo de 2017, lo que es muy preocupante.
Una encuesta reciente muestra que el 27% de las organizaciones globales habían atribuido un incidente de vulneración de datos a vulnerabilidades sin parches. Lo más preocupante es que un gran porcentaje tiene poca idea exacta de qué endpoints en su red plantean riesgos. Mientras tanto, el 39% de las organizaciones admite realizar escaneos de vulnerabilidades menos de una vez al mes. Según CA Veracode, más del 70% de las vulnerabilidades siguen sin parchear después de 30 días.
El coste de recuperación de un ataque altamente destructivo fue de 239 millones de dólares, o 61 veces más caro que un incidente medio que implique pérdida de datos.
Scott ha observado importantes cambios positivos en la forma en que las organizaciones abordan los entornos y los puntos de control para evitar las condiciones de "dura cobertura de caramelo" que permitieron que el gusano se propagara tan rápidamente. Los clientes ahora están pensando en la contenerización y los microservicios en lugar de proporcionar a los atacantes el tipo de objetivo de red blando y pegajoso que era común en 2017 y antes. Esto podría estar parcialmente relacionado con WannaCry, pero también es probable que se deba al hecho de que los perímetros de las redes empresariales han cambiado.
En las redes actuales, no es raro encontrar muchos servidores que pueden no tener acceso a las estaciones de trabajo. En su lugar, los usuarios pueden acceder a los datos de nube a través de agentes. La nube segura añade un poco de complejidad a las políticas de seguridad y complica algunos flujos de trabajo, pero también ha mejorado la posición de seguridad en muchos aspectos. El aislamiento basado en la nube significa que las organizaciones ya no operan en una gran red.
El abandono de las redes de caramelo de ayer también ha repercutido en los privilegios de los usuarios. Scott considera que esto es muy positivo para la defensa contra las amenazas persistentes avanzadas (APT) y las cuentas privilegiadas. Lo más importante es que muchas organizaciones están cambiando a modelos de acceso basados en la confianza y las necesidades en lugar de designar superusuarios y reestructurar privilegios.
Sin embargo, tres años después del gusano WannaCry, el coste de recuperarse de ransomware y APTs altamente selectivos está en su punto más alto. Esto es increíblemente desconcertante. El año pasado, el coste medio de recuperación de una vulneración de datos fue de 3,92 millones de dólares, según el informe Cost of a Data Breach de 2019. El coste de recuperación de un ataque altamente destructivo fue de 239 millones de dólares, o 61 veces más caro que un incidente medio que implique pérdida de datos.
Los actores de amenazas son cada vez más audaces y más calculadores a la hora de exigir exactamente la cantidad de dinero que piensan que valen los datos de una víctima. El ransomware comercial en 2020 no está pensado para propagarse viralmente por redes ni para atacar cientos de miles de endpoints sin parchear. En su lugar, los actores de amenazas se dirigen a empresas susceptibles de pagar rescates millonarios.
Los actores de amenazas se centran en las víctimas para asegurarse de que invadan todos los sistemas adecuados y crear un entorno de terror, llegando incluso a menudo a los servidores de copia de seguridad para intentar forzar a la víctima a pagar el rescate.
El aumento de la colaboración ha sido uno de los impactos más positivos de los últimos tres años. WannaCry puede haber sido una especie de catalizador para una mayor colaboración entre las industrias, el sector público y los responsables políticos internacionales.
He hablado con Mike Barcomb, director de programas de X-Force Incident Command, para conocer su perspectiva sobre el cambio.
"Las empresas se han centrado en crear estos programas [de respuesta a incidentes], pero también en trabajar junto con sus homólogos y otras empresas del sector", afirma Barcomb. "Generan energía donde pueden compartir buenas prácticas e información sobre amenazas sobre los actores de amenazas: cosas que han visto y cosas que han experimentado".
"Es muy alentador ver a las empresas trabajar juntas para construir defensas contra las amenazas".
El elemento humano de la preparación es tan importante como la preparación tecnológica para garantizar una higiene cibernética adecuada, afirma Kurt Rohrbacher, líder norteamericano de IBM X-Force Threat Intelligence. La mejor forma en que una organización puede prepararse para cualquier incidente global es pensar en qué sucede cuando fallan los controles y considerar el peso de cada decisión.
"La gente no suele pensar en [cómo] las primeras horas de un incidente pueden a menudo dictaminar si se va a lidiar con él un día, una semana, un mes o, en algunos casos, un año", dice Rohrbacher. "Identificar los pasos que va a tomar muy pronto en un incidente hará o deshará su respuesta final".
Esta afirmación me llamó mucho la atención porque a menudo subestimamos el impacto del estrés y el pánico en nuestra capacidad de toma de decisiones. Estas decisiones aparentemente pequeñas pueden marcar la diferencia entre millones de dólares y años o meses de recuperación.
Scott me dijo que le da esperanza ver los inicios de un cambio en los indicadores clave de rendimiento (KPI), que es un área que le apasiona especialmente. A menudo pregunta a su equipo: "¿Cómo rastreamos e incentivamos realmente a las personas para que hagan el trabajo correctamente?"
En el caso de los analistas SOC, las métricas que se centran en la velocidad de resolución y los plazos pueden ser contraproducentes. Los analistas de SOC pueden desviarse si operan en un entorno demasiado centrado en la eficiencia. Pueden cerrar tickets antes de completar una investigación y perderse el panorama general, como el punto de infiltración de un ataque.
Puede que la higiene cibernética y los hábitos de parcheo de la industria no hayan mejorado de forma medible desde mayo de 2017, pero la mayoría de los expertos coinciden en que estaríamos mejor preparados hoy que antes, incluso fuera de organizaciones que ya han sufrido ataques de ransomware. Se trata de un cambio en el elemento humano de la ciberseguridad.
Rohrbacher se ríe cuando pregunto cómo se preparan las empresas y los profesionales de ciberseguridad para lo inesperado. Se encoge de hombros y dice: "Bueno, no hay nada como un incidente real".
Me dijo que un incidente real, como WannaCry, aumenta tanto la conciencia como la preparación. Más allá de eso, casi todos los expertos en respuesta a incidentes con los que he hablado están de acuerdo en que la simulación es esencial, al igual que los ejercicios de simulación trimestrales y las pruebas periódicas de herramientas de comunicación son cruciales para desarrollar la memoria muscular.
Señaló las simulaciones de phishing y las actividades de rango cibernético como dos formas en que las organizaciones podían prepararse para resultados impredecibles. Rohrbacher dice que si un ejercicio o simulacro realmente pone a las personas en situación y las anima a divertirse, es más probable que saquen sus propias conclusiones sobre cómo responder mejor.
Continuamente me sorprende la similitud entre la actual pandemia de COVID-19 y el ataque WannaCry. Las primeras horas del ataque se parecieron mucho a las de marzo de 2020, ya que todo el mundo se entró en modo de crisis, intentando gestionar una situación nunca antes vista. Ahora, a medida que la pandemia se prolonga, la sensación es similar a la que tenemos cuando todavía encontramos infecciones de WannaCry hoy en día. Es probable que la pandemia nos afecte a la mayoría de nosotros a un nivel más personal. Pero ambas crisis afectaron nuestra vida cotidiana de una manera que nadie podría haber imaginado o predicho.
Las lecciones clave de ambos eventos se reducen a la preparación. Tanto WannaCry como la pandemia cogieron a todo el mundo con la guardia baja. Esto plantea la vieja pregunta de cómo prepararse para algo que nunca antes ha estado cerca de suceder.
Lo que se le ocurre a la mayoría de las personas cuando piensan en la preparación son los planes estratégicos, las simulaciones, la formación y el uso de herramientas, como las copias de seguridad para la recuperación. Sin embargo, estas medidas solo llegan hasta cierto punto cuando se produce un ataque novedoso y no existe un plan para lo que está sucediendo exactamente. Creo que realmente se reduce a adoptar una nueva perspectiva y enfoque.
"Cuando estás en medio de una crisis, todo, excepto la memoria muscular, se va por la ventana".
Algo que dice Rohrbacher sigue viniendo a la mente: "Cuando estás en medio de una crisis, todo, excepto la memoria muscular, se va por la ventana".
Por supuesto, tenemos que ser capaces de implementar la tecnología y crear planes y opciones de recuperación de copias de seguridad. Pero también debemos centrarnos en crear confianza y memoria muscular para cada trabajador de respuesta a incidentes.
La confianza no es algo que ocurre en una sola sesión de entrenamiento o una casilla que se marca un jueves por la tarde. Es un cambio subyacente en la cultura y los procesos. La preparación consiste en capacitar a las personas para que se sientan lo suficientemente seguras como para tomar las riendas. Lo deseable es que su equipo respire hondo y diga: "Está bien, lo tengo", incluso cuando ocurra lo inesperado.
Jasmine Henry contribuyó a cubrir esta historia.