Un buen analista de amenazas cibernéticas sabe cuándo hacer BLUF 

En el mundo de la ciberseguridad, cómo decimos algo importa tanto como, o incluso más, lo que decimos. 

Un experimento mental para ilustrar este punto:

Usted es el CEO de uno de los mayores oleoductos del país. Se le llamó a una sesión informativa sobre inteligencia de amenazas porque sus analistas encontraron un par de amenazas cibernéticas importantes que podrían afectar a su organización.

¿A cuál de estas dos amenazas prioriza responder?  

• Amenaza 1: “Una banda de ransomware ha estado atacando a otras empresas de energía, bloqueando datos críticos hasta que la empresa pague un rescate. Si este ransomware pusiera en peligro nuestra red, estimamos que podría cifrar hasta 100 gigas de nuestros datos”.

• Amenaza 2: “Un malware altamente disruptivo ha afectado a varios sistemas de infraestructura crítica en los últimos meses, desconectando los servicios principales. Si penetra en nuestra red, estimamos que este malware cerraría todo el pipeline durante una semana”.

Es una pregunta capciosa. Ambas amenazas describen el mismo ataque: el ataque de ransomware Colonial Pipeline de 2021, el mayor ciberataque a la infraestructura petrolera en la historia de EE. UU. Los hackers maliciosos cerraron el oleoducto que transporta el 45 % del combustible de la costa este y presionaron a las víctimas para que pagaran un rescate de 4.4 millones de dólares. (El Departamento de Justicia finalmente recuperó parte de ese rescate).

Observe cómo, a pesar de describir el mismo ataque, estos informes de amenazas no se sienten igualmente urgentes. La amenaza 1 parece mala, pero la amenaza 2 requiere una respuesta inmediata.

La amenaza 2 se percibe mucho más urgente porque enfatiza el impacto comercial del ataque, en lugar de los detalles técnicos. Desafortunadamente, los analistas de amenazas a menudo entienden esto al revés, lo que contribuye a una profunda brecha en las comunicaciones entre la ciberseguridad y el negocio.  

Esta brecha es más que un mero inconveniente. Puede dejar a la organización expuesta a todo tipo de ataques. 

Todos.

Por un lado, los profesionales de la ciberseguridad no siempre expresamos nuestros insights en términos empresariales. A menudo adoptamos un enfoque más técnico, enfatizando los pormenores de todo: los nombres de actores de amenazas y cepas malware, IOC y CVE y puntuaciones CVSS, todo un muro impenetrable de acrónimos especializados.

Estas cosas significan mucho para nosotros como profesionales, pero significan mucho menos para los líderes empresariales que queremos educar. 

Por otro lado, esos mismos líderes empresariales podrían tener algunas ideas inexactas sobre el papel de la ciberseguridad y el verdadero alcance de su valor. La ciberseguridad a menudo se trata como un ejercicio de verificación de casillas, una cuestión de cumplir con alguna regla para evitar una multa u obtener una certificación. 

Esta mentalidad hace que la seguridad sea poco más que una partida adicional en el presupuesto, un centro de costos en lugar de un ahorro de costos o incluso una ventaja competitiva. 

Como resultado, cuando nos sentamos a la mesa de conferencias, terminamos hablando entre nosotros. Aquí hay consecuencias materiales. Si la seguridad no puede transmitir las amenazas en un lenguaje que la empresa entiende, la empresa podría subestimar los riesgos o negar ciertas inversiones en seguridad porque “no parecen valer la pena”.

Hasta que ocurre el desastre. 

Pero a nadie le gusta escuchar “Se lo dije”. Ciertamente no le hace ganar amigos altos ejecutivos. 

Una vez más, los profesionales de la ciberseguridad no tienen toda la culpa de la brecha. Pero estamos en una posición única para cerrarla.

Si nos comunicamos en términos que sean importantes para los líderes empresariales, podemos alinear mejor a toda la organización en cuanto a las prioridades de gestión de amenazas y los controles de seguridad.

Esta alineación, a su vez, facilita que el equipo de seguridad obtenga apoyo para sus recomendaciones. Con el tiempo, a medida que estas inversiones en seguridad dan sus frutos, la empresa comienza a ver la seguridad como un verdadero creador de valor. 

Aquí hay cuatro cambios en las comunicaciones que los equipos de ciberseguridad pueden hacer para comenzar a cerrar la brecha: 

Es fácil centrarse en lo que podría suceder: ataques que podrían materializarse, sistemas que podrían ser vulnerables, actores de amenazas que podrían surgir. 

Los líderes empresariales tienden a estar más interesados en lo que sucedió: los ataques que prevenimos y las vulnerabilidades que solucionamos.

Esto es, en cierto modo, algo positivo. Por un lado, es una señal de confianza en el equipo de seguridad. Los líderes empresariales no necesitan conocer todas las posibilidades porque confían en nosotros para prevenir la mayoría de ellas, si no todas. 

Esto también nos permite promocionar más nuestras victorias, para demostrar nuestro valor informando sobre cómo hemos protegido con éxito a la organización del peligro. 

Dicho esto, tenemos que enfocarnos aquí. Si bien queremos enfatizar lo real, no podemos abandonar totalmente lo posible. Después de todo, parte de nuestro cometido es identificar nuevas amenazas cibernéticas y establecer las medidas de seguridad adecuadas para detenerlas.

Este es un enfoque que puede adoptar para equilibrar estos factores:

Cuando aparece una nueva amenaza cibernética, identifique su probabilidad y su impacto potencial. Luego, identifique cualquier medida que pueda usar para abordar la amenaza sin necesidad de permiso o nuevos recursos, y luego impleméntela. Evalúe cómo estas medidas reducen la probabilidad y el impacto de la amenaza, y luego determine el nivel de riesgo general de la amenaza. 

Las amenazas de alto riesgo probablemente requieran más recursos, y deben informarse a los líderes empresariales.  Las amenazas de bajo riesgo pueden compilarse en una lista complementaria o mencionarse de pasada, pero no es necesario que ocupen un valioso tiempo de reunión.  

Hablando de impactos de amenazas: es mejor anclar los informes y estimaciones de impacto a números concretos y consecuencias comerciales concretas.

Los profesionales de la seguridad a veces asumimos que las vulnerabilidades son evidentemente malas. Si hay alguna falla en un sistema, uno quiere arreglarla porque es una falla. 

Pero fuera de la seguridad, la mera existencia de una vulnerabilidad podría no ser motivación suficiente.

En parte, esto se debe a que a menudo hablamos de vulnerabilidades en términos abstractos: “Nuestro sistema es vulnerable a nuevas cepas de ransomware que eluden muchos de nuestros controles existentes. Proponemos implementar nuevas protecciones contra ransomware a un costo de 200 000 USD”.  

Una recomendación razonable, pero 200 000 USD es un precio elevado. Los responsables de la toma de decisiones pueden negarse a realizar una inversión de este tipo, especialmente si la única justificación es algo tan poco específico como “detener el ransomware”.

Considere este marco en su lugar: “Nuestro sistema es vulnerable a las nuevas cepas de ransomware. Hemos analizado incidentes en organizaciones similares, y estos ataques de ransomware cuestan un promedio de 2 millones de dólares por día debido a una combinación de pérdida de negocios y el precio de la corrección. Proponemos implementar nuevas protecciones contra ransomware a un costo de 200 000 USD”. 

Ahora, estamos hablando de gastar 200 000 USD no para “detener el ransomware”, sino para evitar que la organización pierda 2 millones de dólares por día. Eso parece un buen negocio. 

Los profesionales de la ciberseguridad tendemos a pecar de precavidos. Pero para muchas empresas, la cantidad óptima de riesgo no es cero. 

Piense en la clásica tríada de seguridad de la información de la CIA. Dice que un sistema de información seguro requiere confidencialidad, integridad y disponibilidad. 

En otras palabras: los datos y sistemas confidenciales deben estar protegidos, pero también deben estar disponibles para que los empleados los utilicen. Este equilibrio es difícil de lograr. Las protecciones estrictas pueden mantener los sistemas seguros, pero el impacto en la productividad no siempre vale la pena.

Por ejemplo, uno de nosotros trabajaba en una empresa de medios de comunicación que prefería restricciones bastante laxas sobre los tipos de empleados tecnológicos utilizados. Esta política abrió oportunidades para la TI en la sombra no gestionada y la navegación arriesgada, pero también permitió a los empleados investigar de forma rápida y dinámica los almacenes en desarrollo. Esta actividad era fundamental para el modelo de negocio de la empresa, por lo que la organización estaba dispuesta a aceptar los riesgos que conllevaba.  

Con una comprensión compartida de lo que significa el riesgo, los equipos de ciberseguridad pueden buscar tácticas y herramientas que satisfagan las necesidades de seguridad sin interrumpir las operaciones comerciales. 

Tenga en cuenta que alinearse con la tolerancia al riesgo no significa que la ciberseguridad siempre acceda al negocio. Los equipos de ciberseguridad pueden y deben utilizar su experiencia para influir en la comprensión del riesgo por parte de la empresa.

Uno de nosotros recuerda una sesión informativa de inteligencia de amenazas en particular. La sesión informativa identificó un ataque específico como de bajo riesgo, pero un ejecutivo se opuso. Consideró que el nivel de riesgo debería ser mayor porque la organización había sufrido este tipo de filtración en el pasado.

El equipo de inteligencia de amenazas señaló que el escenario había cambiado desde entonces. La organización había instalado protecciones que reducían la probabilidad y la gravedad de un ataque de este tipo. Además, la amenaza no se había dirigido recientemente a organizaciones como esta empresa.   

El ejecutivo escuchó el caso y estuvo de acuerdo con la evaluación de bajo riesgo. Si no nos hubiéramos tomado el tiempo para alinearnos con el riesgo, habríamos terminado gastando tiempo y recursos en una amenaza que representaba poco daño.

Este último punto es el más simple, pero quizás el más impactante. No requiere cambios de mentalidad ni redirecciones estratégicas. Es, en cambio, un pequeño cambio estructural en la forma en que redactamos los informes.

Estamos hablando de hacer BLUF o poner el “resultado final en primer lugar”.

Especialmente en los círculos de inteligencia de amenazas, tenemos la costumbre de producir informes largos y detallados de 20, tal vez 30 páginas, que abarcan inmersiones profundas en toda la información nueva que tenemos para compartir.

Puede que todo esto nos parezca interesante, pero muchos ejecutivos lo miran y piensan “TLDR: ¡demasiado largo, no lo leí!” 

Cuando hace BLUF, comienza con el resultado final desde el principio: esto es lo que sucedió. Esto es lo que debe preocuparle. Esta es nuestra evaluación de la situación y lo que piensa que deberíamos hacer al respecto.

El resto del informe aún puede ser una inmersión profunda para aquellos lectores que lo deseen. Pero un resumen digerible, basado en detalles pertinentes y concretos, suele ser suficiente para que los líderes empresariales tomen una decisión informada. 

Para cerrar la brecha en las comunicaciones de ciberseguridad, lo que en última instancia debemos hacer es traducir los términos técnicos de nuestro arte a un lenguaje de urgencia e impacto que resuene con los líderes empresariales.

Al cambiar nuestro enfoque de la comunicación, también podemos cambiar la percepción de seguridad del negocio: de otra línea de pedido a una inversión crítica que ayuda a la organización a operar, innovar y prosperar.