[04/02/2022] El ejecutivo de seguridad Chad Kliewer escuchó los informes iniciales del ataque a SolarWinds cuando se conoció la noticia en diciembre del 2020, simpatizando con las empresas nombradas como víctimas del ataque.
Poco después comenzó a recibir mensajes de colegas que querían asegurarse de que viera las últimas noticias: su empresa, Pioneer Telephone Cooperative Inc., una pequeña empresa de telecomunicaciones con sede en Kingfisher, Oklahoma, también figuraba en la lista.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Para Kliewer, esos avisos tempranos de otros líderes de seguridad alertándolo a tomar medidas demostraron definitivamente el valor de construir comunidades de intercambio de información dentro de la profesión.
Kliewer es miembro de CyberShare, un Information Sharing and Analysis Center (ISAC) para pequeños proveedores de banda ancha. También pertenece a InfraGard Oklahoma y al Communications Sector Coordinating Council (CSCC). Además, ha desarrollado comunidades informales con otros líderes de seguridad.
Admite que una vez desestimó la importancia de tales grupos, pensando que estaba demasiado ocupado para comprometerse con ellos y viendo poco valor en lo que podían aportar.
Pero cuando empezó a participar y experimentó de primera mano la ayuda que podían ofrecer, como ocurrió con el evento de SolarWinds, Kliewer se volvió converso y defensor.
"Llevo años predicando la importancia de compartir información, de sacar los temas a la luz”, señala. "Todos tenemos los mismos dolores. Solo es cuestión de estar dispuestos a compartir esos dolores y algunas de las deficiencias en un grupo de confianza para salvar a otros de lo mismo”.
Salir adelante, juntos
La tendencia hacia un mayor intercambio de información entre los profesionales de la ciberseguridad es difícil de cuantificar, ya que las cifras que miden la disposición a participar en tales actividades no están fácilmente disponibles.
Pero Kliewer y otros líderes de seguridad veteranos aseguran que han visto una evolución de pensamiento entre los CISOs, quienes antes se mostraban reticentes a hablar sobre sus operaciones, la actividad de amenazas dentro de ellas, o incluso el panorama general de las amenazas.
Esa reticencia se ha suavizado en los últimos años. Ahora, gran cantidad de CISOs son parte de múltiples grupos de intercambio de información y hoy abogan por que sus pares hagan lo mismo, diciendo que es una de las estrategias para ayudar a vencer a los malos actores que suponen una amenaza para todos.
"Entender que todas las industrias son vulnerables ha llevado a esfuerzos más amplios para compartir conocimientos”, declaró Deloitte en su informe 2021 Future of Cyber Survey, agregando que "aprender aquello que funciona en otras industrias será cada vez más relevante”.
También señala: "Si bien no existe una única solución simple para gestionar la ciberseguridad, muchas de las amenazas que enfrentan las organizaciones en el camino de la transformación digital son compartidas. Los ataques cibernéticos se vuelven cada vez más frecuentes y ninguna industria o geografía es inmune a ellos, pero podemos aprender de los demás cómo manejar un incidente de manera efectiva cuando ocurre. De esta manera, compartir experiencias y conocimientos con colegas es un elemento esencial para mejorar el entorno de seguridad en general”.
Más apertura, pero quedan obstáculos
Los CISOs, al igual que otros ejecutivos, durante muchos años han tenido oportunidades de establecer contactos y otros compromisos que les permitieron intercambiar notas y buscar asesoramiento.
También es importante tener en cuenta que los ISACs no son nuevos. El concepto de ISAC proviene de una directiva presidencial emitida en 1998 que impulsó a cada sector de infraestructura crítica a establecer organizaciones para compartir información sobre amenazas y vulnerabilidades.
Sin embargo, en los últimos años se ha visto tanto una mayor disposición a compartir como la creciente necesidad de hacerlo, afirma el presidente y CEO de Aviation ISAC, Jeffrey Troy.
"Ha tomado mucho tiempo que eso suceda”, señala Troy.
Aviation ISAC, fundada en el 2014, ha pasado de tener siete empresas miembro fundadoras a contar con 88 empresas miembro en los cinco continentes. Su membresía está abierta a aerolíneas, aeropuertos, fabricantes de la industria y otras empresas que prestan servicios al sector.
En su informe 2021 Making the Business Case, señala que "la aviación sigue siendo un objetivo muy visible para los actores de ciberamenazas”, y que la industria ha visto en el 2020 "un aumento de los ataques de ransomware, intrusiones en la red, compromisos de correo electrónico empresarial, ataques DDoS, fraude y más”.
Aun así, Troy asegura que siguen existiendo obstáculos para una cooperación consistente y a gran escala.
"Nos parece que la gente está mucho más cómoda con la idea de compartir, pero hay cierta vacilación a la hora de hablar de violaciones de seguridad significativas”, señala.
Reconoce que algunas organizaciones son reacias a compartir información incluso dentro de redes confiables como ISAC. Algunas dudan debido a la posibilidad de que se produzcan demandas judiciales luego de los hackeos; otras, que resolvieron el ransomware sin alertar al gobierno o a los funcionarios, no quieren contarle a nadie lo sucedido.
Sin embargo, Troy comenta que no apoya completamente tales perspectivas; él compara ese tipo de acciones con víctimas de asalto que no denuncian el crimen, lo que deja a otros vulnerables a ser atacados.
"Pero si le hubiera dicho a alguien, eso ayudaría a que todos los demás se protejan”, explica. "Es lo mismo con la ciberseguridad; toda porción de inteligencia cibernética ayuda”.
Nadie puede triunfar solo
Ese razonamiento surge una y otra vez en conversaciones sobre ISAC y otros canales de intercambio de información. Los defensores están de acuerdo en que el aumento del volumen y la velocidad de las amenazas y la creciente sofisticación de los ataques, hacen imposible que los CISOs tengan éxito en su trabajo si están aislados de sus colegas y otros funcionarios de la industria de la seguridad, como los ejecutivos de proveedores y funcionarios gubernamentales.
"Es fundamental porque el problema se ha vuelto tan grande que realmente no hay forma de que una organización, ni siquiera la más grande, se mantenga sola como una isla”, señala David O'Berry, director del Cybersecurity Center of Excellence for North America de Capgemini. "Los ISACs crean esta gran red de intercambio de información en la que puede participar para fortalecer su organización sin tener que hacer todo el trabajo usted mismo, lo cual es casi imposible”.
Denise Anderson, presidenta y CEO de Health ISAC, ha visto ese valor en acción.
Cuando los ataques de Petya/Not Petya surgieron por primera vez en junio del 2017, la organización tuvo en 48 horas a más de 60 personas, de más de 30 organizaciones, colaborando para descubrir cuál era el vector de ataque, cómo se propagó el ataque a través de las redes, y cómo detenerlo.
"No solo lo compartimos entre los miembros, sino también en nuestro sitio web, para que todos pudieran beneficiarse de este gran trabajo”, comenta Anderson. "Era especialmente importante porque se compartían muchos datos incorrectos en ese momento y pudimos ofrecer información veraz y medidas de mitigación. Actualmente estamos haciendo mucho de lo mismo con la vulnerabilidad de Log4j”.
Datos confiables, respuestas directas
Marc Vael, CISO de plataforma en Packaging & Color Management del conglomerado global Danaher y exdirector de la junta de la asociación de gobernanza ISACA, tiene una perspectiva similar.
Vael asegura que ha visto a los CISOs, incluyéndose a sí mismo, estar más dispuestos a participar en los ISACs y otros grupos similares. Lo ve como una forma de reforzar las capacidades para proteger sus propias organizaciones.
Su empresa le pertenece a un ISAC, en el que es un participante activo, y es miembro de un grupo local exclusivo de CISOs que intercambia de manera regular información y consejos a través de una plataforma de comunicación segura.
Vael señala que ha visto valor en su participación. Le gusta poder preguntar a otros sobre su experiencia con soluciones específicas, escuchar detalles sobre sus estrategias para ciertos desafíos y obtener respuestas directas rápidamente.
Dice que lo que han compartido sobre la reciente vulnerabilidad de Log4j ha demostrado y reforzado aún más el valor del intercambio de información, ya que tanto ISAC como el grupo CISO entregaron una gran cantidad de datos confiables sobre la falla de seguridad que era pertinente para él y su empresa.
Además, Vael explica que se siente cómodo haciendo preguntas y compartiendo ideas porque su ISAC, como otros, tiene acuerdos de confidencialidad, mientras que el grupo informal de CISO se rige por Chatham House Rules que protegen a los participantes y regulan lo que divulgan.
Él sabe que la información que se comparte entre los miembros proviene de fuentes confiables y comprobadas.
"Si quiere ser un CISO exitoso, debe tener múltiples canales de buena calidad en los que se puede apoyar. Es parte del equipo que tenemos”, agrega.
Maximizar el valor del intercambio de información
De hecho, los líderes de seguridad de todo el mundo afirman que la mejor manera de que los CISOs obtengan valor de los ISACs y grupos similares, es simplemente unirse y participar activamente en ellos. Los CISOs deberían aportar detalles sobre las tácticas, técnicas y procedimientos (TTP) que utilizan, las actividades de amenazas que ven, los desafíos que enfrentan, y qué estrategias y soluciones están teniendo más éxito.
Además, los líderes de seguridad aconsejan a los CISOs participar no solo en el ISAC de su sector, sino también en otros grupos como los organizados por entidades regionales, agencias gubernamentales, proveedores y comunidades técnicas.
Luego, los CISOs deben encontrar una forma de llevar la información que obtienen a sus equipos y a sus propias operaciones.
"Así se toman medidas reales”, sostiene O'Berry.
Eso significa ingerir automáticamente las fuentes de inteligencia sobre amenazas que producen muchos de los ISACs, difundir los puntos de discusión a los miembros de su equipo, ajustar las estrategias en función de la nueva información y demás acciones similares.
"Podemos publicar toda la información del mundo, pero a menos que la gente la ponga en práctica, no sirve de mucho”, explica Jill Canfield, consejera general y vicepresidenta de políticas de la NTCA, Asociación de Banda Ancha Rural, que administra CiberShare. "De lo que se trata es de tomar la información y ponerla en práctica; aplicar la información que aprendes”.
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú