Blog A3Sec

Más allá de la resiliencia: Modelos de Ciberseguridad Antifrágiles

Escrito por Javier Díaz Evans, Director General Global | 19 febrero, 2020

Este 24 de febrero se cumplen 15 años de mi primera asistencia al RSA Conference de San Francisco. Fue una experiencia poderosa: un evento de semejante magnitud en una ciudad tan maravillosa donde la innovación y la capacidad de creación de empresas despertó mi sueño de ser emprendedor.

He visto en estos 15 años, cómo startups se han convertido en gigantes de la industria, cómo los líderes del sector pierden brillo y relevancia en el mercado, y cómo todos los años evoluciona la ciberseguridad con las nuevas tecnologías

Actualmente se han orientado a presentar cómo la seguridad se ha nutrido del BigData, la Inteligencia Artificial y la Automatización de procesos; transformando las estrategias de seguridad al desarrollo de capacidades de detección y respuesta ante los ciberataques en vez de prevenirlos.

A final de cuentas tanto la metodología que soporta las decisiones de seguridad como la Gestión de Riesgos, se orientan a la gestión de la incertidumbre, sin embargo muchas veces el mismo apetito de riesgo de la organización asume eventos inesperados, que si suceden pueden dejar una organización con un daño reputacional irreparable o con impactos en sus procesos que no son fácilmente restaurables.

Ser resiliente

Últimamente la estrategia de marketing de las empresas que ofrecen servicios de ciberseguridad se centra en hablar del concepto de ciber-resiliencia, es decir, la capacidad de una empresa de adaptarse de forma positiva ante los eventos adversos. Sin embargo la experiencia demuestra que recuperar una organización de un ataque de ciberseguridad no es fácil y sus pérdidas económicas, reputacionales y de competitividad son incalculables.

El gran problema de los modelos resilientes es que son modelos estáticos, no evolucionan, no son adaptables frente a las nuevas técnicas, tácticas y procedimientos que continuamente se desarrollan.

O ser antifrágil

Al hilo de este tema, en un viaje de negocios encontré un libro que me llamó la atención: Antifragile de Nassim Nicholas Taleb, donde presentaba un modelo de gestión de riesgos de eventos como los ciberataques, los llamados cisnes negros, y cómo debemos tratarlos.

Aunque el libro habla de economía, logré relacionar los conceptos con los modelos de ciberseguridad: una gran cantidad de componentes relacionados con una gran cantidad de controles que representan la superficie de ataque, y las asimetrías de información entre los que obtienen beneficios y quienes obtienen pérdidas (atacantes vs. atacados).

Nicholas Taleb nos muestra la diferencia entre los modelos de gestión de riesgo resilientes vs. los antifrágiles, con leyendas griegas como la espada de Damocles, el Fénix y la Hidra. A continuación describimos las características de cada uno de estos modelos de CiberSeguridad basado en dichas analogías.

 

Frágil

(Espada de Damocles)

Resiliente

(Fénix)

Antifrágil

(Hidra)

-Sufre o falla con la volatilidad

-Es mayor la

pérdida que la ganancia con la volatilidad

-Busca la tranquilidad

-Los errores son raros y largos

- Queda igual en la volatilidad

- Indiferente en la quietud o la volatilidad

- Crece y se hace más fuerte con la volatilidad

- Es mayor la ganancia que la pérdida con la volatilidad

- Busca el desorden

- Los errores son pequeños y benignos

 

Grupo A3Sec viene aplicando este tipo de ideas a través de su estrategia de Prevención, Detección y Respuesta mediante la implementación de varias heurísticas en su forma de implementar y operar sus soluciones:

  • Amar las fallas: No temer a cometer muchos errores  siempre que sean de mínimo impacto y que no se repitan de la misma forma.
  • Huevo con Tocino: Tener el rol del cerdo en el juego. Nos comprometemos a reducir la superficie de ataque y el tiempo de exposición ante los ataques.
  • Experiencia vs. Teoría: PHVA vs. Seguridad Adaptativa.
  • Capas de Redundancia: Seguridad en Profundidad.
  • Minimizar las intervenciones a los sistemas complejos: KISS(Keep It Simple, Stupid!)
  • Desarrollamos relaciones a largo plazo mediante una evolución continua de los modelos de ciberseguridad de nuestros clientes.

Te propongo

Es momento de transformar las estrategias de ciberseguridad. Por eso Grupo A3Sec busca incansablemente Proteger el Conocimiento para evolucionar con sus clientes a modelos antifrágiles de ciberseguridad.

Estaremos en el RSA Conference compartiendo experiencias y aprendiendo de tantos amigos. ¡Nos vemos en San Francisco!