¿Es usted un CISO de medios, de motivos o de oportunidades?

Recientemente me preguntaron por qué ha habido un pico de alertas de incidentes durante el mes en curso.

Mientras daba mi respuesta, me di cuenta de que me estaba centrando en las razones detrás de «por qué» los números habían aumentado y se me hizo evidente que cuando explico los riesgos, tiendo a centrarme en el motivo de por qué un riesgo podría ocurrir.

Creo que esto se debe a mi forma de pensar. Incluso cuando hablo o pido a alguien que haga algo, me centro en «qué hay para ellos», porque creo que, en última instancia, la mayoría de la gente necesita estar motivada antes de actuar. Tiene que haber un motivo detrás de todas las cosas y si entendemos el motivo, podemos abordar los medios y las oportunidades que dejan ese motivo como una posibilidad de acción.

Cuando se comete un delito y se evalúa en el juicio, se pide al fiscal que aporte los medios, el motivo y la oportunidad del sospechoso de cometer el delito. La capacidad de alguien para cometer un delito es el medio. La razón por la que alguien comete un delito es el motivo. La posibilidad o disponibilidad de recursos para que el delito se lleve a cabo es la oportunidad.

Así es como los CISOs pensamos en los riesgos y en cómo abordarlos. No significa que una forma de pensar sea mejor, porque para ser plenamente eficaz, hay que considerar los tres factores, pero todos se inclinarán por uno de los otros dos. Si usted es un CISO, la pregunta es: ¿es usted un CISO de medios, de motivos o de oportunidades?

El CISO de «medios»

Si usted es un CISO que se centra en los «medios» de un riesgo, lo más probable es que sea un CISO muy técnico con una sólida base y formación técnica. Su mente tenderá a pensar inmediatamente en el «cómo» se llevaría a cabo un ataque. Se concentrará en los medios técnicos por los que se produciría o podría producirse un ataque. Su enfoque se centrará en las herramientas y procesos que pueden utilizarse para protegerse contra los medios. Si lo relacionas con las cinco áreas del NIST, tu principal objetivo, o donde te gusta centrarte, será en las áreas de «protección y detección». Esta es un área muy importante en la que centrarse, porque si alguien tiene un motivo y una oportunidad, pero no los medios con los que llevar a cabo su crimen, tienes que preguntarte, ¿se produciría el ataque?

El «motivo» CISO

Donde hay una voluntad, siempre habrá un camino. Esta es la forma en que pensará el CISO «motivado». Este tipo de mente se centrará en el porqué de un ataque. Un CISO que prefiere centrarse en el «por qué», se concentrará en la psicología de un ataque. Esta persona se centra en el área de identificación del modelo del NIST. Analizará cada uno de los posibles «por qué» y luego determinará los medios y la oportunidad para proteger, detectar o responder a dicho ataque. Esta persona suele creer que no hay forma posible de conocer cada método u oportunidad, por lo que en lugar de intentar detenerlo todo, detiene lo que es más probable basándose en cuál sería el motivo más probable para que se lleve a cabo un ataque. Si entiendes el por qué, entonces verás cómo alguien podría orquestar un ataque y bloquear su capacidad para hacerlo.

El CISO de la «oportunidad»

Cuando una puerta se cierra, alguien más abre una ventana. Esta es la mentalidad del CISO de la «oportunidad». Este tipo de líder de seguridad se centrará en la idea de que hay más de una forma de despellejar a un gato. Se centrará en los riesgos que se encuentran no sólo dentro de su propio ámbito y control, sino en los que se encuentran más allá. La atención se centrará en la disponibilidad de todos los recursos a disposición del atacante. Este CISO se centrará en la respuesta y la recuperación de otras organizaciones para asegurarse de que están recogiendo todos los datos sobre los diversos recursos disponibles u oportunidades para un ataque. Se basan en la experiencia de otros y la aplican para reducir los recursos disponibles que pueden utilizarse en un ataque. Quítale a alguien la oportunidad de hacer el mal y no hará ningún daño.

La defensa perfecta

En realidad, no existe el crimen perfecto y, a la inversa, no existe la defensa perfecta. Los tres factores deben ser considerados al desarrollar una estrategia de seguridad y un CISO debe centrarse en los tres. Es importante autoidentificar como líder de seguridad cuál es su enfoque preferido, o por defecto, de un riesgo, porque entonces puede identificar dónde necesita personal para rellenar o centrarse en los otros dos. Es como un triángulo. No hay un ángulo correcto o incorrecto para mirarlo. Un CISO experimentado será capaz de ver e identificar las tres facetas en el diseño de su estrategia. Serán capaces de articular cómo el programa aborda los medios, el motivo y la oportunidad en términos y formas realistas y procesables.

Un enfoque no es mejor que el otro, todos son igualmente importantes. Es simplemente una forma de pensar y de identificar la manera en que se prefiere ver primero un riesgo.