Más lecciones de seguridad empresarial de Steph Curry: cuando algo sale mal

Este artículo fue publicado originalmente el Forbes.com. Lea la primera parte del serial aquí. 

En la primera parte de este serial de dos partes, hablé sobre las similitudes entre la protección de activos de alto valor en espacios públicos en el mundo real y en la compañía. Esto incluye la necesidad de comprender el valor de los activos, cómo reducir las rutas disponibles a los activos para minimizar la superficie de ataque potencial y usar controles de seguridad en los puntos de acceso.

Usé una analogía que volteaba en torno a Steph Curry, cuya anotación de larga distancia obligó a los equipos contrarios a cambiar sus tácticas en defensa. Uno de los mejores tiradores que jamás salió a la cancha, el valor de Curry para los Golden State Warriors es inigualable. Indefendible en la cancha, ¿cómo lo proteges fuera de la cancha?

Pinté un escenario en el que Steph está dando un discurso en un auditorio público, donde se desarrolla un plan de seguridad para él para cerrar las puertas laterales del lugar y una puerta trasera y restringir la otra puerta trasera para él y su personal con credenciales. Cinco detectores de metales brindan protección en las puertas principales para garantizar la seguridad del lugar. En la compañía, emplearía la microsegmentación y el principio de privilegio mínimo para lograr el equivalente en un centro de datos o en un entorno de nube.

Al igual que en el mundo real, los problemas de seguridad de última hora surgen todo el tiempo en la compañía. Digamos que uno de los detectores de metales tiene problemas poco antes de que comience el evento. Por alguna razón, no funciona correctamente y pasa por alto ciertos objetos metálicos, lo que significa que no es confiable. No puedes repararlos ni reemplazarlos porque no tienes tiempo. Si los apaga por completo, creará una gran congestión para los detectores de metales restantes que están abiertos. La gente estará atrapada en filas largas y lentas, y muchos todavía estarán en la fila cuando comience el evento. Si mantiene abiertas las puertas del detector de metales y hace que los guardias de seguridad realicen cacheos físicos, corre el riesgo de perder armas ocultas y podría poner en riesgo a Curry. Claramente, proteger a Curry supera los inconvenientes que sufrirán los asistentes.

Esto es el equivalente a descubrir una aplicación o control de seguridad con una vulnerabilidad sin parches en una compañía. El cierre de aplicaciones críticas y puntos de acceso en una compañía por razones de seguridad puede afectar seriamente el tráfico de red, los flujos de trabajo y las operaciones comerciales, afectando la productividad, el servicio al cliente y el resultado final a largo plazo. Si no puede solucionar rápidamente el problema (por ejemplo, parchear el software), pone en riesgo a sus clientes y a su negocio.

Hay otras opciones que compensan tales fallas en los controles de seguridad. Para el evento de Curry, podría poner más guardias en los detectores para hacer cacheos, pero si bien eso puede ayudar a mover las líneas un poco más rápido, es igual de probable que pasen por alto armas ocultas.

Otra idea es hacer que los guardias de los detectores de metales rotos usen varitas de mano para detectar objetos metálicos. Esto puede aumentar la inversión financiera, pero sirve como una estable solución de respaldo de seguridad y ayudará a mantener contentos a los asistentes. En la compañía, es posible que los equipos de seguridad no puedan esperar para parchear, pero pueden usar la microsegmentación para crear un control compensatorio que elimine la posibilidad de que se explote la vulnerabilidad.

Estos escenarios abordan las vulnerabilidades de seguridad en un sistema de control de un activo, pero ¿qué pasa si la vulnerabilidad está asociada con el activo en sí? Digamos que una de las insignias VIP, que da atajo a Curry, desaparece. Necesita una forma de identificar rápidamente el problema y abordarlo. En este caso, se podrían agregar guardias de seguridad con varitas a la entrada VIP.

La clave es comprender los riesgos y poder actuar rápidamente para abordar la vulnerabilidad, sin apagar los sistemas ni agregar una carga adicional a su infraestructura. La única idea crítica es que debe poder ver qué vías existen (su "exposición"), identificar que tiene una vulnerabilidad y determinar qué medida implementar para compensarla. No necesita controles de seguridad en todas partes. Puede implementar recursos de manera eficiente y colocarlos solo donde más los necesita: en los puntos de acceso a los activos más críticos.

Los equipos de seguridad tienen que tomar decisiones como esta sobre la marcha todo el tiempo, y cuantos más datos tengan acceso sobre la situación, mejores decisiones podrán tomar. Nuevas herramientas están disponibles para ayudar a los equipos de seguridad a descargar la carga y la complejidad de parte de esa toma de decisiones en tiempo real y permitirles centrar en la lógica empresarial de alto nivel que les gustaría aplicar.

En el futuro, puede haber una manera de abordar el problema del detector de metales roto sin tener que reemplazar o reparar manualmente las máquinas. ¿Qué pasaría si la plataforma de hardware se volviera más inteligente y los detectores de metales fueran programables? La configuración y la funcionalidad podrían adaptar en tiempo real, incluidas las actualizaciones de seguridad de software. La microsegmentación hace lo mismo con las políticas y los controles de seguridad en la compañía, lo cual es un éxito para los profesionales de la seguridad.