Más lecciones de seguridad empresarial de Steph Curry: Cuando algo sale mal

Este artículo fue publicado originalmente en Forbes.com. Leer la primera parte de la serie aquí.

En primera parte de esta serie de dos partes, hablé sobre las similitudes entre proteger activos de alto valor en espacios públicos en el mundo real y en la empresa. Esto incluye la necesidad de comprender el valor de los activos, cómo reducir las rutas disponibles a los activos para minimizar la superficie de ataque potencial y usar controles de seguridad en los puntos de acceso.

Usé una analogía que giraba en torno a Steph Curry, cuya anotación de largo alcance ha obligado a los equipos contrarios a cambiar sus tácticas en defensa. Uno de los mejores tiradores que jamás haya llegado a la cancha, el valor de Curry para los Golden State Warriors es inigualable. Inguardable en la cancha, ¿cómo lo protege fuera de la cancha?

Pinté un escenario en el que Steph está dando un discurso en un auditorio público, donde se desarrolla un plan de seguridad para él para cerrar las puertas laterales del recinto y una puerta trasera y restringir la otra puerta trasera a él y a su personal portador de insignias. Cinco detectores de metales brindan protección en las puertas delanteras para garantizar la seguridad del lugar. En la empresa, utilizaría la microsegmentación y el principio de privilegio mínimo para lograr el equivalente en un centro de datos o un entorno de nube.

Al igual que en el mundo real, los problemas de seguridad de última hora surgen todo el tiempo en la empresa. Digamos que se encuentra que uno de los detectores de metales tiene problemas poco antes de que comience el evento. Por alguna razón, no está funcionando correctamente y pierde ciertos objetos metálicos, lo que significa que no es confiable. No puedes repararlos ni reemplazarlos porque no tienes tiempo. Si los apaga por completo, creará una gran congestión para los detectores de metales restantes que están abiertos. La gente estará atrapada en líneas largas y de movimiento lento, y muchos seguirán haciendo cola cuando comience el evento. Si mantiene abiertas las puertas del detector de metales y hace que los guardias de seguridad le hagan palmadas físicas, corre el riesgo de perder armas ocultas y podría poner en riesgo a Curry. Claramente, proteger a Curry supera las molestias que sufrirán los asistentes.

Esto equivale a descubrir una aplicación o control de seguridad con una vulnerabilidad sin parches en una empresa. El cierre de aplicaciones críticas y puntos de acceso en una empresa por razones de seguridad puede afectar seriamente el tráfico de red, los flujos de trabajo y las operaciones del negocio, lo que afecta la productividad, el servicio al cliente y los resultados finales a largo plazo. Si no puede solucionar rápidamente el problema (por ejemplo, parchear el software), pone en riesgo a sus clientes y a su negocio.

Existen otras opciones que compensan este tipo de averías en los controles de seguridad. Para el evento Curry, podrías poner más guardias en los detectores para hacer palmadas, pero si bien eso puede ayudar a mover las líneas un poco más rápido, es igual de probable que pierdan armas ocultas.

Otra idea es que los guardias en los detectores de metales rotos usen varitas de mano para detectar objetos metálicos. Esto puede aumentar la inversión financiera, pero sirve como una solución sólida de backup de seguridad y ayudará a mantener contentos a los asistentes. En la empresa, es posible que los equipos de seguridad no puedan esperar a parchear, pero pueden usar la microsegmentación para crear un control compensatorio que elimine la posibilidad de que se explote la vulnerabilidad.

Estos escenarios abordan las vulnerabilidades de seguridad en un sistema de control a un activo, pero ¿qué pasa si la vulnerabilidad está asociada con el propio activo? Digamos que una de las insignias VIP, que da acceso directo a Curry, desaparece. Necesita una manera de identificar rápidamente el problema y abordarlo. En este caso, se podrían agregar guardias de seguridad con varitas a la entrada VIP.

La clave es comprender los riesgos y poder actuar rápidamente para enfrentar la vulnerabilidad, sin apagar los sistemas ni agregar carga adicional a su infraestructura. La única visión crítica es que necesita poder ver qué vías existen (su “exposición”), identificar que tiene una vulnerabilidad y determinar qué medida implementar para compensarla. No necesita controles de seguridad en todas partes. Puede implementar recursos de manera eficiente y colocarlos solo donde más los necesite, en los puntos de acceso a los activos más críticos.

Los equipos de seguridad tienen que tomar decisiones como esta sobre la marcha todo el tiempo, y cuantos más datos tengan acceso sobre la situación, mejores decisiones podrán tomar. Están disponibles nuevas herramientas para ayudar a los equipos de seguridad a descargar la carga y la complejidad de algunas de esas decisiones en tiempo real y permitirles centrarse en la lógica del negocio de nivel superior que les gustaría aplicar.

En el futuro, puede haber una manera de abordar el problema del detector de metales rotos sin tener que reemplazar o reparar manualmente las máquinas. ¿Y si la plataforma de hardware se volviera más inteligente y los detectores de metales fueran programables? La configuración y la funcionalidad podrían adaptarse en tiempo real, incluidas las actualizaciones de seguridad de software. La microsegmentación hace lo mismo para las políticas y los controles de seguridad en la empresa, lo cual es un gran revés para los profesionales de seguridad.