Sobre el blindaje contra los ataques cibernéticos.

Recientemente se publicó lo siguiente en un medio de circulación nacional

http://www.listindiario.com/la-republica/2017/05/17/466324/el-gobierno-prepara-blindaje-cibernetico

Según lo que quiero poder entender del titular e introducción del artículo, es que se creará capacidad de respuesta ya que el blindaje como tal no existe para esta ni para ninguna organización en cualquier parte del mundo.

La capacidad de respuesta lo que busca es poder gestionar el incidente disruptivo de manera ordenada y ensayada con el propósito de que el daño no se propague ni aumente su impacto, trabajando posteriormente en las posibles soluciones alternativas, si las hubiere, en la eliminación de la causa raíz, si se pudiera identificar y existiera la capacidad de eliminarla, para finalmente entrar en una recuperación definitiva, si fuere posible.

Entiendo que el ejecutivo se estará refiriendo a dos o tres escenarios que sí se pueden tener los procedimientos, controles y recursos bajo el control de cierta organización

No importa la preparación que tenga una organización, el incidente habrá de ocurrir, ya sea porque cambiaron los componentes del riesgo o simplemente no pudieron completarse en tu justa dimensión a la hora de crear las recetas de respuestas.

Ninguna organización, o nación inclusive, tiene todos los recursos, dominio sobre los elementos de riesgo o variables involucradas como para garantizar el blindaje.
De hecho, la tendencia moderna de poder identificar, detectar y responder a la amenaza, dando por un hecho que sí habrá de suceder el impacto disruptivo y que no hay forma de eliminar completamente la probabilidad de ocurrencia.

Un viejo lema de esta disciplina es “Prepárate para lo peor y espera lo mejor”, y en tiempo hemos aprendido que el alcance de lo peor supera nuestra capacidad de imaginación o de consideración de todos los posibles componentes que pueden conducir al peor de los escenarios.

Entiendo que algo así es lo que se quiere comunicar.

Sí existen escenarios en los que una respuesta temprana puede ayudar a evitar que se complete un ataque, pero por lo regular estos escenarios cada día se tornan más escasos por el hecho de la aparición de la Amenazas Avanzadas y Persistentes, que por lo regular son diseñadas a la medida de una organización con el propósito de sobrepasar todos los controles de protección y detección y eventualmente permanecer residiendo dentro de la infraestructura de las organizaciones sin ser descubiertos y servir de punto de entrada y salida de información, algo que regularmente se conoce como exfiltración.

Dada la aparición de estas técnicas avanzadas los ataques furtivos rara vez son descubiertos sino en la etapa forense de la respuesta.

Pero para lograr esto en el mejor de los casos, se requiere de haber vivido durante años el proceso de aprendizaje de las lecciones aprendidas, de manera que cada centro de respuesta de cada organización o país tiene que pagar el precio del tiempo para conocer el entorno en el que se desenvuelve y el contexto del país como tal.

Mucho de lo que se requiere depende, en gran medida, de la creación de recursos administrativos, como leyes, procedimientos, y la creación de las competencias necesarias para el personal, que por lo regular, en cada nuevo lugar donde se implemente, tiene que crear su propio equipo nacional o local, porque el personal existente está ya comprometido con los centros donde se han formado y si contratar gestores convencionales de sistemas de información y seguridad de información, mucho más difícil la conformación rápida de un equipo que pueda dar respuesta a las tantas variantes que existen dentro del mundo de la ciberseguridad.

Aplaudo el esfuerzo, entiendo que como nación es impostergable, especialmente cuando tenemos ya tanta dependencia de soluciones tecnológicas y la vida nacional depende casi en su totalidad de  infraestructura crítica, tanto el aprovisionamiento de servicios como otros aspectos del aparato productivo nacional.

No obstante esto no sirve de mucho si solo el estado asume la responsabilidad de crear esta capacidad de respuesta, sino que los diferentes sectores de la vida nacional, así como los segmentos adecuados de las diferentes industrias deberían recibir el mandato de crear también esta capacidad de respuesta para que el centro de respuesta del estado pueda hacer una labor de coordinación a nivel de país y no depender de las limitantes que  pudieran estar presentando los demás actores de la vida nacional.

Ya en el pasado hemos apoyado este esfuerzo,siendo quizás uno de los pocos países donde existen varias personas, quizás no más de 6, con cierto nivel de competencia con relación al tema y que han alcanzado un nivel de certificación como Gerente de Incidentes según la norma ISO/IEC 27035,  que es una normativa ISO  orientada a la Gestión de Respuesta de Incidentes que hasta donde teníamos conocimiento solo nuestra empresa ha impartido estos cursos en América Latina, aunque no se como habrá cambiando la situación a este momento, aunque todavía tenemos varias personas de otros países interesados en un próximo entrenamiento de certificación.

Al parecer la palabra “blindaje” es la interpretación del articulista ya que la misma no aparece como cita del ejecutivo.