ZARZA Somos ZARZA, la firma de prestigio que esta detras de los grandes proyectos en tecnología de la información.
Escuchar "Episodio #4: 5 lecciones en "El Arte de la Guerra" de Sun Tzu para ciberseguridad"
Síntesis del Episodio
Bienvenidos a Vulnerable. Soy Bernardo y este es el cuarto episodio del podcast. A los que me han acompañado las últimas 4 semanas, gracias. Aa los que apenas descubren este proyecto los invito a suscribirse y compartir. Ustedes son el principal vehículo para que un podcast crezca.
A lo largo de esta serie me he referido a los atacantes o hackers como adversarios así que me es muy fácil que para el episodio de hoy voy a comentar 5 lecciones que plasmó Sun Tzu en su milenario libro “El Arte de la Guerra” y cómo aplicarlos en esta batalla que se libra día a día en el mundo digital del siglo XXI.
Antes de comenzar debo hacer un reconocimiento que tal vez debería de avergonzarme un poco: ¡nunca he leído el libro completo “El Arte de la Guerra”! Pero me atrevo a hacer esta comparación sin sentir que soy el hipócrita más grande del mundo porque además de ver la serie completa que lo describe en youtube, link en la descripción, al menos he leído el resumen con las enseñanzas principales.
Vamos de lleno con la primera lección. Sun Tzu escribío:
Evita asediar ciudades amuralladas, porque esto generalmente lleva meses de preparativos, y muchos generales impacientes malgastan a sus hombres en ataques sin sentido.
Recuerdo a mediados de la primera década de este siglo, por ahí del año 2005 para no ser tan dramático, la industria vivía un furor por NAC. Sin lugar a dudas “Network Access Control” iba a revolucionar la industria de la seguridad creando redes impenetrables. Por fin ¡victoria para los buenos! Y bueno, no fue tanto así pero más que analizar porqué NAC no cumplió nunca con sus expectativas (tal vez ese pueda ser un buen tema para otro episodio, voten en los comentarios) me gustaría contarles una experiencia que tuve. Debí haber sido el año 2007 cuando estuve por primera vez con un cliente para trabajar un proyecto de seguridad de contenido. Durante la implementación comenzamos a platicar y después de un par de días se sintió con la confianza de contarme que eran todas esas cajas amontonadas en el rincón de la oficina y que varias veces habíamos pasado junto a ellas. Eran los dispositivos NAC que habían adquirido hace dos años. La gran mayoría de ellos aún sin desempacar siquiera. Se subieron a la primera oportunidad a ese tren sin tener en cuenta la complejidad de implementación y mantenimiento. Los primeros despliegues fallaron y al poco tiempo la necesidad de continuar con los servicios del día a día, esos que ya habían madurado por años los obligó a dejarlos ahí, abandonados. No creo que hayan sido la única empresa que encontrara en la promesa del NAC una ciudad amurallada prácticamente imposible de conquistar.
Pasemos a la segunda lección:
Ganará quien sepa manejar tanto rivales superiores e inferiores.
Para este ejemplo es muy fácil equipara a los rivales superiores con los hackers, los adversarios que llenan la prensa de titulares y que han puesto a más de una multinacional de rodillas. ¿Y quién es el rival inferior? Han notado múltiples memes y chistes que se comparten en grupos online de profesionales de la industria ¿cómo se refieren a los usuarios finales? Si, a ellos que usan su computadora para capturar los pedidos de venta, a los que usan el correo electrónico para fijar citas con proveedores, a los que su único interés sobre una red es que le permita conectarse a su ERP y así poder consultar los inventarios disponibles. ¿Los sobajamos mucho, no creen? Uno de los que más odio y que, tristemente, también veo muy a menudo es el ring de boxeo donde el anunciador pregona que en una esquina están todas las tecnologías básicas de seguridad que se puedan imaginar. Un listado como: firewall, IPS, IDS, Antivirus, etc. Mientras que en la otra esquina está el usuario final, ilustrado como un tipo francamente inútil. Con ese modelo mental simplemente no podemos ganar, si no entendemos que el usuario final de los servicios digitales en una organización no es el enemigo y que debemos incluirlo en los controles de seguridad con programas de concientización, capacitación etc estaremos luchando una batalla perdida.
Momento de la tercera lección. Sun Tzu nos enseñó lo siguiente:
Ganará aquel que se haya preparado y sea paciente para atacar a un enemigo no preparado.
Esta lección me parece es mejor entendida por los adversarios quienes indudablemente tienen a su favor el factor del tiempo. Pero de este lado del campo de batalla es importante ser conscientes que en ningún momento podemos bajar la guardia, suspender las tareas de monitoreo, desaprovechar las auditorías, apegarnos a estándares y frameworks, evaluar e implementar nuevos controles. Lo que sea necesario para nunca ser el enemigo no preparado indefensos ante un nuevo ataque.
Casi llegamos a la última lección, número 4:
Si conoces a tu enemigo y te conoces a ti mismo, no debes temer el resultado de 100 batallas. Si te conoces a ti mismo pero no al enemigo, por cada victoria que obtengas sufrirás una derrota también. Si no te conoces a ti mismo ni a tu enemigo, sucumbirás en cada batalla.
¿Qué es conocerse a sí mismo en el ámbito de ciberseguridad? No creo que exista consenso en la respuesta pero me voy a atrever a poner sobre la mesa algunos aspectos importantes:
Conocer a tu empresa.
Conocer la información más valiosa para su éxito.
Conocer, a detalle, la infraestructura digital en la que se procesa, transmite y almacena esa información.
Conocer los riesgos específicos de tu organización e industria.
Conocer tus recursos humanos y cerrar los gaps que tengan en su capacitación técnica para afrontar a los adversarios.
Respecto a conocer a los adversarios todos deberíamos preguntarnos ¿cuáles son las tendencias, los ataques que más usan, cuales son las plataformas que comúnmente son objeto de su actividad, cómo explotan cualidades humanas para convertirlas en víctimas, cuál es su principal motivación, cuál es su objetivo?
Como es costumbre dejé lo mejor para el último. La lección número 5 me parece que bien entendida y utilizada será la de mayor valía para cualquier organización. Las palabras de Sun Tzu:
El general es la muralla protectora del estado. Si la muralla está completa, el estado será fuerte. Si la muralla es defectuosa el estado será débil.
En esta analogía el general es la cabeza de la organización. No sólo el responsable de tecnología, CISO, CIO, como deseen llamarle. La dirección misma de la empresa, el CEO, director ejecutivo, director general, el mandamás debe ser la muralla protectora que apadrine las iniciativas de seguridad. Si él no entiende el valor que invertir en seguridad le brindará a su negocio seguiremos viendo ejemplos donde los proyectos sean detenidos con el tan usado argumento de “pero si ya tienes un firewall y un antivirus, para qué necesitas más”. Todos los responsables de la seguridad digital de un negocio deben entender que si no entienden el negocio que protegen jamás lograrán convencer al director de su barco y por lo tanto lo único a lo que les darán acceso es a materiales para construir murallas defectuosas.
Referencias:
The Art of War by Sun Tzu (Animated with Examples), Channel:
Eudaimonia, https://www.youtube.com/watch?v=NPpJbOVIUGc&list=PLfJiKIkHeUHF0mBX6t71D2Rg0mQkehZhl
A lo largo de esta serie me he referido a los atacantes o hackers como adversarios así que me es muy fácil que para el episodio de hoy voy a comentar 5 lecciones que plasmó Sun Tzu en su milenario libro “El Arte de la Guerra” y cómo aplicarlos en esta batalla que se libra día a día en el mundo digital del siglo XXI.
Antes de comenzar debo hacer un reconocimiento que tal vez debería de avergonzarme un poco: ¡nunca he leído el libro completo “El Arte de la Guerra”! Pero me atrevo a hacer esta comparación sin sentir que soy el hipócrita más grande del mundo porque además de ver la serie completa que lo describe en youtube, link en la descripción, al menos he leído el resumen con las enseñanzas principales.
Vamos de lleno con la primera lección. Sun Tzu escribío:
Evita asediar ciudades amuralladas, porque esto generalmente lleva meses de preparativos, y muchos generales impacientes malgastan a sus hombres en ataques sin sentido.
Recuerdo a mediados de la primera década de este siglo, por ahí del año 2005 para no ser tan dramático, la industria vivía un furor por NAC. Sin lugar a dudas “Network Access Control” iba a revolucionar la industria de la seguridad creando redes impenetrables. Por fin ¡victoria para los buenos! Y bueno, no fue tanto así pero más que analizar porqué NAC no cumplió nunca con sus expectativas (tal vez ese pueda ser un buen tema para otro episodio, voten en los comentarios) me gustaría contarles una experiencia que tuve. Debí haber sido el año 2007 cuando estuve por primera vez con un cliente para trabajar un proyecto de seguridad de contenido. Durante la implementación comenzamos a platicar y después de un par de días se sintió con la confianza de contarme que eran todas esas cajas amontonadas en el rincón de la oficina y que varias veces habíamos pasado junto a ellas. Eran los dispositivos NAC que habían adquirido hace dos años. La gran mayoría de ellos aún sin desempacar siquiera. Se subieron a la primera oportunidad a ese tren sin tener en cuenta la complejidad de implementación y mantenimiento. Los primeros despliegues fallaron y al poco tiempo la necesidad de continuar con los servicios del día a día, esos que ya habían madurado por años los obligó a dejarlos ahí, abandonados. No creo que hayan sido la única empresa que encontrara en la promesa del NAC una ciudad amurallada prácticamente imposible de conquistar.
Pasemos a la segunda lección:
Ganará quien sepa manejar tanto rivales superiores e inferiores.
Para este ejemplo es muy fácil equipara a los rivales superiores con los hackers, los adversarios que llenan la prensa de titulares y que han puesto a más de una multinacional de rodillas. ¿Y quién es el rival inferior? Han notado múltiples memes y chistes que se comparten en grupos online de profesionales de la industria ¿cómo se refieren a los usuarios finales? Si, a ellos que usan su computadora para capturar los pedidos de venta, a los que usan el correo electrónico para fijar citas con proveedores, a los que su único interés sobre una red es que le permita conectarse a su ERP y así poder consultar los inventarios disponibles. ¿Los sobajamos mucho, no creen? Uno de los que más odio y que, tristemente, también veo muy a menudo es el ring de boxeo donde el anunciador pregona que en una esquina están todas las tecnologías básicas de seguridad que se puedan imaginar. Un listado como: firewall, IPS, IDS, Antivirus, etc. Mientras que en la otra esquina está el usuario final, ilustrado como un tipo francamente inútil. Con ese modelo mental simplemente no podemos ganar, si no entendemos que el usuario final de los servicios digitales en una organización no es el enemigo y que debemos incluirlo en los controles de seguridad con programas de concientización, capacitación etc estaremos luchando una batalla perdida.
Momento de la tercera lección. Sun Tzu nos enseñó lo siguiente:
Ganará aquel que se haya preparado y sea paciente para atacar a un enemigo no preparado.
Esta lección me parece es mejor entendida por los adversarios quienes indudablemente tienen a su favor el factor del tiempo. Pero de este lado del campo de batalla es importante ser conscientes que en ningún momento podemos bajar la guardia, suspender las tareas de monitoreo, desaprovechar las auditorías, apegarnos a estándares y frameworks, evaluar e implementar nuevos controles. Lo que sea necesario para nunca ser el enemigo no preparado indefensos ante un nuevo ataque.
Casi llegamos a la última lección, número 4:
Si conoces a tu enemigo y te conoces a ti mismo, no debes temer el resultado de 100 batallas. Si te conoces a ti mismo pero no al enemigo, por cada victoria que obtengas sufrirás una derrota también. Si no te conoces a ti mismo ni a tu enemigo, sucumbirás en cada batalla.
¿Qué es conocerse a sí mismo en el ámbito de ciberseguridad? No creo que exista consenso en la respuesta pero me voy a atrever a poner sobre la mesa algunos aspectos importantes:
Conocer a tu empresa.
Conocer la información más valiosa para su éxito.
Conocer, a detalle, la infraestructura digital en la que se procesa, transmite y almacena esa información.
Conocer los riesgos específicos de tu organización e industria.
Conocer tus recursos humanos y cerrar los gaps que tengan en su capacitación técnica para afrontar a los adversarios.
Respecto a conocer a los adversarios todos deberíamos preguntarnos ¿cuáles son las tendencias, los ataques que más usan, cuales son las plataformas que comúnmente son objeto de su actividad, cómo explotan cualidades humanas para convertirlas en víctimas, cuál es su principal motivación, cuál es su objetivo?
Como es costumbre dejé lo mejor para el último. La lección número 5 me parece que bien entendida y utilizada será la de mayor valía para cualquier organización. Las palabras de Sun Tzu:
El general es la muralla protectora del estado. Si la muralla está completa, el estado será fuerte. Si la muralla es defectuosa el estado será débil.
En esta analogía el general es la cabeza de la organización. No sólo el responsable de tecnología, CISO, CIO, como deseen llamarle. La dirección misma de la empresa, el CEO, director ejecutivo, director general, el mandamás debe ser la muralla protectora que apadrine las iniciativas de seguridad. Si él no entiende el valor que invertir en seguridad le brindará a su negocio seguiremos viendo ejemplos donde los proyectos sean detenidos con el tan usado argumento de “pero si ya tienes un firewall y un antivirus, para qué necesitas más”. Todos los responsables de la seguridad digital de un negocio deben entender que si no entienden el negocio que protegen jamás lograrán convencer al director de su barco y por lo tanto lo único a lo que les darán acceso es a materiales para construir murallas defectuosas.
Referencias:
The Art of War by Sun Tzu (Animated with Examples), Channel:
Eudaimonia, https://www.youtube.com/watch?v=NPpJbOVIUGc&list=PLfJiKIkHeUHF0mBX6t71D2Rg0mQkehZhl