The Dept. of Know Live!: Daniel Miessler y los elementos necesarios de un programa de gestión de activos

Es imposible proteger algo cuya existencia desconoces. Esa es una afirmación básica en seguridad, pero aún hay demasiadas organizaciones que no cuentan con un buen sistema o estrategia que ofrezca un inventario exhaustivo y en tiempo real de sus activos. 

La semana pasada participé en la última entrega de The Dept. of Know Live! y hablé con Kelly Shortridge y Bea Hughes sobre por qué se debe tener muy en cuenta el papel de la gestión de activos en seguridad, y las mejoras que pueden realizar las organizaciones a la hora de abordar este aspecto. Aquí tienes el vídeo y en este artículo encontrarás mis principales conclusiones.  

1. Es inútil buscar la perfección 

Por muy importante que sea la gestión de activos, es esencial recordar que no tiene sentido buscar la perfección. Los activos, y la información correspondiente, están en constante evolución, por lo que no es realista tener un inventario correcto todo el tiempo. Para mí, los programas de seguridad son una serie de preguntas que te guían hacia algo aceptable; por ejemplo:

• ¿Qué es lo que impediría que siguiésemos operando mañana? 

• ¿Qué tengo que esté en contacto directo con internet? ¿Qué tengo que esté en contacto directo con internet y presente vulnerabilidades? 

• ¿Qué tengo que esté desfasado? ¿Qué tengo que haya llegado al final de su vida útil?

Si desconoces la respuesta a estas preguntas, se hace muy difícil responder ante incidentes y todo acaba yendo de mal en peor. Por ejemplo: tenemos un incidente y, sin haberlo previsto, ahora tienes que encontrar todas las instancias de una aplicación web que utilicen Python, lo cual va a ocupar a todo el personal. En cambio, si ya cuentas con un programa de gestión de activos, basta con que realices una consulta, porque ya te has preguntado cuestiones como las anteriores y sabes la respuesta.  

2. Ten presente tu audiencia cuando saques problemas a la luz

Tal y como mencionó Ellen Körbes en otro episodio de The Dept. of Know Live!, no llegarás muy lejos si no tienes en cuenta las prioridades y expectativas de tu audiencia. Piensa en el discurso y en cómo controlarás el flujo y el volumen de información. Si sabes que tus equipos de desarrollo o ingeniería te prestarán atención solo un rato, comunícales los problemas más importantes para el negocio. Si sueltas todos los problemas de golpe, se sentirán impotentes y agobiados y acabarán por evitar la seguridad. 

Lo que también puedes hacer es crear un panel que muestre a cada empleado el contexto de vulnerabilidad que le corresponda a su puesto. Si llevas el equipo de ingeniería, entrarás y verás las vulnerabilidades relevantes a tu puesto y tus subordinados, mientras que un desarrollador de a pie solo verá las vulnerabilidades que tenga asignadas.

3. Necesitas que el equipo ejecutivo esté de tu lado para que la gestión de activos funcione 

Para crear un buen programa de gestión de activos necesitarás el apoyo de los ejecutivos y el equipo directivo, y para conseguirlo es posible que debas apelar a la emoción más que a la razón. Lo ideal es que los ejecutivos que evalúen el riesgo ya hayan vivido en sus carnes las dificultades que conlleva resolver vulnerabilidades cuando es demasiado tarde y no se sabe dónde se encuentran. A raíz de esta experiencia, estarán dispuestos a evitarlo prestándote su apoyo para crear un programa de gestión de activos. Si puedes mencionar un incidente concreto y mostrar que tardasteis cuatro días en encontrar todas las instancias de una vulnerabilidad, en vez de 30 segundos (que es lo que hubierais tardado en realizar una consulta), eso puede dar una capa de realidad a esta problemática. 

4. La gestión de los activos puede ser un factor clave en los seguros de la red

En el futuro, creo que los seguros en la red se convertirán en un acicate para invertir en la gestión de los activos. No me extrañaría que fueran una referencia para los auditores y los aseguradores a la hora de evaluar la madurez y la estabilidad de una organización. Si no cuentas con responsables específicos de activos ni tienes una lista de todo lo que está en contacto con internet, las aseguradoras podrían cobrarte más porque presentas más peligro de ataque que organizaciones que tengan el control de su gestión de activos. 

En resumen 

Cuanto más sepas sobre tus activos, más sólida será tu seguridad. Es fácil pasar por alto la importancia de la gestión de activos, hasta que te encuentras con un incidente y no puedes responder con confianza porque no sabes a qué activos ha afectado. Sin ese conocimiento, es imposible crear un programa de seguridad que sea proactivo y no reactivo. 

Mira el vídeo bajo demanda de la charla y todo el resto de episodios en este enlace. Los cinco episodios de The Dept. of Know Live! permanecerán disponibles para verlos bajo demanda, para que puedas escuchar de nuevo las opiniones más interesantes.