Formación en Seguridad de la Información y Ciberseguridad

Después de doce años de presenciar entregas de reportes de Pruebas de Penetración (pentest) con organizaciones de diversas industrias y tamaños, tengo evidencia suficiente para argumentar que la Seguridad de la Información es proporcional al conocimiento.

Permíteme elaborar. En un caso, el principal hallazgo del pentest fue una caja de entrada de datos sin validación en una aplicación web. Esto permitía que se pudiera ejecutar cualquier comando de la base de datos. Durante la entrega, el cliente, representado por el líder del equipo que desarrolló la aplicación, mostrándose escéptico de lo que reportamos, nos pidió que borraramos un registro de la base de datos para demostrar lo que afirmábamos. Nunca olvidaré su expresión al confirmar que efectivamente se había borrado el registro específico que nos había solicitado.

Fue ahí donde comprendí que para que un desarrollador sepa cómo codificar una aplicación que resista los ataques, es preciso que conozca cómo se atacan las aplicaciones y cómo se codifica para protegerlas.

En términos generales podemos afirmar que la Seguridad de la Información se produce haciendo algo. Es decir, en la actualidad las configuraciones por omisión de equipos de cómputo, de red y el set de instrucciones de los lenguajes de programación no producen por sí mismos la seguridad. Ahora bien, hacer algo implica saber algo. De ahí la relación entre la Seguridad de la Información y el conocimiento.

El supuesto que prevalece en la generalidad de los equipos directivos de las organizaciones es que los expertos en Tecnologías de la Información (TI) en automático son expertos en Seguridad de la Información. Esto no es así.

La inmensa mayoría de los profesionales de TI en activo no fueron formados en las universidades con cursos especializados en Seguridad de la Información. Por otra parte, son muy pocos los que han recibido capacitación y menos aún los que se han certificado. Para demostrar este punto, de las 175,732 certificaciones que (ISC)2 ha emitido, uno de los organismos certificadores líderes en el mundo, con datos actualizados al 1º de enero de 2021, sólo 417 corresponden a México. Es decir, sólo el 0.24%.

Algo que también he observado a lo largo de los años, es que quienes han sido capacitados en Seguridad de la Información, valoran de manera más objetiva los riesgos que quienes no se han formado en esta especialidad. Esto es particularmente preocupante porque en México son escasas las organizaciones que gestionan con formalidad los riesgos. Lo que esto implica es que los profesionales de TI, por desconocimiento, inconscientemente toman decisiones que inciden sobre el perfil de riesgo de la organización. Por supuesto, esto no se nota hasta que se materializan los riesgos.

La siguiente historia lo explica: En el 2020 se detectó una vulnerabilidad en una marca de balanceadores de carga. El fabricante emitió un boletín a sus clientes conminándolos a realizar un procedimiento para eliminar la vulnerabilidad. Debido a la popularidad de estos equipos en el mercado y el tipo de organizaciones donde se encuentran instalados, intuimos que en poco tiempo los cibercriminales reaccionarían intentando explotar esa vulnerabilidad.

Sabíamos que uno de nuestros clientes tenía estos equipos y que además, vamos a decirlo así, su personal de TI no tenía a la Seguridad de la Información entre sus altas prioridades. Llamamos a su CISO para exponerle la situación. Nos respondió que había recibido el boletín del fabricante y que ya estaban trabajando en eso. Por su parte, un analista de seguridad que estaba en la llamada comentó que él ya había hablado con los responsables de infraestructura de TI y que debido a la carga de trabajo, eso se atendería un par de semanas después.

Insistimos en que era justamente por esa razón que llamábamos. No se disponía de tanto tiempo. Por fortuna, el mensaje fue bien recibido y actuaron. En pocas horas ya habían remediado la vulnerabilidad y no hubo problema. Sin embargo, al día siguiente recibimos la llamada de un prospecto que nos pedía ayuda. Ellos también tenían un equipo de esta marca. Al iniciar el día se dieron cuenta que alguien había logrado crear una cuenta de administrador en ese equipo. Es decir, ya los habían hackeado. Todo ocurrió en sólo cuestión de horas.

Me regreso al caso de nuestro cliente. Uno de sus técnicos había tomado la decisión de diferir la remediación un par de semanas. Es altamente probable que los hubieran hackeado en ese lapso de tiempo. ¿La Alta Dirección entiende que su personal técnico puede estar tomando decisiones de riesgo de esta naturaleza? No. ¿La persona que decidió prorrogar la remediación estaba consciente del riesgo? No.

Finalmente, abordemos otro asunto que no abona a la formación en Seguridad de la Información de los Profesionales de TI en activo: los sesgos que tienen una alta proporción de las organizaciones en México con respecto al desarrollo de su talento.

Conversando con el CIO de una organización relevante en el sector financiero, le indicaba que algunos de los hallazgos recientes de alto impacto en el último pentest realizado tenían como causa raíz el desconocimiento de su personal de TI en temas de Seguridad de la Información.

Además le dije, un poco en broma, un poco en serio, que había inventado un nuevo método de identificación de vulnerabilidades. Este consistía en evaluar a cada integrante del equipo de TI en lo que conforme a sus roles y funciones deberían conocer de Seguridad de la Información. Las respuestas que tuvieran equivocadas apuntarían probablemente a una vulnerabilidad. Esto bajo la premisa de que la Seguridad de la Información es proporcional al conocimiento.

Las evaluaciones serían exámenes de certificación adecuados para cada puesto. Además, para hacerlo interesante le propuse una apuesta. Nosotros cubriríamos el costo de todos los exámenes que su gente aprobara. Por su parte, el nos pagaría al doble el costo de los exámenes que ellos reprobaran. No aceptó la apuesta. Desde el 2018 que he propuesto esto a varios CIOs y CISOs, todavía nadie ha aceptado.

Hay quienes piensan que corren un riesgo si capacitan a su personal porque luego les resulta más fácil dejar la organización por una mejor oportunidad laboral. En realidad, el riesgo es que no se capaciten y se queden a seguir introduciendo vulnerabilidades. Además, lo que estudios de CompTIA indican es que el personal que ha recibido capacitación de su empleador se fideliza.

En conclusión, podemos afirmar que los Profesionales de TI deben ser formados en Seguridad de la Información para que:

Realicen sus funciones evitando introducir vulnerabilidades

Entiendan mejor la naturaleza de los riesgos de la información

La organización más segura no es la que remedia más vulnerabilidades, es la que produce menos. Para tomarlo en cuenta.