Desde mis inicios en el mundo de la seguridad tuve la impresión de que jugaba en una cancha donde las ventajas, casi siempre, estaban a favor del adversario. Me explico: basta que una amenaza decida actuar y tenga algún grado de éxito, para que todo el modelo de protección quede expuesto y sus fallas en evidencia. Podríamos pensar, por tanto, que a la seguridad no le queda otra opción que ser infalible. Sin embargo, esa posibilidad en la práctica no existe, pues todo falla en algún momento, de lo que podemos concluir, que el éxito va a depender de nuestra capacidad de gestionar ese Gap, tremendamente asimétrico, entre la intención de la amenaza y el poder de neutralización de la seguridad.
El desafío de mantener la seguridad siempre activa frente a las amenazas potenciales es ciertamente complicado debido a esta asimetría. Esta es precisamente la razón de existir de la gestión estratégica de los riesgos de seguridad. Si algo he aprendido en mis años de actividad profesional es que, si planificamos bajo ciertas premisas, el riesgo es manejable dentro de un cono de probabilidades, pero es indispensable para ello entender, tanto nuestras capacidades, como nuestros límites.
La gestión de riesgos de seguridad puede entonces ser vista como un modelo por capas que se sobreponen unas a otras, en conjunto pueden ayudar a cerrar, o en todo caso, a administrar esa brecha. Esta visión por capas es una forma distinta de interpretar los procesos de seguridad (Prevención – Protección – Planificación) que Morella Behrens y yo definimos en el MAPS. En este texto utilizamos capas y procesos porque nos resulta más sencillo para efectos de explicar la asimetría.
Como punto de partida es clave entender que toda gestión de seguridad inicia con la capacidad que tengan individuos y organizaciones de ser y hacerse conscientes de los riesgos y actuar para cerrar vulnerabilidades. Sin estar plenamente en situación sobre la naturaleza e impacto de los riesgos que nos rodean no vamos a llegar muy lejos, y todo dependerá de la reacción a posteriori, una vez se hayan materializado las pérdidas. Esta no sería una gestión proactiva de riesgos, se trataría, en todo caso, de contención de daños y que representa la última línea de la seguridad, en la cual, al no poder evitar el riesgo, trata de reducir los impactos.
La segunda capa de la seguridad, luego de la consciencia del riesgo está asentada en los procesos de Prevención. Este es el espacio de las políticas, normas y procedimientos de la seguridad, que representan una dimensión necesaria para mantener la normalidad organizacional y reducir así la superficie de ataque de las amenazas. En este nivel entra igualmente el desarrollo de competencias técnicas y especialización del personal de seguridad, así como el análisis preventivo de riesgos, que incluye la remediación de vulnerabilidades e identificación de amenazas.
Luego, en el espacio entre los procesos de Prevención y Protección existe un conjunto de estrategias de gestión de riesgos que son extraordinariamente útiles. Voy a referirme a dos: la segmentación de procesos, información y sistemas, y las capacidades de monitoreo y detección avanzada. Compartimentar evita que las amenazas se propaguen a través de la organización, lo que ayuda a contener los riesgos de manera muy significativa, en paralelo, la Implementación de soluciones de monitoreo y detección en tiempo real ayudan a identificar patrones de comportamiento sospechoso antes de que se conviertan en amenazas reales. El uso de análisis de comportamiento y tecnologías de inteligencia artificial puede mejorar la detección temprana de actividades maliciosas.
El proceso de Protección corresponde a la tercera capa de la seguridad. Se trata de la parte dura en la gestión de riesgos. La protección debe servir para detectar, disuadir, detener y neutralizar (de ser posible) a las amenazas, antes que puedan lograr su objetivo. La protección es el proceso que más identificamos con la seguridad, pues es el mas visible. Este es el espacio para la tecnología, la vigilancia física y la respuesta a incidentes. Esta también es la capa más expuesta, ya que, como ya lo señalé, es la superficie que necesita mantenerse activa 24/7 en caso de que alguna amenaza decida atacar. Una tendencia hoy en la capa de protección, en parte adoptada de la ciberseguridad, es la capacidad de configurar respuestas automatizadas a ciertos tipos de amenazas, con el propósito de agenciar la reacción y reducir el tiempo de respuesta. La Inteligencia Artificial y los algoritmos basados en Deep Learning como los que se utilizan en la analítica de video son unas herramientas muy poderosas para este fin. Hace poco trabajé en un proyecto donde estuvimos probando con un sistema combinado de radar y video para la protección de terminales portuarias, y me quedé impresionado de las posibilidades de la tecnología disponible en este campo.
Aún queda una cuarta capa de la seguridad, que por ser la más profunda, es también la más estratégica. Me refiero al proceso de Planificación. En este nivel deben ubicarse todas las capacidades de análisis, planificación, evaluación y recuperación frente a riesgos materializados. Esta es la capa de la resiliencia organizacional. A pesar de todos los esfuerzos de las capas anteriores, la gestión de riesgos debe estar preparada para lo peor, y poder responder así a la posibilidad de fallas en el gap. Un elemento clave de la Planificación es la necesidad de definir los planes y probarlos regularmente para garantizar que la organización pueda recuperarse de manera rápida y lo menos traumática posible en caso de un incidente de seguridad.
Existe un nivel adicional en la seguridad, que más que una capa es una especie de membrana intangible que recubre a la organización, y que está conectada con todos los procesos. Me refiero aquí a la cultura de seguridad en la organización, y en particular, a la formación de redes de alianza y colaboración para compartir información en relación con vulnerabilidades, amenazas y prácticas en la gestión de riesgos de seguridad. Este tema lo he desarrollado extensamente en mi blog y ahora forma parte del MAPS21.
En este punto, quisiera volver al inicio. Espero haber podido transmitir al lector la relación de asimetría o el gap entre amenaza y seguridad, y lo que implica desarrollar un modelo relativamente complejo de gestión por procesos o capas, con la intención de hacer tolerable el impacto de los riesgos sobre las organizaciones. La seguridad requiere una aproximación holística de la realidad que combine tecnología, infraestructura, recursos humanos y normas en una estrategia coherente. Ninguna solución única resolverá todos los problemas, pero al combinar múltiples elementos, las organizaciones van a lograr dos objetivos centrales para la seguridad: reducir sensiblemente la probabilidad de que las amenazas se conviertan en daños reales y minimizar el impacto de los riesgos materializados.
Al final, para la seguridad toda amenaza es asimétrica, la clave está en que, a pesar de ello, los objetivos de la organización sean viables.