Poner los pies en la tierra


Poner los pies en la tierra

Recientemente, la Unión Europea ha publicado varios textos que pretenden ser un refuerzo para la ciberseguridad de todos. Incluso incorporan en el título de alguno de ellos la palabra «resiliencia», tan de moda estos días. Esto demuestra que existe una preocupación general sobre el tema y esta preocupación no está exenta de razones.  

Dos de las publicaciones recientes de mayor relevancia son:

  • Reglamento (UE) 2022/2554, conocido como DORA.
  • Directiva (UE) 2022/2555, conocida como NIS 2.

DORA va dirigida a la «resiliencia operativa digital del sector financiero». Por su parte, la directiva 2022/2555 viene a sustituir, y mejorar, la directiva NIS (Network and Information Security) de 2018 y alguna más, y es mucho más transversal.

Sin entrar en demasiados detalles, ambas son pasos adelante en la buena dirección, pero son como «el capítulo piloto de la serie». Es decir, presentan la trama y se publican con timidez y precaución para ver si captan audiencia o requieren grandes cambios para hacerlo. No deja de ser un poco frustrante que sigamos viendo capítulos piloto en lugar de lanzar la serie de una vez por todas.

Se marcan directrices para asegurar lo que llama «entidades críticas». Llevamos desde 2011 dándole vueltas a ese concepto sin muchos resultados prácticos.

Reglamentos, normas, leyes, buenas prácticas, modelos «de orquestación», de madurez, de gobierno… reinventamos constantemente la rueda de la seguridad de la información. ¡Ah! perdón, que ahora hay que decir «ciberseguridad».

Desde mi punto de vista, esto de darle vueltas al tema como un hámster en su rueda, sin llegar a ningún lado, es mal síntoma. Delata una cierta incapacidad para aterrizar todas esas grandes teorías en una mejora real de la seguridad. Y no es que estén mal pensadas, pues todas ellas tienen sentido y son defendibles. Pero hay un espacio vacío donde la comunicación se interrumpe, donde reina la incomprensión, justo a medio camino entre las normas y los especialistas técnicos en seguridad.

La situación es cada vez más grave, sobre todo en lo que respecta a normas de obligado cumplimiento, sea porque son ley, porque te lo exigen tus clientes o por cualquier otra circunstancia. Ahí es donde la situación se vuelve kafkiana.

Hace muchos años, un colega expresaba esto mismo cambiando la palabra «cumplimiento» por «cumplo y miento». Desde entonces ha ido a peor. Se implantan normas aplicando maquillaje, pervirtiendo el espíritu de dichas normas, sin la más mínima incidencia positiva en la seguridad. Incluso con una incidencia negativa, pues todo lo que sea introducir complejidad en una organización abre agujeros por los que entran los problemas.

Un simple ejemplo y os prometo que no es excepcional. Empresa «de ciberseguridad», certificada en ISO/IEC 27001 y en ENS en categoría alta. Podemos encontrarnos las contraseñas más importantes de la empresa pulcramente almacenadas en texto claro en una hoja excel. Como medida de seguridad adicional, por si la hoja de cálculo se pierde, un alto cargo de la empresa lleva siempre en el bolsillo de su chaqueta una copia en una memoria USB. Todo ello sin ningún tipo de cifrado, claro.

Otro ejemplo. Muchas empresas dan sus primeros pasos hacia un SGSI haciéndose trampas al solitario. Todas las normas coinciden en la importancia que tiene hacer un buen análisis de riesgos de seguridad de la información. Tanto NIS2 como DORA, y otras normas que se han publicado o actualizado en los últimos meses, dedican grandes esfuerzos en este tema. Es algo que los profesionales sabemos desde hace muchos años.

El primer paso para hacer un análisis de riesgos clásico, salvo en sistemas simplificados, es tener un buen inventario de activos. Pero hay muchas formas de hacer un inventario, según para qué se vaya a utilizar. Está claro que este tiene que ser útil, tiene que estar pensado desde el punto de vista de la seguridad.

Pues bien, en mis años de profesión he visto infinidad de organizaciones en las que tanto el inventario como el análisis de riesgos resultaban completamente inútiles. Si tu inventario de activos especifica «información crítica» e «información no crítica» está claro que el resultado será implantar medidas de seguridad más estrictas para la primera que para la segunda. Pero si no especificas más ¿cómo llevas eso a la práctica?

¿Cómo es posible que este tipo de situaciones ocurran? Muy sencillo. Si aplicamos las normas sólo por su texto, sin entender realmente de dónde vienen, todas esas empresas cumplen la literalidad y por tanto merecen su certificado.

La mayoría de los auditores de normas, con honrosas excepciones, no tienen experiencia real en seguridad. Es más, muchos de ellos ni siquiera tienen experiencia en informática. Su campo son los sistemas de gestión, es decir, la parte burocrática. Se conocen las normas y cómo les han explicado que tienen que interpretarlas. En muchos casos trabajan con normas de todo tipo, como calidad y medio ambiente.

Cuando uno de estos auditores llega a una empresa, examina en profundidad la parte burocrática, el sistema de gestión, que es donde se sienten fuertes. Pero a la hora de analizar las evidencias, se quedan en la superficie. No tienen conocimientos ni tiempo para rascar y ver lo que hay debajo.

El resultado es el previsible. No se evalúa realmente la seguridad, sino la aplicación literal de la norma en el ámbito que la empresa haya elegido.

Con el tiempo, muchas empresas adquieren conciencia. Entonces es cuando buscan ayuda y te explican: “ya tengo todas estas certificaciones, ahora quiero mejorar de verdad mi seguridad”.

Tenemos que hacer un esfuerzo importante. Pero no en crear más normas, sino en poner los pies en la tierra. Es fundamental enlazar las normas, el “gobierno de la seguridad”, con cambios prácticos que podamos medir y que produzcan una mejora real de la seguridad.

Necesitamos urgentemente cubrir ese hueco entre el papel y la realidad. Necesitamos especialistas que entiendan ambos mundos (el normativo y el técnico) y puedan ejercer de nexo de unión, de “traductores”.

Y vamos tarde, visto el ritmo al que aumentan los incidentes.

Modesto Álvarez, tesorero de COIIPA.