La ciberseguridad está operando en un entorno de imprevisibilidad, cambio de tecnología acelerado y una alta complejidad de amenazas. Con demasiada frecuencia, las respuestas a los ataque de ciberseguridad se basan en metodologías antiguas, engorrosas y lentas basadas en elementos críticos para dar una respuesta a dichos ataque de forma exitosa. Para enfrentarse a las amenazas de ciberseguridad emergentes, las estrategias de protección de la ciberseguridad deben ser holísticas, ágiles y adaptables. La cultura organizativa de los departamentos de ciberseguridad debe ser lo suficientemente resistente como para trabajar con una estrategia flexible e inteligente con el fin de contrarrestar el entorno inevitablemente cambiante en el que nos encontramos. Con el simple hecho de los procesos actuales orientado al cumplimiento normativo y legislativo, se provoca que las organizaciones de ciberseguridad no puedan adaptarse a las condiciones cambiantes y emergentes nuevas.
La solución, el Agile Cybersecurity Action Planning (ACAP), o plan de acción de ciberseguridad, que integra una fusión de ideas de Metodologías Agile, Planificación estratégica adaptativa, Mejora de procesos y Gestión de amenazas / riesgos, con las mejores prácticas de ciberseguridad. ACAP sienta las bases para una “Cultura organizativa de seguridad cibernética adaptativa” para adaptarnos con éxito a los desafíos complejos que surgen continuamente.
La seguridad cibernética de hoy en día está impulsada principalmente por un «modelo de castillo» de defensa, centrado en la creación de un modelo relativamente estático de defensas de ciberseguridad de «puertas cerradas» mediante firewalls, monitorización de aplicaciones y procesos rígidos con la esperanza de que, con algunas modificaciones y soluciones, estas protecciones se mantengan y las listas de verificación de cumplimiento detallan las «puertas que deben estar cerradas con llave». Aunque son útiles, estas check lists de verificación pueden producir cierto nivel de seguridad y cierta ilusión de integridad de seguridad. El enfoque de la cultura de ciberseguridad es informar sobre la lista de verificación y no mirar hacia el futuro a sus amenazas emergentes.
La ciberseguridad no debería consistir simplemente en construir «mejores castillos», sino en anticiparse a las amenazas emergentes. Los castillos se deshicieron mediante la introducción de cañones . Esto probablemente podemos aplicarlo a la ciberseguridad donde los «bárbaros», ya sean locales o no extranjeros, criminales o hacktivistas, buscan constantemente nuevas tecnologías, la debilidad humana, puertas traseras u otras debilidades en el castillo de forma contínua. Los ciberatacantes son inquietantemente creativos y rápidos en la adopción de nuevas tecnologías, ya que no tienen las mismas limitaciones regulatorias que de nuestro lado. Son adaptables en el uso de la ingeniería social para obtener acceso, tan diferentes en sus métodos como en sus orígenes, todos ellos, en constante evolución.
El Plan de acción de ciberseguridad ágil (ACAP) es un enfoque nuevo, dinámico y holístico para alinear rápidamente la estrategia de ciberseguridad de la organización, la capacidad técnica y organizativa, los procesos y las políticas para abordar el universo de amenazas y riesgos cibernéticos de hoy en día.
ACAP se enfoca en crear una estrategia de solución iterativa del 90% (o mejor) para el entorno actual y continuamente cambiante de Ciberamenazas y Riesgos. El proceso ACAP utiliza una sofisticada fusión paradójica de conceptos específicos de varios campos:
- Gestión de riesgos
- Planificación estratégica adaptativa
- Mejora de procesos
- Métodología Agile
- Buenas Prácticas de Ciberseguridad
- Colaboración creativa
ACAP se enfoca en cambiar la estrategia y la cultura de ciberseguridad de la organización, ya que con demasiada frecuencia están estrechamente «orientadas al cumplimiento» y apenas son capaces de administrar el anterior tempo de amenaza, a un enfoque que se adapta a los riesgos y amenazas emergentes sobre una base iterativa y rápida.
El corazón del Proceso ACAP es un taller de estrategia de amenaza / riesgo en el que un equipo técnico y de liderazgo de múltiples niveles y funciones cruzadas comparte información y toma decisiones para:
- Crear un perfil de amenaza / riesgo en continua evolución
- Reevaluar rápidamente la infraestructura de ciberseguridad de la organización para la efectividad y la capacidad de adaptación: Tecnología / Procesos / Planes de monitización y respuesta ante incidentes, capacidades del personal y políticas contra el perfil de riesgo / riesgo inmediato y a futuro.
- Identificar los deltas / problemas sistémicos antes de que ocurran.
- Crear un plan de acción para remediar los deltas / problemas a través de cambios en las políticas de ciberseguridad y actualizaciones de estrategias, personal, procesos y tecnología.
El proceso de ACAP se repite en ciclos de 1 a 6 meses, al igual que el proceso de «Sprints» de Agile Development o «según sea necesario», o según la «tecnología de amenaza» emergente. Por ejemplo, si hay una nueva generación de amenazas, la dirección podría iniciar una sesión de ACAP para actualizar la matriz de amenazas / riesgos y realizar los cambios técnicos o de proceso necesarios antes de que se de la nueva amenaza.
ACAP es un enfoque adaptativo no enfocado a la perfección a largo plazo, sino en llegar a “lo suficientemente bueno, por ahora. «Lejos de evitar la disensión, el proceso ACAP aprovecha lo que Dorothy Leonard denomina la « abrasión creativa«. ACAP reconoce el poder de las inteligencias múltiples y las perspectivas para abordar los problemas de manera cooperativa. El proceso ACAP se itera y actualiza con estrategias de adaptación y escenarios alternativos para mejorar el éxito de la respuesta ante incidentes. El valor de ACAP es crear una cultura donde se valore la previsión y el intercambio de conocimientos, la estrategia de ciberseguridad se considere provisional, la adaptación a las amenazas y riesgos cambiantes es primordial, enfocado en la rápida implementación .
Debido a que ACAP es “independiente del marco”, el proceso de ACAP se puede adaptar para trabajar fácilmente con una amplia gama de modelos y procesos existentes y emergentes , como es el conocido ITIL o similares. ACAP puede utilizar cualquier seguridad controlando los estándares que la organización desee cambiar. No es necesario que exista ningún conflicto con los requisitos de cumplimiento para crear una linea estratégia de ciberseguridad.
Conclusión
El proceso ACAP produce una agilidad estratégica en el personal, los procesos, las políticas y la tecnología de seguridad necesarias para responder a un entorno de ciberamenazas rápidamente cambiantes. Pero lo que es más importante, el proceso moverá la cultura de la ciberseguridad hacia una mayor velocidad y capacidad de adaptación a un entorno de ciberseguridad turbulento y difícil de predecir.