miércoles, 21 de septiembre de 2016 0 comentarios

La bicefalia del CISO

Ya comenté en el post anterior "De mayor quiero ser CISO" que actualmente este puesto de trabajo debe gestionar la doble complejidad del escenario de batalla. Por un lado, el CISO debe establecer la estrategia de su propia defensa y considerar cómo construye la seguridad de su organización, pero a su vez, tiene que estar atento al contexto y cómo cambia el mapa de amenazas. Esto, en un entorno dinámico en donde los malos siempre van por delante y con ventaja, supone un reto que es necesario saber gestionar. 

Todo profesional de la seguridad debe aplicar una psicología muy particular. Hay un texto esencial sobre este tema de Bruce Schneier en el ensayo "Psychology of security" que describe el funcionamiento del ser humano cuando tiene que abordar el reto de la gestión de riesgos. En este sentido, un profesional de la seguridad piensa diferente cuando ve o le presentan un sistema. Por un lado, analiza las funcionalidades, la complejidad del entorno, los resultados que genera... pero también, otra parte de su cabeza, comienza a pensar en cómo el sistema podrá ser vulnerado. Debe empatizar con el agente hostil para pensar como él y buscar los mismos puntos débiles que él tratará de encontrar.

En este post quiero centrarme en los enfoques de gestión que tenemos que dar a ambas partes de nuestra cabeza para abordar la "construcción de la seguridad" en nuestra organización y la "vigilancia de nuestra seguridad" frente al enemigo.

Construcción de la seguridad.
En este frente, el CISO debe gobernar la gestión y construcción de la seguridad y para ello emplear las buenas prácticas y estándares internacionales existentes, todos enmarcados dentro de la serie ISO 27000. Las necesidades actuales han ido produciendo diferentes revisiones de la norma o la elaboración de normas específicas que han tratado de resolver aquellas cuestiones que la norma general ISO 27001 no ha resuelto bien como pueda ser la Cloud (ISO 27017) o las necesidades específicas de sectores como en financiero, el sanitario, etc. Para quien quiera conocer la situación actual de la serie, la web ISO27001security.com de Gary Hinson nos mantiene actualizados ya que éste autor pertenece a los comités ISO que se encargan de revisar o crear normas dentro de esta serie.

En el proceso de análisis, diseño, construcción y mantenimiento de la seguridad se emplea el famoso ciclo de Demming o modelo PDCA.  Bajo esta filosofía, hay una fase de planificación en donde se realiza el análisis de riesgos, la toma de decisiones y la selección de las medidas de seguridad que deben velar por la adecuada mitigación de los riesgos.

El ciclo de mejora continua garantiza la evolución del sistema porque o bien a través de incidencias (Que evidencia a las medidas de seguridad que no cumplen con sus objetivos o las cuestiones sin proteger) que deben generar las adecuadas correcciones o bien a través de propuestas de mejora (Que evidencia aquellos elementos que podrán obtener mejores resultados), el CISO debe ir obteniendo una mejor protección de su organización de forma progresiva.


Vigilancia de la seguridad.

En este frente, el CISO debe controlar al enemigo y reaccionar frente a nuevas amenazas o los cambios de estrategia que puedan tener como resultado el fallo o  fracaso de las medidas de seguridad que tiene implantadas. En este contexto, aplicamos otro ciclo de gestión diferente, llamado OODA Loop o ciclo de Boyd. Este es el criterio que adopta un piloto para tener conciencia situacional y tomar decisiones de evasión cuando está bajo la linea de fuego enemiga. Esto se aplica en el mundo de la ciberseguridad dado que nuestros sistemas de información están sometidos de forma constante a la presión de los agentes agresores que intentan el acceso a través de los diferentes vectores de entrada que hacen tener éxito a una intrusión. En este entorno, el CISO debe luchar por tener la mayor conciencia situacional posible, teniendo que identificar qué vulnerabilidades tiene, qué flujos de tráfico son anómalos, qué nivel de alerta están notificando las medidas de seguridad implantadas. Como vemos, el CISO se mueve en el terreno de las operaciones para evadir o defender los sistemas del enemigo. El ciclo OODA consta de las fases siguientes: Observación, Orientación, Decisión y Respuesta como muestra la siguiente figura:


Es en este nuevo escenario en donde actualmente se están poniendo a disposición de los CISOs las nuevas tecnologías de Threat Intelligence y correlación de eventos. Tener una visión clara de qué alertas tenemos y tratar de conocer las herramientas, tácticas y procedimientos de nuestro agresor nos da cierta ventaja a la hora de decidir cómo defendernos.

En este estudio continuo del adversario, existen varias aproximaciones que tratan de formalizar la metodología del atacante, de forma que permita al defensor establecer qué respuesta dar en cada fase. Explicaré en un siguiente post en qué consisten estos modelos de ataque... pero su esencia es que una intrusión o ataque no es nunca un hecho aislado. Para su consecución y éxito, el atacante ha tenido que hacer ciertas labores previas de investigación y rastreo que pueden ser detectables si tenemos los sensores adecuados para identificar estos indicios y que no pasen desapercibidos entre el resto de logs.

Si contamos con labores de Threat Intelligence, el defensor conoce mucha información sobre cómo el atacante (Cuando ya ha sido identificado por alguno de los laboratorios que tratan de desenmascarar estas campañas). Por tanto, podemos parametrizar nuestras defensas para que estén atentas a determinadas conexiones a rangos de IP concretos, la conexión a ciertos dominios o URLs, la presencia en nuestros sistemas de determinados ejecutables con ciertos Hash, etc.



Tal como he titulado al post, el CISO debe saber moverse bien en ambos mundos. Debe gobernar la seguridad de sus sistemas pero tiene que también vigilar al enemigo y el cambio en sus tácticas, de forma que siempre tenga garantías de tener cubiertos todos los flancos. Ambos ciclos, PDCA y OODA Loop pueden convivir perfectamente e incluso complementarse mutuamente. De hecho, los que nos hemos venido dedicando al mundo de la gestión hemos tenido como cimientos la ISO 27001 siempre... contemplando la vigilancia y respuesta como labores operativas que generan correcciones o mejora continua pero ahora vemos en el Threat Intelligence un nuevo ámbito a tener en cuenta para la toma de decisiones, que puede acelerar o priorizar mejor en dónde realizar esfuerzos por implantar medidas.




Este nuevo enfoque, más proactivo, basado en la anticipación ya no se centra en la filosofía de minimizar vulnerabilidades sino que asume que la amenaza es persistente y trata de lograr la intrusión en nuestros sistemas. Por este motivo, los soldados no están a la espera subidos en sus almenas sino que están monitorizando y vigilando continuamente al atacante para adecuar la respuesta de forma continua. En este entorno, es imprescindible contar con una adecuada centralización de logs que junte en un único punto toda la información recogida por los sistemas de seguridad de forma que las alarmas puedan ser correlacionadas y generen alertas al personal de seguridad que puedan ser gestionadas y gestionables (Es decir, el número de alertas a procesar debe ser razonable respecto al personal operativo que debe resolverlas). Este tipo de soluciones técnicas son proporcionadas por sistemas SIEM y complementandas con los dispositivos de seguridad que van siendo capaces de incorporar información obtenida por Threat Intelligence. 





miércoles, 14 de septiembre de 2016 0 comentarios

CISO, ¡ Enseñame la pasta !

En el post anterior estuve planteando cómo el CISO debe encontrar su misión y establecer las metas de su trabajo. Esa es la parte bonita del diseño de la estrategia de seguridad donde tenemos que pensar en cómo contribuimos al negocio y establecer el rumbo que luego sirva para medir nuestros logros. Como directivo, debemos diseñar cómo medir si nuestra gestión va alineada con las metas corporativas y si además estamos siendo productivos para el negocio.

Sin embargo, esa parte bonita del camino estratégico tiene que considerar también los factores internos que limitan nuestro campo de acción. No he estado presente en un Comité de Alta Dirección pero si me imagino planteando un Plan Director de Seguridad de la Información y ser interrumpido por el CEO o CIO de la organización para preguntar por el retorno de inversión. Una escena que puede caricaturizar esa situación pero que a la vez ilustra cómo "negocio" piensa y ve al área de seguridad es este trozo de la película "Jerry Maguirre" cuando el representante, desesperado, llama al deportista para tratar de convencerlo de que siga con él.


Me imagino al CISO con su Powerpoint, sus cuadrantes de riesgo y sus planes de acción esbozando la estrategia para gestionar todo eso y levantarse el CEO y espetarle: "Enseñame la pasta".

Una de las cosas que todo CISO debe tatuarse para recordar frecuentemente es que NEGOCIO sólo habla un lenguaje: Dinero. Por tanto, cualquier iniciativa, plan, actuación debe encarmarse en este contexto y debe contar con argumentos poderosos que justifiquen ese gasto/inversión.

Mucho se ha escrito sobre este tema, el famoso Return of Security Investment (ROSI) aunque todavía no existen formulas claras para responder.Algunas de las mejores reflexiones donde se plantea la cuestión se encuentran en los documentos Introduction to Return on Security Investment de ENISA  y Return On Security Investment (ROSI): A Practical Quantitative Model de Infosecwritters.

El CEO o el CIO de toda empresa, frente a un plan de seguridad, perfectamente puede preguntar en qué medida es rentable o cómo se amortizará la inversión. Es la pregunta envenenada contra la que debemos estar preparados de alguna forma. Como ya dije en el post anterior, nuestro mayor logro será evitar que algo interrumpa al negocio... pero ¿cómo medir aquello que somos capaz de evitar? ¿Cómo se rentabiliza la seguridad?

Esta pregunta, es envenenada por los siguientes motivos:

  • Exigen que se valore el esfuerzo por reducir el riesgo ... pero a menudo no se cuantifica el coste de "aceptarlo". Esta es una de las cosas con las que más frecuentemente tengo que luchar. Cuando planteamos un análisis de riesgos y el Comité de Seguridad/Dirección "Decide" no hacer nada, esa opción, es en sí misma también una decisión... y por tanto, tiene consecuencias. Lo que es dificil calcular es su coste aunque de alguna forma tendríamos que poder valorar el coste de la "inseguridad". Para ello, la materia prima esencial sobre la que trabajar para poder hacer alguna aproximación y cuantificar qué factura se paga por no estar adecuadamente protegidos son las incidencias. Todo fallo puede deberse a una ausencia de control consciente o inconsciente. Si por ejemplo, tenemos una oleada de correos con malware y generan determinados incidentes, deberíamos calcular cuanto gasto ha supuesto a la empresa cada uno de ellos. De esa forma, un plan de formación podría plantearse como un coste concreto que tendría por objetivo una reducción del número de incidentes y por tanto, una reducción del coste (Que ya se ha sufrido por esta casuística). Por desgracia, no es frecuente calcular qué cuesta la no prevención.
  • Tenemos que valorar cosas que no han sucedido pero podrían suceder. En muchas situaciones, conocer a priori el impacto es complejo porque un incidente tiene diferentes factores que calcular para tener una valoración completa de daños. Según el tipo de incidente y los activos afectados, los costes pueden ser directos como paradas operativas, cese de servicio, lucro cesante por caída de sistemas... pero también puede haber costes intangibles como daño reputacional, posibles sanciones legales, etc... que pueden engordar la factura a pagar una vez está resuelto del caso. Valorar lo que no ha sucedido no es trivial y debe tener unas ecuaciones claras que hagan racional y comprensible el criterio de estimación utilizado.
El reto no es trivial y cualquier valoración que proporcionemos será cuestionada. Por ese motivo, usemos el criterio que usemos, debemos tener claro cómo se justifica y tratar en la medida de lo posible de hacer fácilmente comprensible el modo de cálculo. En otras disciplinas también se emplean este tipo de estimaciones de futuro y son consideradas razonables. Este es básicamente el modelo de negocio de los seguros, hacer a priori un cálculo de daños a cubrir y definir la cuantía de las pólizas que debe cobrar. En cualquier caso, voy a plantear mi visión sobre el tema. Para ello, es necesario introducir algunos términos que serán necesarios a la hora de realizar estimaciones.

  • Single loss expectancy (SLE), es el coste de un incidente asumiendo una única ocurrencia en términos económicos. Es necesario destacar que cada tipo de incidente tendrá un SLE diferente.
  • Annual rate of occurence (ARO), número esperado de ocurrencias de un incidente durante un año. De nuevo, el ARO es diferente según el tipo de incidente. Respecto a aquellos incidentes que nunca han sucedido (cisnes negros), cada organización debe establecer una posición (pesimista u optimista) que valore cuantos incidentes de este tipo quiere considerar y cuantas veces al año.
  • Annual loss expectancy (ALE), coste de la ocurrencia anual de incidentes de un tipo, en unidades monetarias. Es por tanto el producto del SLE y ARO de un tipo de incidente.
A priori, con estos tres elementos ya se pueden hacer estimaciones de los costes anuales de todos los incidentes. Esto es lo que se conoce como Total ALE (TALE). Con estos factores claros y un buen análisis de incidencias, a priori se podría calcular ya el coste de los incidentes ya sufridos. Para ello, se tendrían que hacer las siguientes consideraciones:
  • El ARO vendría determinado por la frecuencia de los incidentes registrados (No sería una estimación sino un dato calculado del histórico registrado).
  • El SLE de cada incidente tendría que objetivarse y cuantificarse. Para ello, los factores a considerar, por CADA TIPO de incidente, serían:
    • Coste operativo directo: debe cuantificar el coste directo que produce el incidente, valorando para ello cuestiones como tiempos de parada del personal, lucro cesante por interrupción de servicios.
      Coste operativo indirecto: debe cuantificar el coste que tienen todas las actividades de resolución del incidente y el sobre esfuerzo que debe hacerse para volver a la normalidad valorando para ello cuestiones como los tiempos de dedicación del personal TI para resolver la incidencia, las horas dedicadas por el área de atención al usuario para informar o resolver cuestiones surgidas por la ocurrencia de la incidencia, acciones de comunicación o marketing que tengan por objetivo la contención del daño reputacional, etc. Son costes operativos que no se habrían producido si la incidencia no hubiera ocurrido.
Respecto a la toma de decisiones, el CISO también debe entender cuales son los flujos de información que condicionan las inversiones y qué papel debe desempeñar como punto intermedio entre la capa estratégica y la operativa. Para ello es de gran ayuda el marco de ciberseguridad para infraestructuras críticas publicado por el NIST, que he osado traducir.
Tal como muestra la pirámide y de forma resumida, las diferentes iteraciones podrían resumirse en lo siguiente: 
El primer ciclo debe iniciarse en el análisis de riesgos para plantear a Dirección el mapa de cuestiones que se deben gestionar. Con ese contexto, es la Dirección la que asume, como propietaria de los riesgos su rol respecto a las 4 opciones de gestión: Aceptar, Reducir, Evitar o Transferir. 
Acorde con esas opciones, el CISO puede elaborar el Plan Director de Seguridad y plantear un esfuerzo de inversión que el Comité dotará de recursos. Con esta orden de ejecución, deben comentarse los trabajos de puesta en marcha de medidas y traslada la operación y mantenimiento de las medidas de seguridad al área operativa. Esta, además de administrar y gestionar, debe suministrar información de rendimiento que sirva para valorar la eficacia de las medidas.
Con estos datos, el CISO debe retroalimentar su mapa de riesgos y plantear en una segunda fase qué cuestiones se pueden dar por resueltas, qué cuestiones deben mejorar y qué nuevas cuestiones no han sido contempladas y requerirán nuevos esfuerzos inversores.
Teniendo esta pirámide en mente y los conceptos ya explicados para hacer estimaciones, los cálculos del ROSI ya pueden empezar a cimentar en base a una serie de criterios que las áreas de gestión y alta dirección van a ser capaces de entender.

  • Eficiencia operativa: Toda medida de seguridad tiene dos costes, el de inversión (o CAPEX) y el operativo (U OPEX). En el Post "Ciberseguridad, minuto y resultado: Los malos 3, Los buenos 0 ya comenté como una inversión en prevención puede ser rentable si es capaz de reducir el coste operarativo (OPEX) generado por los incidentes que es capaz de evitar. El coste de la inseguridad genera a menudo un OPEX de "apagar fuegos" que sería evitable o reducible. Ese debe ser el objetivo de toda inversión técnica para mitigar un problema que se deben concretar en una reducción de ARO.
  • Reducción de riesgos: Contar con medidas de prevención o detección temprana también tiene como beneficio evitar sucesos indeseados. Ello debe reducir los factores SLE o ARO dado que las mejoras en la gestión de riesgos deben disminuir la vulnerabilidad o limitar el impacto. Por tanto, los beneficios en la adecuada gestión del riesgo deberían traducirse en un descenso de las estimaciones dadas para el TALE.
  • Mejoras al negocio: Este es quizás uno de los factores más complejos de cuantificar, pero una adecuada gestión de la seguridad debe mejorar la disponibilidad, integridad y confidencialidad de los procesos, y por ende, generar una mayor confianza y reputación en los clientes. Estas cuestiones son contribuciones al negocio que sólo puede proporcionar el área de seguridad.

 Para aquellos que queráis profundizar más en el tema y jugar a realizar cálculos sobre los incidentes, el ENISE tiene en la sección de formación para CSIRT un taller práctico sobre cómo hacer estas cosas en diferentes tipos de incidentes. Podéis acceder a estos materiales en el siguiente enlace Cómo calcular el coste de un incidente de seguridad.





sábado, 10 de septiembre de 2016 2 comentarios

De mayor quiero ser CISO.


Ahora que muchas organizaciones y empresas se están planteando ya más en serio esto de la ciberseguridad, llegan las dudas para muchos técnicos o responsables de TI sobre cómo abordar esta problemática de forma holística. Si se sigue planteando como un tema tecnológico donde las soluciones técnicas son el único remedio, el barco hará aguas.

Una de las cosas más bonitas pero también su mayor reto es que es una disciplina en continuo cambio. Una carrera de buenos y malos que se están haciendo continuamente la zancadilla. El objetivo de los malos es maximizar lucro o impacto sobre sus víctimas y el objetivo de los buenos es contrarrestar y reducir al máximo cualquiera de estas fechorías.

Esta batalla tiene ganadores temporales. Hay momentos donde uno de los bandos domina la situación hasta que el contrario reacciona y consigue igualarlo. Quizas, una de las cosas que más influye en el bando de los que defienden es que su mayor logro será garantizar la normalidad, algo a veces no muy visible y premiado por la Alta Dirección que no entiende que preservar la cadena de valor gestionando riesgos es también una forma necesaria de contribuir al negocio. Esto ocurre con cualquiera de las disciplinas que tienen como objetivos la prevención: seguridad física, seguridad alimentaria, prevención de riesgos laborales.

Pero entrando de lleno en la materia es importante destacar que un entorno tan cambiante implica tener claro en marco de gobierno y exige una muy buena gestión. Ambos retos implican tres cosas:


Pensar y decidir es la estrategia, actuar es la táctica. Es de nuevo Sun Tzu y su "Arte de la guerra" la referencia a tener en cuenta. Tal como resume esta frase:
 "La estrategia sin táctica es el más lento camino a la victoria. La táctica sin estrategia es el ruido que precede a la derrota".

Para poder "pensar" como CISO dentro de tu organización, lo primero que tendrás que responder es a lo siguiente:
  • ¿Cuál es el valor que genera mi organización? ¿Qué bien es el que debe protegerse? La respuesta a esta cuestión nos llevará a encontrar nuestra misión en relación a qué activos tenemos que preservar.

La segunda cuestión relevante para tener una visión holística del problema debe ser la siguiente:
  • ¿En qué contexto o entorno estoy situado? Esta respuesta debe servir para calibrar escenarios y valorar posible hostilidad. Hay sectores que sufren una mayor presión por parte de los malos porque existe una mayor motivación o interés, el botín en caso de tener éxito es más alto.


Estas dos simples preguntas ya revelan cómo debe pensar un CISO para decidir. En primer lugar, debe mirar para dentro, hacia el lado en el que él se sitúa como garante pero no puede olvidar el otro bando. La gestión del riesgo implica siempre la tupla (Activo, Amenaza).

Otro gran reto del CISO es su propia organización. Cada casa tiene sus particularidades pero en la toma de decisiones nunca se está completamente solo. Para actuar y desplegar tácticas, es necesario recursos y presupuesto. Por tanto, contar con el respaldo interno y el apoyo para la toma de decisiones es fundamental. Como resultado de la fase de pensar, el CISO debe proporcionar a la organización un adecuado diagnóstico de situación, es decir, debe plantear los riesgos que hay que gestionar y tener preparados para  ellos cuales son a nivel técnico, los posibles marcos de actuación que mitigan esos peligros.

Llegados a este punto y para resumir las reflexiones planteadas, el CISO debe pensar como ingeniero y establecer unos cimientos sólidos que le permitan construir un edificio robusto y que además, sea lo suficientemente ágil y flexible como para ir reaccionado con el paso del tiempo a los nuevos cambios que se puedan producir.  Para ello, la arquitectura del mismo debe contar con unas bases robustas que establezcan una adecuada estrategia y que permitan ir resolviendo en la táctica, las cuestiones de medio y corto plazo que se vayan planteando. La seguridad debe ser siempre un habilitador, un medio para alcanzar objetivos y no un obstáculo. Por ese motivo, la alineación con los objetivos de negocio es fundamental. Si la Alta Dirección, como propietaria de riesgos, quiere desarrollar actividades en escenarios de mucho peligro, el CISO debe aportar su criterio técnico para que esa travesía transcurra sin el menor de los incidentes... Pero no puede convertirse en el Doctor "NO" que para evitar problemas no permite avanzar hacia la meta planteada. Por ese motivo, debe adoptar una actitud proactiva y estar al tanto de todas las decisiones estratégicas para ir avanzando la identificación y evaluación de riesgos.

Un BUEN CISO deben proporcionar:
  • Un marco para la toma de decisiones, donde toda cuestión debe ser valorada como riesgo y tener en cuenta siempre las necesidades de negocio.
  • Una visión de los sistemas de información desde la perspectiva de seguridad, pensando más en la dependencia entre negocio y tecnología y analizando siempre la cadena de fallo, aunque sea solo en escenarios hipotéticos de riesgo.
  • Un plan de tratamiento frente a riesgos, en donde el coste/beneficio se maximice y en donde los criterios de priorización de inversiones tengan por objetivo la mitigación de aquellos riesgos que la Alta Dirección entiende como no asumibles.


Como resume la frase, "o formas parte del problema, o formas parte de la solución". Un CISO debe ser siempre SOLUCIÓN planteando siempre las 4 opciones de gestión del riesgo: Aceptar, evitar, reducir o transferir.

Cuando se traslada a la Dirección un resultado de analizar los riesgos y dado que no son problemas tangibles y reales sino escenarios hipotéticos de todo lo que puede suceder, es tentador guardar la cartera y optar por la opción de máximo ahorro: ACEPTAR. Sin embargo, es necesario hacer ver que está opción es también una decisión con consecuencias.
"La planificación a largo plazo no es pensar en decisiones futuras, sino en el futuro de las decisiones presentes". Peter Drucker.

Cuantas veces hemos visto facturas muy caras en el largo plazo por no haber planificado bien inversiones en prevención modestas que no dan lugar a efectos "bola de nieve". Actualmente nos encontramos en varios escenarios que ejemplifican bien este comentario y me estoy refiriendo a los siguientes:
  • Ransomware: Su éxito, respecto al factor humano,  se debe principalmente a la ausencia de acciones de formación entre el personal para ponerles en conocimiento de cuáles son las formas en las que los malos intentan hacer daño a través de correo electrónico o en navegación Web.  El éxito en la parte técnica es debido en muchos casos a la obsolescencia tecnológica de los sistemas afectados. Las medidas de seguridad de un Windows 10 cuentan con la experiencia y el conocimiento acumulado de Microsoft en seguridad. Windows XP tiene ya 16 años y estaba capacitado para gestionar las amenazas de aquella época... Pero las cosas han cambiado mucho desde entonces.
  • Ataques Web: Las técnicas actuales que se centran en explotar los errores a nivel de aplicación ya no se pueden evitar con políticas de filtrado de conexiones basadas en IP y puerto. Cuantas empresas tienen solamente firewalls con estas capacidades y no son capaces de detectar ataques Web. Actualmente, existe ya tecnología especializada que se centra en resolver exclusivamente ese problema como el WAF (Web Application Firewall) y que permite, entre otras cosas, el parcheo virtual de aplicaciones vulnerables cuando el entorno no puede ser actualizado. ¿Qué significa esto? Que aunque la aplicación que está accesible desde Internet puede tener un bug, el WAF va a detectar su intento de explotación y va a parar el tráfico malicioso que intente entrar a nuestros sistemas por esa vía.


Este es el primero de una nueva serie de post que van a reactivar la actividad de mi blog, que casi tras un año sabático, ha servido para identificar qué temática puede ser de interés y merece la pena compartir con el objetivo de saciar el interés de los actuales y futuros lectores. Cierto es que con el paso de los tiempos ha crecido exponencialmente el número de blogs de seguridad pero no son tantos los que se centran en aconsejar en materia de Dirección y gestión del Área de seguridad de la información. Además, este es uno de los más antiguos que celebrará su 14 aniversario el próximo octubre. Toca ahora restaurar el hábito de buscar cuestiones interesantes a comentar pero al menos, ya he identificado la temática a tratar. En próximos artículos hablare de las siguientes cuestiones:
  • Estrategias de ataque: Modelo de diamante y la Ciber Kill-Chain.
  • Estrategias de defensa basadas en conocer las estrategias de ataque.
  • Threat Intelligence: Conociendo lo que hace tu enemigo y utilizarlo para la prevención.
  • Compliance como un aliado del área de seguridad.

Lo que si habrá como véis, es un estudio desde los dos lados. El "Threat Intelligence", una nueva y potente herramienta es y será una tendencia en uso. Por fin es posible conocer al enemigo... y eso empieza a dar cierto equilibrio en el pulso de "fuerzas". 

El bando que hemos elegido es el más difícil. No tenemos que encontrar el punto débil, tenemos que considerar la protección de todos los elementos. Y además, seremos juzgados el día en que algo ocurra. Por tanto, al menos hay que demostrar diligencia y resultados aunque algo pueda suceder.

 
;