Cuando era niño, mis padres construyeron una casa muy humilde, en obra gris como se le dice; en un barrio al sur de Bogotá; era víspera de navidad y estábamos muy felices de cumplir nuestro sueño de tener casa propia. Sin embargo, unos días después, entraron unas personas mientras dormíamos y nos robaron absolutamente todo, ya que construimos una casa habitable, pero jamás pensamos en la seguridad; no pensamos en los riesgos, ni en las amenazas, ni en nuestras vulnerabilidades y por lo tanto no implementamos los controles adecuados.
En la mañana siguiente al incidente devastador, algunos vecinos se acercaron a decirnos que el vecindario era peligroso, que había que colocar ciertos controles y que sabían como operaban los ladrones, ya que tenían rato haciendo de las suyas en el sector. Bonita la hora de decirnos!, pensé.
Traigo este evento de mi niñez para usarlo como ejemplo y explicar el tema de hoy, ya que hace unos días, fuimos invitados a un panel de seguridad de la información en una universidad de Colombia y una de las preguntas que más disfruté fue:
¿Qué lecciones se han aprendido de los principales incidentes de seguridad de los últimos años? ¿Cómo pueden las organizaciones mejorar su capacidad de respuesta ante incidentes?
A continuación quiero dar mi punto de vista ya que quedé bastante sorprendido y a la vez bastante en desacuerdo con los panelistas.
Mi respuesta corta, es “las empresas no están aprendiendo un carajo, ¿ lecciones aprendidas? eso no existe o no se hace con seriedad en las organizaciones“.
¿Pero qué son las lecciones aprendidas?
Las “lecciones aprendidas” según el National Institute of Standards and Technology (NIST) de Estados Unidos, son parte integral de la gestión de incidentes de seguridad informática y la mejora continua de las prácticas de seguridad; las lecciones aprendidas se refieren al proceso de reflexionar sobre incidentes de seguridad recientes para identificar tanto los aciertos como los errores, con el objetivo de mejorar la respuesta futura y prevenir incidentes similares. NIST promueve la idea de que este proceso debe ser un ejercicio continuo y sistemático que contribuya al fortalecimiento de las políticas de seguridad, los procedimientos y las operaciones del negocio.
En ese incidente que marcó parte de mi niñez hicimos unas lecciones aprendidas con mi familia (obviamente a mis 7 años no las llamé así) e implementamos los controles para que bajo ninguna circunstancia nos volviera a pasar algo similar y nos encargamos de comunicar a nuevos vecinos las amenazas y riesgos del vecindario.
La Dura Realidad en las Organizaciones
Durante mis años como consultor he visto como las organizaciones que experimentan brechas de seguridad omiten el proceso de lecciones aprendidas, lo ven como una pérdida de tiempo, o simplemente nunca hay tiempo/interés para su desarrollo.
Por otro lado, las empresas que no han sido afectadas por incidentes de seguridad (o posiblemente no saben que fueron victimas) tienden a subestimar de que en cualquier momento, podrían ser objetivo de un incidente; y aquí es donde toma mucha relevancia analizar que incidentes están ocurriendo en empresas similares, del mismo sector o empresas que utilicen tecnologías similares.
A continuación algunas métricas que hemos tomado de un muestreo de los 25 incidentes más críticos en los que hemos participado durante los últimos 10 años sobre el proceso de respuesta a incidentes.
Este análisis muestra, que tan solo en un 4.8% de los incidentes se desarrolló un documento y sesiones con un equipo multidisciplinar, para analizar lo que salió bien, lo que salió mal y lo que había por mejorar; el cuál sería el escenario ideal.
En el 9.5% de los incidentes se desarrolló simplemente una reunión donde se creó el documento, generalmente solo con los integrantes del equipo de seguridad. En el 19% de los casos se creó un simple registro (por si pregunta el auditor 🥸) y en el 66.7% de los incidentes no hubo ni sesión, ni documento, es decir no hay lecciones aprendidas.
¿Y cuál es el resultado? Pues que seguimos teniendo incidentes de seguridad aniquiladores, seguimos cometiendo los mismos errores una y otra y otra vez. Es decir que nos pasan cosas o vemos que a nuestros vecinos les pasan cosas y no hacemos nada pensando que no nos va a tocar, o no nos va a volver a pasar.
¿Eso quiere decir, que si realizamos un proceso serio de lecciones aprendidas no vamos a tener incidentes? No es tan así, pero con toda seguridad se va a reducir la probabilidad y el impacto; y en caso de que suceda sabremos como actuar para recuperarnos más rápido y de forma efectiva.
La Importancia de Implementar un Proceso de Lecciones Aprendidas
Desarrollar un proceso de lecciones aprendidas en una organización, ofrece múltiples beneficios que pueden mejorar significativamente la capacidad de recuperación (resiliencia). A continuación algunos de los aspectos más destacados:
- Mejora de los procesos de respuesta a Incidentes
Un proceso estructurado de lecciones aprendidas ayuda a identificar tanto las fortalezas como las debilidades en la respuesta a incidentes. Esto permite a las organizaciones ajustar sus estrategias, tácticas y la toma de decisiones. - Prevención de incidentes futuros
Al analizar los incidentes y entender sus causas, las organizaciones pueden implementar medidas preventivas más eficaces. Esto no solo reduce la frecuencia de los incidentes, sino que también minimiza su potencial impacto. - Cultura de aprendizaje continuo
Fomentar un proceso de lecciones aprendidas promueve una cultura de aprendizaje y mejora continua. Esto implica que los integrantes del grupo de respuesta y gestión de incidentes están más comprometidos y conscientes de la importancia de la seguridad, lo cual puede llevar a una mayor proactividad en la identificación y mitigación de riesgos. - Refuerzo de la confianza
Cuando los clientes, socios, proveedores, auditores y entes reguladores ven que una organización toma en serio la seguridad y aprende activamente de los incidentes, se fortalece la confianza en la organización. Una buena reputación en cuanto a la gestión de la seguridad puede ser un diferenciador clave en mercados competitivos. Hemos trabajado en organizaciones que comparten las lecciones aprendidas con las partes interesadas para que la cadena de valor se fortalezca. - Optimización de recursos
De las fallas es de donde más se aprende; las organizaciones pueden optimizar el uso de sus recursos al analizar que es lo que falló o podría fallar. Esto incluye la asignación de presupuesto para seguridad, donde los fondos se pueden dirigir de manera más eficiente, tomando decisiones financieras con base en los riesgos más relevantes. - Reducción de costos asociados a incidentes
Los incidentes de seguridad son costosos, no solo en términos de las acciones técnicas y operativas sino también por el daño a la reputación y las posibles sanciones legales o regulatorias. Si no hacemos lecciones aprendidas, pues tendremos que entrar en costos enormes ante un incidente. - Innovación en seguridad
Las lecciones aprendidas pueden impulsar la innovación. Al revisar y analizar constantemente los incidentes, las organizaciones pueden descubrir nuevas formas de abordar problemas de seguridad, desarrollando soluciones innovadoras. Son increíbles las ideas que se generan durante los ejercicios post-mortem en los que acompañamos a nuestros clientes. - Mejora de la comunicación
El proceso de revisar y discutir incidentes y lecciones aprendidas mejora la comunicación entre diferentes áreas del negocio. Esto ayuda a romper silos y fomenta un enfoque más colaborativo para la gestión de riesgos y seguridad.
Así que si nuestra organización sufre un incidente de seguridad, pues saquemos un tiempo para hacer la tarea y evitar incidentes similares en el futuro.
Si por fortuna, no hemos sufrido un incidente de seguridad, pero una empresa similar, o una empresa del sector o una empresas con tecnologías similares a las que usamos, han sido victimas; pues hagamos la bendita tarea, analicemos que pasó para aprender y mejorar.
¿Cómo pueden las organizaciones implementar efectivamente un proceso de lecciones aprendidas?
Bueno, eso lo veremos en nuestra próxima entrada. En donde usaremos el incidente del robo a nuestra casa como ejemplo para construir unas lecciones aprendidas.
Saludos 🤙