COMENTARIO
La calidad del asesoramiento sobre seguridad de la información ha mejorado en los últimos años, particularmente en su énfasis en los fundamentos, pero nuestra industria a menudo olvida enfatizar el establecimiento de esos fundamentos como procesos repetibles.
Fundamentos, políticas, formación, ejercicios de mesay la tecnología son recursos de utilidad respectiva limitada: cada uno es una pieza finita y a menudo subjetiva de un rompecabezas. En una industria personificada por la frase “Aprender a hacer más con menos”, lograr objetivos finales consistentes requiere procesos que sean reconocibles, repetibles y flexibles de principio a fin.
Para adoptar un léxico común, definamos “proceso” como la institución, formación, evaluación y rehabilitación de una serie de acciones esperadas definidas por el profesional que una persona puede emprender en respuesta a un estímulo. Ejemplos de estímulos incluyen una llamada al 911, la detección de un punto final o un ticket de incorporación de recursos humanos. Es importante destacar que el proceso proporciona un marco para la actividad, es repetible, generalizable y depende de las capacidades físicas, mentales y digitales del practicante..
James T. Reason, profesor de psicología y experto en errores humanos, propuso por primera vez el “modelo de causalidad del queso suizo” en 1990. Su modelo teoriza que el colapso de sistemas complejos a menudo implica debilidades en múltiples defensas (tramos) que se alinean con un momento resultante de oportunidad. en la ruptura. Escritor y tecnólogo Cory Doctorow ilustró recientemente un gran ejemplo de esto. en la alineación que resulta en una estafa financiera exitosa. En el contexto de la seguridad, el modelo Swiss Cheese nos dice que es imposible anticipar de manera confiable cómo y cuándo las debilidades de sus sistemas se alinearán para presentar una oportunidad para un atacante sin centrarse en la seguridad desde el principio para integrar procesos repetibles y confiables en sus flujos de trabajo.
Como tecnólogo incipiente que trabaja en soporte técnico en el Congreso, mis viajes diarios a Washington, DC a menudo se centraban en escuchar podcasts. Uno de los favoritos era el de temática defensiva. podcast Bombarepitiendo a menudo a mitad del episodio el eslogan “El proceso es mi San Valentín”, comparando la criticidad del proceso con algo tan importante e impredecible como la seguridad nacional. La frase resonó en mí no solo por el autismo (después de todo, nos gustan las rutinas autoimpuestas), sino también por mi década de experiencia respondiendo a los servicios de emergencia antes de mi carrera en tecnología.
Como despachador del 911 responsable de responder a miles de personas, el proceso se volvió necesario. Tuve que calcular:
Orden de acciones: ¿qué debería pasar y cuándo?
Cinética de acciones: ¿El orden está acorde con el entorno? ¿Están las radios y los teclados correctos en los lugares correctos? ¿Están disponibles las herramientas adecuadas y en la dirección correcta?
Lateralidad de las acciones: ¿qué puedo paralelizar, pasando del inicio de una a la otra, que luego se desarrollará al lado de un mínimo de interacción directa y un mínimo de atención viable desviada?
Evaluación: ¿qué puedo medir? ¿Cómo puedo evaluar los sistemas que interactúan aquí? ¿En qué medida han adoptado el proceso o lo han convertido en un solo proyecto? ¿Qué hay que mejorar?
Comprender esto era la única manera de avanzar en un entorno impredecible con innumerables elementos importantes que exigían atención simultánea. La seguridad tecnológica, al igual que el trabajo de despacho, requiere control del proceso. Correr al Capitolio desde los suburbios de Virginia para golpear el plato en medio de una fila interminable para comprar boletos y luego ayudar a construir un programa de seguridad sólido y exitoso desde cero en un trabajo privado, el proceso se ha convertido nuevamente en mi favorito.
La política es prescriptiva, el proceso es cinético
Piense en ello como una respuesta a un estímulo a través de la memoria muscular. El proceso tiene en cuenta directamente la fisiología, la neurología, los prejuicios y las habilidades del profesional al que busca guiar. Este no puede ser un producto de back office. El proceso está necesariamente centrado en el profesional; sentarse en su silla, verlo con sus ojos, realizarlo con sus herramientas y, lo más importante, desafiar el proceso con la fatiga del practicante. ¿Puede alguien en la hora 13 de un equipo doble lograr esto de manera efectiva?
Aunque el proceso de capacitación también es interactivo y no necesariamente depende del consenso, al menos es consenso informado. Esto requiere el aporte de las partes interesadas y la aceptación del equipo inmediato y de aquellos que tocan el escenario circundante.
Una vez que se construye la primera iteración del proceso, documentarla de una manera que enfatice la revisión. Integre su naturaleza viva en la documentación, incluida una evaluación posterior a la acción en torno a elementos específicos y mensurables. No descuides lo subjetivo, porque invariablemente afecta el curso de una situación. La forma en que sus profesionales abordan el proceso determina qué tan bien el proceso sobrevive a la realidad.
Luego revisa, respira y comienza de nuevo.
Siempre que sea posible, establecer un proceso realista impulsado por profesionales es esencial para que un programa de seguridad funcione bien. Previene el agotamiento de los empleados, estandariza las experiencias y llena muchos vacíos revelados por eventos únicos y repetidos. Al centrar a los profesionales, evaluar los entornos e instituir marcos flexibles mientras prestamos atención a los fundamentos y a los patrones de comunicación proactivos, todos podemos avanzar hacia una postura más segura. Hagámoslo más difícil para los malos actores.