Potenciando la dimensión proactiva de la ciberinteligencia

ciberinteligencia monográfico OPINIÓN Potenciando la dimensión proactiva de la ciberinteligencia Carlos Blanco Torres Jefe de la Unidad de Inteligencia de Eulen Seguridad L A CIBERINTELIGENCIA consiste, en esencia, en la aplicación de las técnicas y métodos tradicionales del ámbito de la inteligencia en un contexto diferente al que las vio nacer. De este modo, y dado que la inteligencia es un campo de estudio multidisciplinar, los procesos de transformación de las empresas – digitalización de información, hiperconexión, presencia online, etc.– han provocado que muchas de las nuevas amenazas asociadas a estos desarrollos hayan dado como resultado la necesidad de adecuación de las tareas de inteligencia a una realidad marcada por el uso intensivo de tecnología conectada. En esta línea, la ciberinteligencia se concibe como un subgrupo dentro de la inteligencia, que engloba todo lo que tiene que ver con la aplicación de técnicas específicas para la conversión de información en conocimiento. Por tanto, en primera instancia, la ciberinteligencia se ocupa de detectar y comunicar cualquier evento de interés mediante la monitorización de información pertinente –hasta aquí exactamente igual que la inteligencia tradicional– en amenazas 60 red seguridad cibernéticas que puedan pasar desapercibidas para un actor dado y estén relacionadas con sus sistemas informáticos. Sin embargo, esta tarea básica no explota el potencial completo de las personas que la llevan a cabo. Capacidad del analista En ciberinteligencia, a pesar del uso de herramientas avanzadas, sigue siendo vital maximizar las capacidades que ofrece el personal experto adscrito a una unidad o servicio dados. Este hecho es importante porque la mera monitorización de espacios de interés para la detección de amenazas no es suficiente para garantizar que se está haciendo todo lo posible por defender la seguridad de nuestros clientes. Además, la inteligencia/ciberinteligencia sigue teniendo mucho de 'arte', de oficio aprendido mediante la práctica y potenciado a través de habilidades como la creatividad o el pensamiento lateral. Dentro de estas habilidades no técnicas, que no pueden adquirirse mediante la formación de los analistas –aunque sí potenciarse– se encuentra la proactividad. cuarto trimestre 2017 Asegurado este enfoque en la forma de encarar las tareas de ciberinteligencia, se asegura a su vez que el propio servicio dé un paso adelante en cuanto a calidad y profundidad. Los analistas de ciberinteligencia, si de verdad son analistas, no deben circunscribir su campo de acción a la revisión de resultados producidos por sistemas automáticos de monitorización y detección. Es cierto que determinados servicios no proporcionan un espacio amplio de involucración para las personas, aspecto que además puede ser incluso desaconsejable en términos de rentabilidad, y cuyo cumplimiento puede enfocarse desde el ámbito puramente tecnológico. Sin embargo, una vez dado el paso de confiar en las capacidades de la ciberinteligencia, ¿por qué no aprovechar toda su potencia? Si asumimos que el orden 'normal' de las tareas de ciberinteligencia consiste en monitorización-detección-análisis-repor te, se revela que el impulso de las personas debe aplicarse sobre las dos últimas, y especialmente sobre el análisis. Por supuesto, el trabajo de expertos en el diseño de especial ciberinteligencia monográfico En primera instancia, la ciberinteligencia se ocupa de detectar y comunicar cualquier evento de interés mediante la monitorización de información pertinente en amenazas cibernéticas que puedan pasar desapercibidas herramientas, la parametrización de las mismas y la evaluación/mejora de sistemas de búsqueda es de máxima importancia, pero podría considerarse que esas actividades son paralelas a las del tratamiento de la información. Análisis de ciberinteligencia En cuanto al análisis en ciberinteligencia, un primer nivel de actuación proactiva consiste en discernir los pasos, fases, procesos, etc., que un atacante en la Red debe desarrollar para intentar interceptar/detener su actividad. Este enfoque es un avance frente a la tendencia clásica puramente reactiva. Sin embargo, como objetivo o meta, el analista debería encontrase en posición de poder combinar el conocimiento sobre eventos pasados con el que se centra en las acciones que nuestros adversarios podrían realizar potencialmente, basado en inteligencia sobre sus capacidades e intenciones y los posibles objetivos de las mismas (¿robo de información, ataque al sistema, otro?). La decisión de llevar a cabo una operación maliciosa, el planeamiento que necesita y las acciones necesarias para crear/ obtener las capacidades y una ventana de acceso, son elementos que necesitan de un tiempo considerable para ver la luz. Ese estado mental solo puede alcanzarse mediante la complicidad de la dirección, que permitirá a los analistas desarrollar todas sus capacidades y no verse envueltos en una rutina de trabajo, marcada por la revisión de eventos detectados automáticamente, que acabe provocando el pernicioso 'efecto túnel' –lo que no ha sido detectado no existe– y el análisis sesgado de la realidad. Otro punto de mejora habitual en lo que toca a la actitud de la dirección es la de ofrecer un retorno sobre la pertinencia, contenidos y formatos de los análisis que consume, elemento vital para que los analistas puedan enfocarse sobre las necesidades reales que han de satisfacerse. Dimensión humana Por todo lo anterior, se hace necesario tratar la ciberinteligencia como una actividad que, a pesar de su dependencia evidente de la tecnología, es fundamentalmente humana. Lo mismo ocurre desde el otro lado, el de los ciberdelincuentes, puesto que las ciberamenazas son creadas y puestas en movimiento por actores organizados, estatales o no (mafias y grupos de nuevo cuño), con grados muy elevados de sofisticación y a partir de grandes recursos materiales y humanos. En conclusión, una ciberamenaza es un riesgo técnico y de negocio. El equipo de seguridad será el que se encargue de detectarlo, eliminarlo o mitigarlo, pero la dirección debe saber que ésta es una realidad que puede generar daños tangibles e intangibles –información y reputación, aspecto que entronca con las áreas de marketing y comunicación de las empresas–, cuyo impacto puede ser muy elevado. De este modo, las compañías que apuesten por la ciberinteligencia extraerán mucho más beneficio de la misma si impulsan su dimensión humana, asegurando un entorno propicio para que los analistas puedan a su vez desarrollar proactivamente sus capacidades únicas. Es necesario tratar la ciberinteligencia como una actividad que, a pesar de su dependencia evidente de la tecnología, es fundamentalmente humana. Imagen: Giles Turnbull. especial red seguridad cuarto trimestre 2017 61