Los controles permiten flexibilidad en la implementación y el crecimiento operativo e innovación con el tiempo. Desafortunadamente, algunas organizaciones usan la flexibilidad para marcar la casilla, pero no tienen defensas reales en su lugar.

Un ejemplo claro de este problema son los sistemas de detección/protección de intrusiones (IDS o IPS). Al igual que los escáneres de virus, la mayoría de las organizaciones invierten en IDS/IPS como una práctica estándar de seguridad para protegerse contra el tráfico malicioso y la exfiltración de datos. La industria está llena de proveedores que crean varias formas de sistemas IDS/IPS. Sin embargo, algunas organizaciones optan por construir sistemas en lugar de comprar.

Recientemente dejé una de esas organizaciones que “construyó” su propio sistema de detección de intrusiones a partir de herramientas de código abierto. A los auditores se les dijo que el sistema era una “herramienta fantástica”, e incluso se les dieron ejemplos de tráfico. Cuando profundicé en la telemetría que la herramienta estaba proporcionando, me di cuenta de que el tráfico no se estaba analizando en absoluto. En cambio, pasaba a través del sensor ya que no estaba configurado para capturar ningún tráfico o alertar en absoluto. Además, las credenciales utilizadas para administrar la herramienta fueron configuradas por un empleado anterior y nunca se actualizaron después de su partida. Así que, esencialmente, la herramienta estuvo inactiva durante meses sin ninguna intervención humana. Esto no solo pone a la empresa en riesgo, sino que también compromete el perímetro.

Un auditor sagaz no habría detectado el problema porque las atestaciones no buscan información “operativa” en todos los sistemas; el estándar es literalmente una capa de preguntas y respuestas. De hecho, la mayoría de las atestaciones miden simplemente si la herramienta existe, no la viabilidad operativa. Además, la mayoría de los auditores no son lo suficientemente técnicos como para discernir un IDS/IPS funcional de uno no funcional. El núcleo de la auditoría depende de que la empresa muestre su mejor cara en lugar de responder a preguntas difíciles. Los auditores también deben cubrir una amplia gama de controles durante una auditoría, por lo que el tiempo es un factor importante en la calidad de su análisis.

Una atestación por sí sola le dirá que una empresa tiene un programa de seguridad maduro con controles. Requerir que un posible socio complete una encuesta de proveedores tampoco le proporcionará confianza. Las encuestas simplemente describen la misma información en un formato diferente. Entonces, ¿cómo evalúa un programa de seguridad maduro?