La tarea de gestión de vulnerabilidades es mucho mas que algo técnico. En esta entrada vamos a revisar la gestión de las vulnerabilidades paseándonos por algunos aspectos psicológicos que hay en relación a esta actividad.
Cuando encaramos un proceso de gestión de vulnerabilidades, lo que finalmente queremos como equipo de ciberseguridad es que las vulnerabilidades sean corregidas, pero sin duda es la parte mas difícil del proceso.
Hay que ser empáticos y ponernos en los zapatos de nuestros colegas del equipo de TI. En ocasiones desde el equipo de Ciberseguridad se suele promover una avalancha inesperada de tareas de parcheo o mitigación de vulnerabilidades. Lo mas probable es que el equipo de TI no entienda "POR QUÉ deberían hacerlo". Es muy posible que no conozcan los conceptos de minimización de la superficie de ataque y maximización del costo de ataque. Desde su punto de vista, son solo algunos requisitos del equipo de CIberseguridad impuestos con un solo objetivo: Hacer sus vidas miserables.
Es allí cuando entra la psicología en juego, la curva de cambio de Kubler-Ross, la cual esta basada en 5 etapas, las cuales puede transitar una persona o un equipo cuando pasa por un proceso de cambio.
No importa cuánto tratemos de mantenernos constantes, las emociones juegan un papel enorme en nuestra productividad, al conocer las siguientes cinco etapas del duelo, nos podemos anticipar a las reacciones de los equipos afectados y planificar su respuesta con mucha anticipación. Las etapas son:
Negación
Enfado
Negociación
Depresión
Aceptación
Cuando el equipo de ciberseguridad llega con todas estas actividades de mitigación, suele ocurrir frecuentemente que el equipo de TI pase por las etapas de la negación y el enfado, porque piensan que actuando de esta forma pueden resolver todos sus problemas. Y, francamente, esto puede funcionar. Hay innumerables formas de sabotear la corrección de vulnerabilidades. Las más comunes son las siguientes:
No entiendo cómo arreglar esto
¿Por qué deberíamos parchear esto? La vulnerabilidad no se puede explotar
Ya lo parcheé, debería haber un falso positivo en el escáner
La vulnerabilidad es explotable en teoría, pero no explotable en nuestra infraestructura particular
Este servidor no es crítico e incluso, si se viera comprometido, no habrá un gran impacto. Entonces, no lo parchearemos
En cada caso individual, el analista de ciberseguridad puede describir y defender su punto vista, pero hacer esto para cada vulnerabilidad requerirá una gran cantidad de tiempo y esfuerzos, lo cual puede paralizar el trabajo.
Por lo tanto, hay que tenerlo en cuenta e intentar distinguir los casos en los que sus colegas realmente no entienden algo o su priorización de vulnerabilidades no es lo suficientemente buena, también, en los casos donde solo existen excusas sin fundamentos sólidos.
Con HowlerMonkey podrás ayudar a tu equipo de TI a disipar las dudas sobre las vulnerabilidades y permitir agilizar los tiempos de corrección.
Cuando el problema está de nuestro lado como equipo de ciberseguridad
Es relativamente fácil de manejar. Debe invertir más esfuerzos en el análisis de vulnerabilidades y desarrollar mejores criterios que busquen priorizar efectivamente la mitigación de las vulnerabilidades. No es una buena idea darle a su equipo de TI informes de escaneo con muchas vulnerabilidades sin procesar. Lo mejor sería alertar continuamente al equipo de TI sobre las vulnerabilidades a medida de que estas van surgiendo, para esto HowlerMonkey puede ayudarlo ;) .
Cuando el problema está del lado del equipo de TI
Es mucho mas difícil. En este caso hay dos estrategias principales:
Máxima Cooperación:
En Guayoyo es la que mas nos gusta implementar con nuestros clientes. La idea es involucrarnos con el equipo de TI y ayudarlos en el proceso hasta que sea una tarea habitual.
Trate de estar a su lado y ayúdelos a establecer un proceso de administración de parches y hardening de seguridad automatizado y efectivo.
Intente convencerlos de que el proceso de gestión de vulnerabilidades no es una amenaza. Que puede demostrar que el equipo de TI hace un gran trabajo.
Intente convencerlos de que Ciberseguridad realmente puede ayudar al equipo de TI a obtener más recursos (software y hardware) y personas para las tareas de mitigación. Porque solo Ciberseguridad comprende realmente lo crítico y difícil que es este trabajo.
Sin embargo, hay que hacer que la cooperación funcione, hay que mantenerla de parte y parte, desde el lado de ciberseguridad priorizar muy bien las vulnerabilidades y acordar siempre las alternativas de mitigación, si esto falla y la comunicación se quiebra, existe la posibilidad de que el equipo de TI no haga su parte del trabajo y, por lo tanto, es posible que el proceso de gestión de vulnerabilidades en la organización pueda fallar.
Mantener las cosas formales:
En Guayoyo es en la que menos nos gusta participar, algunas organizaciones están acostumbradas a estas cultura un tanto rígidas, esto puede funcionar, aunque en nuestro caso lo intentaremos llevar a la Máxima Cooperación.
Cree políticas de administración de parches y administración de vulnerabilidades y establezca los KPI
Haga cumplir las políticas y los KPI en la organización.
Cree las métricas
Produzca informes periódicos
Si el equipo de TI no cumple su trabajo, escale el problema
Esta estrategia en ocasiones no suele perdurar en el tiempo. Las personas no son robots, no nos gusta la presión. Especialmente cuando es formal y mucho menos cuando proviene de alguna parte “externa” de la organización. Incluso puede parecer una falta de respeto. Por lo tanto, una posición muy activa y agresiva puede crear un entorno tóxico en el que no podrá hacer nada, ya que existen numerosas formas de sabotear el proceso.
El arte del trato
No existe una solución universal que funcione en cualquier caso. Por lo que es necesario comprender la situación actual y lograr acuerdos.
Cuando llegue el momento de ser formal e informal.
Cuando se necesite presionar y discutir, y cuando sea el momento de ponerse de acuerdo y retroceder.
Cuando sea el momento de escalar el problema.
En mi experiencia he visto muy pocas personas que tuvieran muy buenos softskill y ademas que sean capaces para comprender lo técnico. Y, lamentablemente, he visto muchos ejemplos en los que la falta de capacidad de comunicación entre los especialistas técnicos, conduce a conflictos absolutamente innecesarios.
Maximiza la cooperación, tú creas los criterios, HowlerMonkey alerta las vulnerabilidades y el equipo de TI corrige.
Recomendaciones comunes
La gestión de vulnerabilidades es un proceso largo y difícil, pero muy gratificante cuando la sinergia existe y el proceso fluye correctamente. El proceso, como cualquier otra cosa en la vida, puede fallar en cualquier momento pero ya será mucho mas fácil encontrar el origen de la falla para volver a estar óptimos.
Algunas recomendaciones:
Por favor, no llegues con una lista interminable de vulnerabilidades sin procesar, sin priorizar y mucho menos sin descartar falsos positivos. Tus colegas de TI te lo agradecerán.
En lo posible anticipate, evalúa también de tu lado que opciones de mitigaciones pueden aplicarse.
Cuando gestionamos vulnerabilidades, hay que minimizar lo más que se pueda la subjetividad sobre una vulnerabilidad.
Tómatelo profesionalmente. No te lo tomes demasiado personal y emocionalmente, es solo un trabajo.
Se extremadamente educado y respetuoso en cualquier situación. Realmente esto ayuda a suavizar las relaciones.
Practica la escucha empática, no olvides que escuchar es parte esencial de la comunicación. Además nos va a permitir identificar en cuales de las 5 etapas está nuestro interlocutor, para de esa forma saber como abordarlo.
Es mejor discutir los temas delicados cara a cara. Todo lo que está escrito es mucho más fácil de malinterpretar.
Sin embargo, es fundamental mantener todos los acuerdos mutuos por escrito. Los registros de chat son mejores que no tener nada, los correos electrónicos son mejores que los registros del chat, las tareas en el sistema de tickets o de gestión de tareas son mejores que los correos electrónicos.
Incluso si crees que parte del proceso de corrección de vulnerabilidades está fallando, todavía existe la posibilidad de que sea algún tipo de malentendido y puedas resolverlo. Tal vez no sepas algo importante que tus colegas si sepan o no tengas presente algún contexto específico que ellos si tengan. A veces se trata de diferencias culturales, estilo de comunicación, sentido del humor, etc. La gente suele ser mejor de lo que parece.
Por supuesto, también existe la posibilidad de que trabajes con personas realmente malas, groseras, ignorantes y vagas, que simplemente no quieren hacer su trabajo. Así que mantén la calma y trata de hacer tu mejor esfuerzo.
Entrada anterior
En la entrada anterior Gestión Inteligente de Vulnerabilidades I, hablamos de la importancia de gestionar vulnerabilidades y cómo aclarar ciertas dudas sobre una vulnerabilidad para podernos permitir agilizar los tiempos de corrección de la misma.