Dígaselo a los marines: Principios de liderazgo y seguridad de la red
Es un viernes fuera de horario. Usted está hablando con un empleado remoto sobre la instalación de un firewall de última generación. No pasa tráfico por la red y ahora estás atascado en el proyecto hasta que se arregle. Las ventanas de mantenimiento fuera de horario de fin de semana en nombre de la mejora de la postura de ciberseguridad pueden ser algunos de los proyectos más estresantes, de alto riesgo y de baja moral emprendidos por una organización. Sin embargo, el riesgo y el estrés pueden reducirse aplicando la metodología de planificación utilizada por los reservistas del Cuerpo de Marines de los Estados Unidos (USMC). Los conceptos de planificación del USMC pueden adaptarse fácilmente a los proyectos de ciberseguridad, aumentando las probabilidades de éxito.
La planificación táctica del USMC se centra en la aplicación de seis pasos de liderazgo de la tropa. Este es el enfoque fundamental que los marines utilizan para todas las operaciones. Los marines han utilizado estos pasos (conocidos por el acrónimo BAMCIS) para planificar cualquier cosa, desde el baile anual de cumpleaños del Cuerpo de Marines el 10 de noviembre hasta un asalto a un nido de francotiradores enemigos. BAMCIS es un acrónimo de: Comenzar la planificación, Organizar el reconocimiento, Realizar el reconocimiento, Completar el plan, Emitir la orden y Supervisar, y es un principio básico del liderazgo del Cuerpo de Marines. El objetivo de BAMCIS es reunir información, hacer un plan, ejecutar y asegurar el éxito de la misión.1
Usando la instalación de un cortafuegos de nueva generación como escenario ilustrativo, recorreremos estos pasos de liderazgo de la tropa e identificaremos cómo pueden mejorar las probabilidades de que el equipo funcione desde el principio y reducir las posibilidades de pasar todo un fin de semana solucionando problemas.
Paso 1: Comenzar la planificación
El análisis de la misión (o la planificación del proyecto) comienza aquí. El día en que se da luz verde es el día en que debe comenzar la planificación: Determine cuánto tiempo deberá permanecer la infraestructura paralela. Identificar qué recursos serán necesarios durante las migraciones en caliente. Cuantificar el impacto que la nueva infraestructura de seguridad de la red tendrá en los usuarios de la organización. Prepare muchas preguntas durante este paso. Tendrá que hacer algunas suposiciones sobre el proyecto para empezar a planificar. Si la oficina remota está fuera de los Estados Unidos, hay que abordar lo antes posible las barreras lingüísticas, las restricciones a la exportación de criptografía y las cuestiones aduaneras. Es difícil desplegar con éxito la infraestructura de seguridad de la red si la infraestructura o el ingeniero están atascados en la aduana
Paso 2: Organizar el reconocimiento
En la guerra convencional, este paso es donde se reuniría información sobre el tamaño, las capacidades y las debilidades del enemigo. Sin embargo, lo que realmente responde este paso es la pregunta «¿Qué información me falta para lograr el éxito? «2 Utilice todos los métodos de colaboración disponibles para garantizar que se descubra toda la información necesaria para el éxito de la implantación de la infraestructura de seguridad de la red mucho antes de su puesta en marcha. Deben obtenerse los requisitos físicos, como la alimentación y la refrigeración, las políticas de seguridad que controlan el acceso a la infraestructura y las fotografías del lugar. Dependiendo de la organización, obtener las aclaraciones necesarias puede convertirse en un proyecto en sí mismo, pero la obtención de esta información es esencial para el éxito.
También hay que tener en cuenta la información necesaria del proveedor de equipos. Tanto si va a adquirir el cortafuegos de nueva generación directamente del proveedor y lo va a instalar usted mismo como si va a confiar en un proveedor de soluciones subcontratado, tener esta información antes del despliegue real de la infraestructura es fundamental para el éxito.
Paso 3: Hacer el reconocimiento
Aquí es donde el liderazgo utiliza todos los activos disponibles para llenar cualquier vacío de información después de que se haya organizado el reconocimiento. En el caso del cortafuegos de nueva generación, aquí es donde analizaríamos las especificaciones para garantizar el espacio, la energía y la seguridad adecuados. Una infraestructura de ciberseguridad situada en una sala normal con un techo abatible, y detrás de una puerta sin prevención de colas, y no dentro de un armario cerrado con llave, es un problema que está a punto de surgir.3 Si su reconocimiento indica que el sitio no cumple con los estándares de seguridad física requeridos, esto debe resolverse antes de continuar. Ponerse en contacto con los equipos afectados por la infraestructura de seguridad es la clave para llenar las lagunas de información necesarias para evitar una dolorosa experiencia de solución de problemas de un fin de semana.
Paso 4: Completar el plan
En el primer paso, se formularon muchas preguntas y suposiciones para poner en marcha el plan. Ahora es el momento de responder a esas preguntas y examinar todos esos supuestos. No se enamore de su plan. La revisión por pares es fundamental. Por ejemplo, cuando se escriben los procedimientos de instalación, se puede tardar cinco minutos en encontrar una errata relacionada con la conexión del cortafuegos de nueva generación. Si no se encuentra esa errata, podría llevar muchas horas solucionar el problema de por qué no fluye el tráfico. Empiece a pensar en todos los posibles modos de fallo relacionados con el despliegue.4 Lo último que se desea es ser menos seguro o que la ventana de mantenimiento sobrepase las expectativas, teniendo un impacto inconmensurablemente negativo en la organización. El plan completo debe tener en cuenta el cambio de las credenciales de la cuenta administrativa por defecto, la desactivación de los puertos y servicios no utilizados y las mejores prácticas recomendadas por el proveedor. Con demasiada frecuencia, estos aspectos se omiten cuando se intenta implementar la solución antes de los plazos, así que asegúrese de incluirlos en el plan.
Paso 5: Emitir la orden
La mayoría de las operaciones militares implican la emisión de una «Orden de Operaciones de Cinco Párrafos». Se trata de un resumen claro y conciso de la información esencial necesaria para llevar a cabo la operación. Nuestro objetivo es tener el mismo tipo de instrucciones claras y concisas.5 Toda la información para un despliegue exitoso de la infraestructura de seguridad de la red debe ser transmitida a los que hacen el trabajo. Esto incluye instrucciones escritas, el uso de conferencias telefónicas, pizarras virtuales y capturas de pantalla. Un amplio plan de comunicación puede resolver muchas cuestiones antes de que tengan la oportunidad de convertirse en problemas. Aunque nadie quiere estar atrapado en reuniones todo el día, después de que se envíen las instrucciones finales, tómese el tiempo necesario para garantizar la comprensión común mucho antes de que comience el cambio de la infraestructura de seguridad de la red. Asuma que nadie está leyendo sus correos electrónicos o escuchando sus ideas en la sala de conferencias, ¡haga preguntas a los miembros del equipo sobre el plan y asegúrese de que responden con las respuestas correctas!
Paso 6: Supervisar
Sin supervisión, aumenta la probabilidad de que los marines tomen malas decisiones, como no beber suficiente agua antes de una calurosa carrera de tres millas por el desierto o activar borrachos una alarma de incendio que cubra de espuma varios aviones.6 Una supervisión adecuada, en cambio, puede hacer que los marines tomen decisiones acertadas que cambien el curso de la historia. Los proyectos de infraestructura de seguridad de la red no son diferentes. La supervisión es fundamental para garantizar que el trabajo se realiza según el plan y de acuerdo con las normas establecidas. El USMC considera que la supervisión es el elemento más importante en la dirección de las tropas. La supervisión no es sólo responsabilidad del liderazgo. Todos los participantes en el proyecto son responsables de hablar cada vez que observen algo insatisfactorio, como la falta de documentación o la mala aplicación de las normas de filtrado de tráfico de un cortafuegos, tal y como lo ven. Es fácil corregir la documentación inmediatamente después de la implementación cuando un supervisor exige una visión de cómo el cortafuegos está filtrando el tráfico. Es difícil corregirla años más tarde cuando se resuelve el problema de por qué una nueva aplicación está filtrada incorrectamente.
Cuanto más puedan ensayar los miembros del equipo los cambios en la seguridad de la red, menos probabilidades habrá de que se produzcan interrupciones en la producción debido a los cambios.
Dado el aumento de las tecnologías de virtualización y de la nube, cada vez es más fácil ensayar los proyectos de infraestructura de seguridad de la red en un entorno controlado antes de lanzarlos a la producción. Al igual que un comandante de batallón de infantería inculcaría a las tropas los valores de «entrenar como se lucha, luchar como se entrena» cuando se preparan para la batalla, el liderazgo de la organización debe inculcar valores relacionados con las pruebas y la formación adecuadas antes de que las soluciones estén en producción. Cuanto más puedan ensayar los miembros del equipo los cambios en la seguridad de la red, menos probabilidades habrá de que se produzcan interrupciones en la producción debido a los cambios. La mayoría estaría de acuerdo en que un nuevo marine necesita aprender los fundamentos de la navegación terrestre en un entorno de entrenamiento controlado antes de que se espere que navegue una patrulla desplegada en una zona de guerra. Del mismo modo, el personal de ciberseguridad debe tener la oportunidad de aprender cómo la configuración de su infraestructura de seguridad de red afectará a los datos en movimiento de la organización en un entorno de laboratorio antes de que se despliegue en el ciberespacio de producción.
Aunque cada organización es única, estos seis pasos de liderazgo de la tropa, originados en el Cuerpo de Marines, son aplicables a otras organizaciones. Incluso la más civil de las organizaciones puede aplicar algunas lecciones aprendidas de los militares que podrían conducir a menos experiencias dolorosas de solución de problemas fuera de las horas de trabajo.
Descargo de responsabilidad: Las opiniones expresadas en este artículo son las de los autores y no representan necesariamente los puntos de vista de las organizaciones con las que están asociados.
Fuentes
- http://www.marines.mil/Portals/59/Publications/MCWP%203-11.2%20Marine%20Rifle%20Squad.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/TBS/B2B2367%20Tactical%20Planning.pdf
- Mitnick, Kevin D., y William L. Simon. Ghost in the Wires: Mis aventuras como el hacker más buscado del mundo. Little, Brown & Co., 2012.
- http://global.datacenterworld.com/dcwg18/Custom/Handout/Speaker0_Session1019658_2.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/FMTBE/Student%20Materials/FMST/209.pdf
- https://www.stripes.com/news/pacific/drunk-marine-releases-fire-suppression-system-in-kadena-hangar-1.351940