Hace algunas semanas, publiqué en el blog cómo la ICANN administra sus activos de TI y servicios digitales a la luz de las amenazas en materia de ciberseguridad. También señalé, en ese entonces, que contratamos a un tercero independiente, reconocido a nivel mundial, para llevar a cabo anualmente auditorias de los controles de seguridad de la ICANN, y yo me comprometí a publicar en el blog sobre nuestra travesía de vez en cuando.
En Buenos Aires, muchos de ustedes - miembros de la comunidad - se reunieron conmigo y mis colegas del equipo de la ICANN. Durante estas reuniones, hubieron muchas sugerencias, pero el tema subyacente era claro y constante: desean ver que la ICANN avance en relación a la reducción de los riesgos en ciberseguridad y que la Corporación se torne más flexible desde el punto de vista operativo y técnico.
En materia de ciberseguridad, es común abordar las evaluaciones sobre los riesgos cibernéticos mediante el aprovechamiento de un marco. Existen numerosos marcos de este tipo, los que básicamente se adoptan en forma voluntaria y sirven como guía, pero no como una receta única que se ajuste a todo, y las organizaciones los adaptan de la mejor manera para satisfacer sus necesidades y adaptarse a situaciones y riesgos. No obstante, una vez que se realiza la adaptación, los marcos ofrecen prácticas y pautas para que las organizaciones implementen a fin de lograr resultados positivos. Finalmente, muchos marcos permiten a los asesores asignar alguna especie de puntaje para que la organización tenga un objetivo numérico al cual apuntar.
Este es uno de los significados de un marco. En otro sentido, un marco se puede comparar a una ventana con muchos cristales. Aprovecha los estándares, pautas y prácticas existentes que ayudan a las organizaciones a ver todos los componentes que constituyen su base de activos/riesgos en un solo lugar. Dados los varios cristales, una organización puede rápidamente obtener una visión multi facética de la base de activos, y a través de esta vista, una perspectiva holística del riesgo cibernético de la organización. Esto además permite que las organizaciones profundicen en uno o más cristales de la ventana al utilizar un conjunto de controladores afines al contexto y las necesidades de la organización. Como resultado, es común que los marcos brinden información a las organizaciones sobre qué actividades resultan más importantes para garantizar las operaciones críticas y la prestación del servicio. Esto las ayuda a efectuar elecciones informadas respecto de dónde y cómo resulta mejor hacer inversiones, maximizando el impacto de cada dólar. Y finalmente, los marcos también contribuyen a que las organizaciones comuniquen a las partes interesadas internas y externas el estado de la ciberseguridad y los riesgos en un "inglés simple" que todo el mundo comprenda.
Enfoque de la ICANN
En 2014, la ICANN adoptó el Marco en materia de Controles de Seguridad Críticos del Instituto SANS para la ciber defensa. Tras la adopción de este marco, la ICANN contrató los servicios de Leidos, una compañía con trayectoria en auditorías de ciberseguridad. Leidos procedió a realizar una evaluación inicial del estado de la ICANN con respecto a la ciberseguridad.
En sus propias palabras, tal como Leidos transmitió al equipo de gestión, la ICANN estuvo "a la par" de las organizaciones empresariales típicas cuando comenzamos. Nos alegró que la Corporación no estuviese relegada, pero lejos estábamos de sentirnos satisfechos. Tal como publiqué en un blog previamente, en un avatar, la ICANN se desempeña como "receptor del repositorio de datos" que es crítico para las operaciones de Internet. En este avatar, tenemos que desempeñarnos al mismo nivel que los mejores - organizaciones como las instituciones financieras prestigiosas, por ejemplo.
Con el apoyo oportuno de la Junta Directiva para los recursos y concesiones prioritarias adecuadas, TI comenzó a abordar rigurosamente las áreas que merecían atención. Como resultado, en los últimos 12 meses, se revisaron minuciosamente muchos aspectos de la ciber defensa de la ICANN y los esfuerzos para reforzar o remediar se centraron en áreas que merecían la mayor atención. Avanzamos concretamente en una serie de diferentes áreas tales como software de aplicaciones, capacitación, controles de acceso y pruebas de penetración.
Tal como estaba planificado, Leidos llevó a cabo una auditoria anual desde mayo a junio de este año y, hace poco, recibimos el informe de la misma, el cual me complace compartir.
Puntos Destacados del Informe de la Auditoria de Leidos del año 2015
Me complace decir que en, aproximadamente la mitad de los 20 factores auditados, la ICANN se encuentra en la zona VERDE. Igualmente importante es que la ICANN no se encuentra en ninguna dimensión en una zona ROJA. De acuerdo con Leidos, "la ICANN ha mejorado drásticamente sus esfuerzos en materia de ciberseguridad durante el último año, lo que refleja el compromiso del liderazgo para abordar las inquietudes de ciberseguridad y establecerse como líder en el espacio". De cara al futuro, anticipan que para el próximo año, cuando el actual mapa de ruta finalice, la ICANN estará a la par de las organizaciones de primer nivel.
En un ambiente de ciberseguridad en constante cambio, lograr la excelencia no es una meta sino una travesía sin fin. Y estamos comprometidos con esta travesía. Hemos avanzado en la dirección correcta, tenemos una hoja de ruta clara y estamos en marcha.
Como siempre, siéntanse libres de contactarme a Ashwin.Rangan@icann.org para continuar con el debate.
