RedTeaming y la Dilución de Responsabilidad

Dilución de Responsabilidad y el Papel del Red Team

RedTeaming y la Dilución de Responsabilidad

Hace más de una década tuve la ocasión de demostrar (implícitamente) la importancia de prestar atención a los pequeños detalles. De no haberlo hecho, posiblemente habría tenido lugar una situación “incómoda”.

En el mundo militar están muy bien definidas las funciones y responsabilidades, pero no deja de ser un entorno formado por personas, con los mismos problemas que presenta cualquier otro colectivo.

En situaciones de tensión externa, el ser humano tiende a reaccionar de forma natural, cometiendo algunos errores. Pero cuando no se controla la presión interna se toman decisiones erróneas la mayor parte del tiempo.

Las empresas modernas son lugares de cambio permanente, que precisan de gestores altamente cualificados, no sólo a nivel profesional, sino también a nivel humano, para dominar la tensión que generan los entornos dinámicos.

Siguiendo con el asunto militar, voy a contar una historia. Nos encontrábamos en una etapa de cambio, en la que había personal nuevo tanto ejecutando como dando las órdenes. Era una situación tensa, porque el nuevo Jefe de Máquinas, que venía a sustituirme, tenía una tensión interna muy grande que proyectaba al exterior. Esa presión hizo que el flujo de comunicación de los subordinados fuera casi ignorado (en su mente), de forma que cuando se pasó el informe de estado de las válvulas, no prestó la adecuada atención a las palabras de un Cabo Primero.

1.- Evolución del RedTeaming militar al sector privado

1.- Evolución del RedTeaming militar al sector privado

“Casualmente”, pasé por allí a ver qué tal iba la preparación para salir a la mar y me bastó con observar la cara del Cabo Primero para detectar que algo ocurría, así que me acerqué a preguntarle si se encontraba mal (porque no era habitual que estuviera serio). Entonces me dijo que la válvula de combustible del túnel de ejes tenía una pérdida, cosa que ya suena mal, y que se lo había dicho al nuevo Jefe de Máquinas, pero que le había mandado callar cuando trató de insistir una segunda vez, diciendo que ya sabía que había una pérdida en el túnel de ejes.

Es verdad que en barcos muy viejos hay pérdidas y se convive con ellas, es como en los sistemas informáticos, que tienen agujeros y se convive con ellos, ¿pero cómo de grandes son esos agujeros? O siguiendo con el hilo, ¿cómo de grande era la pérdida?

Al llegar al túnel pude comprobar que la pérdida era enorme. Los ejes estaban inundados por gasoil, en contacto directo con los puntos de calor fruto de la fricción que genera la enorme maquinaria de propulsión de un buque de 1600 toneladas de desplazamiento (aunque lo peligroso eran los vapores en una época en la que fumar estaba permitido).

Mi siguiente acción fue contraria a todo reglamento militar. Ordené a mi Comandante parar el buque, cosa que inmediatamente hizo por dos motivos. Primero porque me conocía perfectamente y segundo porque, en toda su carrera, jamás un subordinado le había ordenado algo, por lo que la situación debía ser arriesgada.

Existen muchos paralelismos en el terreno de la seguridad de la información. La distancia jerárquica (y generacional) impide que los CEO tengan una visión clara de lo que está pasando realmente en sus sistemas (ejes). Desde su posición, las cosas se ven de otra manera. No se aprecia el fenómeno de la dilución de la responsabilidad que tiene lugar en ambientes de cambio frecuente o cuando los departamentos se solapan (cosa que sucede cada vez más, debido a la interrelación entre las dimensiones física, digital y social).

No es casual que haya establecido un paralelismo con la Armada. Al fin y al cabo, el RedTeaming proviene de los entornos militares. Pero centrándonos ahora en el sector privado, un Red Team, a través de la verificación empírica, es capaz de diagnosticar lagunas de responsabilidad e incoherencias que tienen lugar como consecuencia del caos en el que, muchas veces, están inmersas las empresas, por el ritmo al que están forzadas a navegar rumbo a la consecución de objetivos.

2.- Gestión Empresarial del Cambio Constante

2.- Gestión Empresarial del Cambio Constante

La principal labor del RedTeaming no es mejorar por mejorar, pues los recursos económicos son limitados. Es descubrir situaciones ignoradas que ponen en riesgo la seguridad o la continuidad de un negocio mediante Tácticas, Técnicas y Procedimientos (TTP) propias de los delincuentes (por supuesto, sin las limitaciones de alcance propias de los test de intrusión convencionales, ya que se busca evaluar la situación real, no la ideal).

Ya no es cuestión de encontrar un pequeño agujero digital por el que colarse o la manera de engañar al vigilante de la puerta. Se trata de descubrir que existen parcelas críticas desatendidas por un fenómeno muy fácil de entender en el ámbito de la seguridad individual, pero no tanto en el sector empresarial: la dilución de la responsabilidad.

A eso ayuda el RedTeaming. A detectar factores que, de no tenerse en cuenta, podrían implicar consecuencias no sólo económicas, sino también legales. En definitiva, el RedTeaming constituye una herramienta indispensable en los procesos de toma de decisiones.

Puede parecer fácil que a nivel documental esté todo perfectamente recogido, pero os aseguro que en la realidad cambiante que vivimos a día de hoy, poca gente tiene claras las consecuencias de ignorar determinadas acciones en el ámbito de sus responsabilidades.

¿Te preocuparía que tus estrategias comerciales se fueran al garete por un incidente de seguridad que pusiera en ridículo a la empresa o departamento que con tanto esfuerzo diriges? Bienvenido a nuestra sección CxO-RedTeaming, donde abordaremos, en lenguaje ejecutivo, los beneficios de implementar la mentalidad Red Team en las empresas.

 

For an English version of this post you can request a translation for free 😉

Ƨɒluboƨ

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *