Comprar las últimas y mejores herramientas no necesariamente hará que su empresa sea más segura. He aquí cómo obtener el máximo valor de las inversiones en seguridad que ya ha realizado.
Video: Cómo garantizar la ciberseguridad de la empresa en el futuro Las mejores políticas de ciberdefensa hacen de la seguridad una responsabilidad de toda la empresa. Anthony Grieco, Oficial de Estrategia de Confianza de Cisco, explica cómo enseñar a su equipo a pensar como un experto en ciberseguridad.
Como administrador de sistemas, me bombardean diariamente con lanzamientos y anuncios de soluciones de seguridad o webinars y eventos relacionados. La seguridad es un negocio enorme, y está creciendo aún más. Como informó Alison Rayome, de ConsejoTecnologico.com, «los ciberataques masivos y las violaciones de datos están impulsando a las empresas de todo el mundo a aumentar el gasto en ciberseguridad a 96.000 millones de euros en 2019, un 8% más que en 2019».
Más información sobre ciberseguridad
Es importante obtener el mejor rendimiento posible de las enormes cantidades de dinero que se invierten en soluciones de seguridad. Así como una alarma antirrobo no sirve de nada si no está activada o si un perro guardián falla en su trabajo si una persona considerada «amistosa» no es desafiada, la mera implementación de herramientas de seguridad no completa la misión. Estas herramientas deben ser ajustadas, afinadas, analizadas y optimizadas periódicamente.
Hablé con el cofundador de Bay Dynamics y Director de Tecnología Ryan Stolte sobre los retos a los que se enfrentan los líderes con las herramientas cibernéticas tradicionales y cómo superarlos. Afirmó que varias tecnologías tradicionales como la prevención de la pérdida de datos, los proxys web, la protección de puntos finales y los escáneres de vulnerabilidades son buenos en lo que fueron construidos para hacer, sin embargo, las brechas continúan ocurriendo debido a una falla en la representación o detección de la imagen completa.
VER: Una estrategia ganadora para la ciberseguridad (ZDNet/ConsejoTecnologico.com special feature) | Descargar en formato PDF
Conectar los puntos entre las herramientas existentes y las alertas
Según Stolte: «Algunos de los desafíos típicos de las herramientas de seguridad tradicionales se basan en el hecho de que sólo cubren uno o pocos vectores de riesgo.» Por ejemplo, la DLP cubre la extracción de datos, la protección de endpoints cubre el malware, los registradores registran los datos que se introducen en el sistema, etc.
«El problema aquí es que las herramientas no están conectadas y carecen de contexto. Se sientan en silos, generando alertas que no conectan los puntos entre los usuarios y los dispositivos», dijo Stolte. Ese contexto es necesario para determinar si todas esas alertas cuentan una historia mayor que debe ser priorizada o si son actividades comerciales normales. Los ataques de hoy en día ya no son de naturaleza unidimensional; para detenerlos se requiere una perspectiva multidimensional. Los ataques también son cada vez más sofisticados y utilizan tecnologías de aprendizaje automático y de inteligencia artificial que los proveedores de seguridad apenas están empezando a utilizar para intentar detenerlos. La solución para manejar estos desafíos es conectar los puntos para detectar anomalías que pueden alertarle de que algo no es como debería ser. «Todos sabemos por experiencia que hay demasiados eventos y demasiados datos para que los analistas humanos elijan la aguja del proverbial pajar», dijo Stolte.
Esto significa que el análisis para detectar comportamientos inusuales y arriesgados y el aprendizaje de la máquina para mantenerse al día con los entornos cambiantes o los nuevos métodos de ataque son necesarios para mejorar la seguridad y reducir la dependencia del apoyo humano. Stolte cree que en el futuro la inteligencia artificial aumentará aún más estas capacidades.
Stolte comparó el rango de alertas de seguridad con una curva de campana, con un pequeño porcentaje en un extremo que representaba ciertos ataques y otro pequeño porcentaje en el otro extremo que significaba ciertos falsos positivos. La sección central representa la gran mayoría de las alertas que requieren revisión y análisis para su correcta interpretación. «El objetivo de la analítica es reducir al mínimo ese conjunto de alertas inciertas y agruparlas en la categoría positiva/falsa positiva», afirmó.
SEE: Política de notificación de incidentes de seguridad de la información (Tech Pro Research)
Concéntrese en las tácticas de seguridad que puede implementar hoy mismo
Nuestra discusión cubrió cómo los atacantes maliciosos están mejorando sus técnicas, así como las últimas amenazas o evoluciones en el panorama de las amenazas.
«Los ataques son cada vez más sofisticados, especialmente con actores tan malos como los estados-nación», dijo Stolte. Cree que estos ataques continuarán mejorando al pasar desapercibidos bajo el radar de las herramientas de detección individuales y que requerirán sofisticados mecanismos de detección para frustrarlos. Se ha desarrollado toda una economía basada en la venta de hazañas ya preparadas, poniendo los ataques avanzados a disposición de muchas más personas de las que de otro modo habrían sido técnicamente capaces de realizar tales actividades.
«Si se añade el movimiento a la nube, que pone los datos y los sistemas fuera de su control directo, y el IO multiplicando geométricamente el número de vectores de ataque, se crea un gran lío», dijo Stolte.
Los análisis están mejorando y continuarán avanzando, pero no son lo único; hay estrategias en las que puede centrarse hoy en día. La buena higiene cibernética seguirá ayudando a las empresas y a las personas a protegerse: la implementación de mecanismos de parches rigurosos y exhaustivos, así como la protección completa de los puntos finales y de la pérdida de datos, son estrategias clave y seguirán adquiriendo importancia.
VER: 10 maneras de aumentar el CI de ciberseguridad de sus usuarios (PDF gratuito) (ConsejoTecnologico.com)
No basta con centrarse en el trabajo con las herramientas en sí, sino que hay que tener en cuenta cualquier cambio en la infraestructura subyacente de la que dependen para su funcionalidad. Por ejemplo, si se producen cambios en el servidor proxy, esto puede afectar a la capacidad de descargar actualizaciones de software o se descargarán archivos de firmas, poniendo en peligro a la organización.
Del mismo modo, si las pasarelas de mensajería SMTP internas cambian pero las herramientas de seguridad no se actualizan, no se generarán alertas. Lo mismo se aplica si las alertas se configuraron para ser enviadas a un individuo que luego abandona la organización – siempre envíe alertas a los grupos.
La falsa confianza en los mecanismos de seguridad es también un riesgo potencial. El hecho de no recibir alertas no significa que no haya ningún problema. Algunas cosas no siempre pueden ser detectadas – exploits basados en ingeniería social, por ejemplo (aunque el análisis del comportamiento del usuario puede alertarle si un usuario específico intenta iniciar sesión en un sistema no autorizado, ya que esto podría indicar una situación que involucre credenciales comprometidas.
Además, mi experiencia demuestra que la educación en seguridad sigue siendo esencial y que es importante centrarse en lo que es actualmente popular o de moda para estar al tanto de los discos potenciales. Cuanto más popular sea un dispositivo, una aplicación u otro elemento tecnológico, más probable es que alguien escriba un exploit para él, como las aplicaciones maliciosas que surgieron con Pokemon Go e intentaron recopilar datos confidenciales de los usuarios.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
Inscríbase hoy