Lo atestiguan los principales responsables de seguridad informática, “lo que invertimos hoy no nos librará de un ataque mañana". Entonces, ¿cómo mantenerse a salvo de las innumerables amenazas que se ciernen sobre nuestra organización? ¿Estamos protegidos ante cualquier potencial ataque? ¿Alcanza con mantener nuestros sistemas actualizados y seguros? Estas y otras preguntas atormentan el sueño de muchos CISO actuales y constituyen su principal caballo de batalla. Despejarlas no es solo cuestión de dinero.
Los CISO de las grandes organizaciones buscan constantemente una solución a los potenciales problemas de seguridad que enfrentan sus organizaciones e investigan cualquier nuevo aspecto sobre inteligencia de amenazas, SOAPA (Security Operations and Analytics Platform Architecture), riesgos de negocio o cambios en el perímetro de la red, para intentar contrarrestarlos.
Este empeño, nada menos que poner a salvo de cualquier posible ataque el entramado tecnológico que sostiene la actividad de la organización, resulta más crucial que nunca, en estos tiempos de hiperconectividad. Y parece imprescindible realizar un análisis de prioridades para orquestar todos los recursos de seguridad.
No todas las amenazas son iguales, obvio, ni tienen la misma incidencia sobre la operativa de un negocio. Tampoco todas las tecnologías de defensa sirven por igual a unos y otros, ni coincide el nivel de exposición a potenciales peligros. Las hay más indicadas, en función del tipo de actividad, plataforma o entorno, pero también para un tamaño de compañía, número de usuarios y recurrencia en la detección de anomalías.
En este escenario, la figura del CISO resulta capital, para analizar y afrontar en profundidad los riesgos y decidir entre las alternativas disponibles, pero sobre todo para explicarlos a su comité de dirección, en general profano en la materia. Su papel ahora debe ser el de divulgador y guía, un especialista capaz de aportar certidumbre que, más allá de conocer todas las tendencias sobre exploits, ransomware o las nuevas variantes de malware, sea capaz de explicar en lenguaje comprensible las tácticas, técnicas y procedimientos de ataque que se intentan contrarrestar.
Su papel debe ser el de un intérprete de los peligros que es capaz de concienciar a sus directivos del valor que la seguridad aporta al negocio. De poco sirve la jerga técnica o el conocimiento profundo de los mecanismos de ataque más en boga. Tampoco consiste en generar alarmismo en la organización o aumentar inversiones y recursos de forma ilimitada. Se trata, más bien, de contar con dotes de consultor y contextualizar, explicar y poner en valor las iniciativas necesarias para asegurar los recursos de la empresa, que son muchos y variados.
Precisamente, ese maremágnum de soluciones e infraestructuras de seguridad suelen ser otro escollo a salvar, en general, con soluciones y programas de diferentes proveedores y con ciclos de vida muy diferentes. Ante esta diversidad, se aconseja primero un plan de consolidación que permita integrar y aportar valor a los medios disponibles. Y, después, un análisis que no preste demasiada atención a los productos concretos y sí a una solución completa, basada en una plataforma integrada de seguridad.
Así, están proliferando arquitecturas de seguridad analítica (SOAPA, en siglas) que permiten unificar herramientas de operaciones (tipo SIEM, UEBA, EDR), con soluciones de automatización y orquestación de la seguridad.
La movilidad y la nube son otros capítulos de especial relevancia, que los CISO están valorando, sobre todo porque han modificado, en gran medida, el antiguo perímetro de la red, que ahora tiene horizontes infinitos. Como resultado, muchas organizaciones buscan garantizar la seguridad de la identidad y de los datos, que constituyen los nuevos perímetros de su organización. Así, muchas de las discusiones se dirigen hacia los sistemas de autenticación de múltiple factor y el perímetro definido por software, por ejemplo.
No menos preocupante resulta la escasez de capacitación en seguridad, algo que sigue ocupando al CISO de cualquier organización que muchas veces no encuentra el talento y conocimientos que implican las nuevas armas de defensa.
En fin, múltiples focos de atención que rodean el día a día del responsable de seguridad y que ocupan su tiempo profesional, en un momento especialmente tenso en materia de seguridad.