La seguridad se ha visto amenazada en los últimos meses, con ataques que han ganado mucha notoriedad, del tipo NotPetya y WannaCry, y que han generado gran incertidumbre en foros públicos de empresas e instituciones. El peligro de ser atacado es grande y sus consecuencias temibles e incalculables. Y todo esto ocurre con escasez de expertos en ciberseguridad que, por ejemplo Cisco, evalúa en 1 millón de puestos sin cubrir en todo el mundo. El punto más vulnerable y difícil de cubrir es siempre el extremo de la red, el endpoint, el punto final de cualquier comunicación, en el que nos situamos todos nosotros a lo largo del día. Y, para cerrar esta brecha, tan común y extendida, los expertos confían solo en un gran pilar, la simplicidad.
El enorme volumen de datos que manejamos y la velocidad con que se mueven es el gran reto de los responsables de seguridad del planeta. Esta ingente cantidad de información que se genera, y se consulta muchas veces de forma remota e inalámbrica, genera tal carga de trabajo para los departamentos de seguridad que muchos de ellos no pueden abarcar.
La formación y pericia de todos los que hoy intercambiamos registros digitales también es un gran freno que las organizaciones deben afrontar, con planes y programas de formación específicos que mejoren las condiciones de seguridad paulatinamente, con un horizonte de varios años.
Y, para afrontar este doble reto, las organizaciones deben comenzar por reducir la complejidad de sus sistemas y herramientas de seguridad, siempre que sea posible, de forma que no todas las tareas requieran a un experto.
Es preciso desarrollar estrategias de respuesta a incidentes o de análisis forense, pero también contar con tecnologías de seguridad clásicas, como el cifrado, la autenticación multifactorial y las redes seguras, junto a otras más simples de restablecimiento de contraseñas o parcheo de sistemas.
Aunque muchas veces se habla de cerrar esta brecha, la mayoría suele ignorar la dificultad del objetivo. Con el alto volumen de amenazas que sufrimos, muchos responsables y equipos de seguridad deben combatir, lo primero, la diversidad de ataques posibles, que muchas veces solo se frena con enormes pilas de herramientas software que al poco tiempo quedan obsoletas. Esto lastra y perjudica su gestión, lo que al final dispara la inversión necesaria para hacerla frente
Y eso que, según expertos en la materia, el 45% de la funcionalidad del software nunca se utiliza. Dadas las diversas tareas que se agrupan en las suites de seguridad, ese número es probablemente mayor, así que es preciso tener claro qué necesitamos y para qué lo vamos a emplear.
Algunas tareas, como la respuesta a incidentes y el análisis forense, requieren una gran cantidad de datos de diferentes fuentes, para proporcionar el contexto necesario. Otros, como bloquear el malware o limitar el acceso a la red, son más preceptivos y no necesitan enterrar al administrador en montañas de datos.
Las suites de seguridad pueden desempeñar un papel fundamental para dar coherencia a las múltiples tareas de asegurar una organización, pero es importante evaluar las necesidades de la organización y de su personal. Para ello, resulta recomendable investigar la posibilidad de integrar las soluciones actuales, en cualquier plataforma nueva que se esté evaluando, y evitar las compras que incorporan, y cobran, una funcionalidad sustancial que espera integrar en el futuro.
Ya sea motu proprio, o consecuencia de revisar los productos e infraestructura de su proveedor, es preciso buscar técnicas modernas que aprovechen la potencia de la informática para rebajar la complejidad de la información manejada. Esto se traslada al extremo de la red con Machine Learning, convirtiendo literalmente millones de firmas en modelos predictivos eficaces.
En todas las áreas operativas de la seguridad, a través de plataformas de información de seguridad y administración de eventos (SIEM) y análisis cognitivo avanzado, la automatización aumenta el nivel de inteligencia disponible, acelerando y aclarando la investigación de incidentes y el análisis de su causa raíz.
El razonamiento clásico indica que si la seguridad nunca es del 100%, siempre es necesario invertir en la detección de incidentes y su respuesta. Esto es cierto, pero ignora el hecho de que cuanto menos se centre en la prevención, más eventos requerirán acciones urgentes y complicadas de responder.
La prevención adopta múltiples formas, como parchear las vulnerabilidades antes de que sean explotadas y bloquear ataques, antes de que el software infeccioso pueda afianzarse en los sistemas. La mejor forma de reducir el coste y alcance de la respuesta y del impacto de los incidentes es eliminar partes vulnerables de la superficie de exposición.
Aún así, muchas organizaciones siguen manteniendo sus sistemas con procesos ineficientes y muy caros. Según una encuesta del Instituto SANS, solo el 12% de las organizaciones cuenta con procesos automáticos de parcheo, y solo el 10% puede solventar vulnerabilidades críticas en menos de 24 horas.
Simplificar la tarea de administrar la seguridad, tanto en términos de prevención como de detección, significa eliminar la mayor cantidad posible de ataques, de forma rápida. El software infectado utiliza vectores de entrada múltiples, se extiende lateralmente, con técnicas avanzadas, y puede devastar un sistema en segundos y una red en minutos.
Detectarlo y darle respuesta es una tarea hercúlea, que se agrava por los limitados recursos técnicos cualificados, lo que sigue dejando la puerta abierta a posibles ataques que den al traste con grandes negocios o instituciones.
Reducir la complejidad de la seguridad, según nos acercamos al extremo de la red, es un primer paso imprescindible y, además, hoy contamos con tecnologías y servicios capaces de aligerar esta pesada carga, como las tecnologías Machine Learning, los servicios gestionados o la inteligencia artificial aplicados a la detección y prevención de riesgos tecnológicos.
Ofrecer una seguridad preventiva más sólida es la única forma de reducir la enorme complejidad de la respuesta, frente a un panorama del cibercrimen en rápida expansión.
