¿Es el concepto de “Control” un sueño inalcanzable para los profesionales de la ciber-seguridad? / Por: Marc Solomon, Chief Marketing Officer, Sourcefire (ahora parte de Cisco)
El concepto de control ha sido siempre una piedra angular para el acercamiento virtual de todos los equipos de seguridad que lidian con amenazas. Pero, con los profesionales de la seguridad encontrándose en una creciente desventaja al momento de proteger sus entornos de TI, ¿es realista esperar que sea posible ganar control sobre amenazas y estallidos?
Los atacantes están enfocados exclusivamente en penetrar su red para cumplir sus misiones. A pesar de esto, el trabajo del defensor nunca ha sido más desafiante. Así como nuestras redes se extienden más allá del perímetro tradicional incluyendo extremos, dispositivos móviles, escritorios virtuales y data centers, además de la nube, emergen nuevos vectores de ataque. Ellos tienen poco equipo y se ven estancados por los procesos manuales, herramientas de seguridad desconectadas, problemas de regulación y otras imperativas del negocio.
Para muchas organizaciones, la solución es agregar más y más gente al problema. De hecho, una nueva investigación de IDC Government Insights reveló que el total de gasto en seguridad de TI por el Gobierno Federal de EE.UU se elevó a 5.9 billones en el 2012 y a más de 7.3 billones en el 2017. De eso, en la mayoría de los años, los sueldos del equipo se cuentan por el 85 al 91% del gasto total. Y es probablemente seguro esperar cifras similares para casos empresariales.
Con el número de ataques en alza, está claro que asignar más recursos humanos no es una manera sustentable de responder al problema. Tampoco es fácil encontrar trabajadores expertos en ciber seguridad. Como se dijo en un artículo anterior, está ampliamente estimado que en el futuro próximo, las aperturas de trabajos para expertos de la ciber seguridad superarán los 50 mil, entre el sector público y privado.
El “control” puede y debe mantenerse como prioridad de cada estrategia de seguridad. Pero, alcanzar ese control requiere de un enfoque fresco que incorpore automatización, integración y educación.
Automatización
Depender de procesos manuales para defenderse de modernos e incansables ataques es inadecuado. Los atacantes están tomando ventaja de la automatización y de lo que se necesita también para reducir las tareas más exigentes y agilizar los procesos. Las herramientas que pueden identificar inteligentemente y alertar automáticamente solo en eventos de seguridad relevantes pueden ahorrar al equipo horas de investigar eventos que no son amenazas reales y priorizar aquellos que son más relevantes. Además, poder proveer, ajustar y reforzar políticas de seguridad y reglas de forma automática a través de puntos de control sin intervención manual minimiza de forma eficiente el riesgo de exposición a las últimas amenazas y vulnerabilidades a pesar de los entornos dinámicamente cambiantes.
Integración
La mayoría de los equipos usan un grupo de tecnologías diferentes que pueden o no pueden trabajar juntas para defender sus entornos. Cualquier integración entre estas herramientas es hecha típicamente de una vía —la visibilidad y análisis no está correlacionada y traducida a acciones para contener, detener el daño y prevenir futuros ataques automáticamente. Y los datos reunidos son usualmente en una captura de un momento específico, no continuamente actualizada para monitorear la actividad a medida que sucede.
Lo que se necesita es una, arquitectura de seguridad corporativa herméticamente integrada, que complemente la visibilidad y análisis integrado con controles integrados automatizados y una política central de administración, monitoreo y distribución de reforzamiento de políticas. Las APIs abiertas extienden las capacidades de control para incluir infraestructura de seguridad existente y evolucionando.
Educación
Con la automatización e integración en el lugar, el personal experto puede ahora enfocar más de su atención en mantenerse actualizados con las últimas amenazas y técnicas usadas por los atacantes para camuflar sus ataques, exfiltrar datos y establecer beachheads para ataques futuros. El desarrollo profesional es continuo para permanecer actualizado en las mejores prácticas de seguridad, así como también, cómo optimizar las tecnologías de seguridad para una máxima efectividad que asegura que las organizaciones estén obteniendo lo máximo de sus inversiones en seguridad de TI. Con un enfoque en seguridad que incluye automatización, integración y educación, el control no es un sueño inalcanzable sino una realidad que es alcanzable y necesaria para detectar, entender y detener las amenazas.