Detección, una categoría importante para mejorar la seguridad

La detección de amenazas puede entenderse como el “santo grial” de la Seguridad de la Información. En general, afirmamos que la seguridad es buena cuando se previene un efecto negativo sobre nuestras operaciones. Si la función de seguridad se limita a pasar un informe de los ataques recibidos todas las acciones que se pueden realizar serán para reparar daños y volver a parámetros aceptables de confidencialidad, integridad o disponibilidad. Creo que por muchos años la Seguridad de la Información ha funcionado así, pero es el deseo de la industria que esto cambie a una postura más preventiva, que incluso genere capacidad de respuesta.

La categoría de Detección en el framework de Cyberseguridad refleja el énfasis que debe darse al desarrollo de actividades que proporcionen a una organización la capacidad de actuar antes de que daños mayores se materialicen. Debo recalcar que el framework especifica claramente “actividades”. Esto indica que el personal a cargo de la Seguridad de la Información debe tener una actitud activa respecto a los eventos de cyberseguridad. Esta categoría del framework en la actualidad está siendo soportada por la mayoría de herramientas de seguridad. Para poner un ejemplo, el software utilizado para realizar un análisis de vulnerabilidades, que tradicionalmente se ha desarrollado como una actividad puntual desarrollada cada cierto tiempo, 2 o 4 veces al año, ha migrado a un software que monitorea cambios en los equipos en tiempo real, a efectos de detectar si en cada cambio que se realiza a un equipo, o en cada nuevo descubrimiento de vulnerabilidades, se ha creado una brecha de seguridad que necesita ser mitigada. Por supuesto, la evolución proporcionada por el software pasaría a no tener relevancia, si no existe una persona que tenga la responsabilidad de entender la brecha detectada, evaluar el riesgo real para la organización, priorizarla respecto al universo de riesgos que se está atendiendo y proceder acorde con su evaluación.

Entre las herramientas que pueden soportar la categoría de detección, en los últimos años han tenido un desarrollo muy profundo, las que permiten realizar un análisis en tiempo real del comportamiento de los flujos de datos. Este tipo de herramientas necesitan implementarse de rigor si se quiere de verdad “detectar” amenazas, especialmente si el total de activos a monitorear es muy grande. Definitivamente es imposible para humanos, monitorear eventos de cyberseguridad sin contar con herramientas. Las herramientas necesarias podrían clasificarse en 3 tipos: las que actúan a nivel de la red de datos, las que actúan directamente sobre los activos y las que correlacionan eventos de diversos dispositivos. A nivel de la red de datos, podemos utilizar detectores de intrusos para monitorear el tráfico que viene de Internet, así como dispositivos que escuchan el tráfico de la red interna para identificar si en el medio están pasando tráfico que pueda contener amenazas. Entre las herramientas que actúan a nivel de los activos, están los buscadores de vulnerabilidades y software de protección de malware. Finalmente, los correlacionadores de eventos, o mejor conocidos como SIEM (Security Information and Event Management) permiten utilizar las bitácoras generados por diversos equipos, adicionando la característica de la correlación, ampliando la capacidad de detección de eventos que representen amenazas.

Esto nos indica que para lograr una implementación efectiva de la categoría de detección, se debe definir una organización responsable de la detección de amenazas, dotarla de herramientas idóneas para la detección de amenazas y gestionar la información proporcionada por las herramientas para mantener un universo actualizado de riesgos, priorizarlos y dar seguimiento al cumplimiento de las acciones de acuerdo con las prioridades. Bajo este mecanismo de funcionamiento se busca reducir las sorpresas, detectando eventos que puedan causar daños a la Seguridad de la Información, anulando o mitigando cualquier impacto negativo por las acciones de la amenaza.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 13 de junio de 2016 en Seguridad de TI, Sin categoría y etiquetado en , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: