Archivo de la categoría: Sin categoría

Detección, una categoría importante para mejorar la seguridad

La detección de amenazas puede entenderse como el “santo grial” de la Seguridad de la Información. En general, afirmamos que la seguridad es buena cuando se previene un efecto negativo sobre nuestras operaciones. Si la función de seguridad se limita a pasar un informe de los ataques recibidos todas las acciones que se pueden realizar serán para reparar daños y volver a parámetros aceptables de confidencialidad, integridad o disponibilidad. Creo que por muchos años la Seguridad de la Información ha funcionado así, pero es el deseo de la industria que esto cambie a una postura más preventiva, que incluso genere capacidad de respuesta.

La categoría de Detección en el framework de Cyberseguridad refleja el énfasis que debe darse al desarrollo de actividades que proporcionen a una organización la capacidad de actuar antes de que daños mayores se materialicen. Debo recalcar que el framework especifica claramente “actividades”. Esto indica que el personal a cargo de la Seguridad de la Información debe tener una actitud activa respecto a los eventos de cyberseguridad. Esta categoría del framework en la actualidad está siendo soportada por la mayoría de herramientas de seguridad. Para poner un ejemplo, el software utilizado para realizar un análisis de vulnerabilidades, que tradicionalmente se ha desarrollado como una actividad puntual desarrollada cada cierto tiempo, 2 o 4 veces al año, ha migrado a un software que monitorea cambios en los equipos en tiempo real, a efectos de detectar si en cada cambio que se realiza a un equipo, o en cada nuevo descubrimiento de vulnerabilidades, se ha creado una brecha de seguridad que necesita ser mitigada. Por supuesto, la evolución proporcionada por el software pasaría a no tener relevancia, si no existe una persona que tenga la responsabilidad de entender la brecha detectada, evaluar el riesgo real para la organización, priorizarla respecto al universo de riesgos que se está atendiendo y proceder acorde con su evaluación.

Entre las herramientas que pueden soportar la categoría de detección, en los últimos años han tenido un desarrollo muy profundo, las que permiten realizar un análisis en tiempo real del comportamiento de los flujos de datos. Este tipo de herramientas necesitan implementarse de rigor si se quiere de verdad “detectar” amenazas, especialmente si el total de activos a monitorear es muy grande. Definitivamente es imposible para humanos, monitorear eventos de cyberseguridad sin contar con herramientas. Las herramientas necesarias podrían clasificarse en 3 tipos: las que actúan a nivel de la red de datos, las que actúan directamente sobre los activos y las que correlacionan eventos de diversos dispositivos. A nivel de la red de datos, podemos utilizar detectores de intrusos para monitorear el tráfico que viene de Internet, así como dispositivos que escuchan el tráfico de la red interna para identificar si en el medio están pasando tráfico que pueda contener amenazas. Entre las herramientas que actúan a nivel de los activos, están los buscadores de vulnerabilidades y software de protección de malware. Finalmente, los correlacionadores de eventos, o mejor conocidos como SIEM (Security Information and Event Management) permiten utilizar las bitácoras generados por diversos equipos, adicionando la característica de la correlación, ampliando la capacidad de detección de eventos que representen amenazas.

Esto nos indica que para lograr una implementación efectiva de la categoría de detección, se debe definir una organización responsable de la detección de amenazas, dotarla de herramientas idóneas para la detección de amenazas y gestionar la información proporcionada por las herramientas para mantener un universo actualizado de riesgos, priorizarlos y dar seguimiento al cumplimiento de las acciones de acuerdo con las prioridades. Bajo este mecanismo de funcionamiento se busca reducir las sorpresas, detectando eventos que puedan causar daños a la Seguridad de la Información, anulando o mitigando cualquier impacto negativo por las acciones de la amenaza.

Protección, la segunda categoría del framework de Cyberseguridad

Instintivamente, cuando pensamos en Seguridad, se piensa en la palabra protección. Cuando pensemos en Seguridad de la Información, es importante recordar que en el contexto del Framework de Cyberseguridad del NIST, este término ocupa la segunda categoría, por lo cual, es importante primero haber identificado todos los elementos que interesa asegurar, a través de la implementación de la categoría de Identidad. (Para más información ver   Identificar, el primer paso de la Cyberseguridad).

La categoría de protección en el Framework de Cyberseguridad incluye las siguientes sub-categorías: control de accesos, concientización y entrenamiento, seguridad de los datos, procesos y procedimientos de protección a la información, mantenimiento y tecnologías de protección. Tradicionalmente, los presupuestos de seguridad de una organización han sido dirigidos a la última sub-categoría, bajo el supuesto de que la tecnología por si misma puede brindar protección. Sin embargo, no ha sido suficiente. Es importante entender que la tecnología de protección, tales como antivirus, firewalls y similares, son herramientas necesarias para ser efectivos en proporcionar seguridad a la información. Sin estas herramientas la seguridad no puede ser alcanzada, pero el adquirir las herramientas no proporciona seguridad, sino se siguen procedimientos adecuados, si el personal no está consciente a un nivel aceptable de las amenazas de seguridad y si el control de accesos no ha sido establecido para garantizar que sólo personal autorizado tiene acceso a la información.

Entre los casos que puedo comentar, es típico tener una solución de antivirus, que ha sido adquirida para el total de los equipos de la organización, sin embargo, no todos los equipos de la organización tienen instalado el software, o si lo tienen, este no está actualizado para proporcionar el máximo de protección posible. Cuando esto pasa es inefectivo para la organización, no sólo porque se ha invertido dinero en algo que no es bien utilizado, sino también porque el impacto de tener fallas en la seguridad de la información, acarreará costos adicionales a la organización. Esto deja bien claro, que aparte de la herramienta, se deben implementar procedimientos que optimicen la protección. Esto incluye procedimientos de auditoría de sistemas. Como un ejemplo, al realizar una auditoría de sistemas a la implementación de medidas de seguridad, encontré que no sólo la actualización de firmas fallaba, sino también la actualización del software de antivirus. En esa ocasión, aprendí que los administradores de las herramientas de seguridad tienden a confiar en lo que les informan consolas centrales, sin preocuparse por verificar la información, aunque sea muestralmente, como se hace en la auditoría de sistemas.

Para evitar el problema de ser juez y parte, se ha creado la función de Oficial de Seguridad de la Información. Este rol debe de establecer los procedimientos de seguridad mínimos que permitan que el Plan de Seguridad de la Información sea ejecutado de manera consistente. También debe de evaluar el nivel de cumplimiento de los procedimientos y su nivel de efectividad, que le permita identificar puntos de mejora. Esto es la teoría, en la práctica de las empresas del área centroamericana, este rol aun no es entendido por la alta dirección, que lo ven como una tarea adicional del Gerente de Sistemas o de alguien en informática. Si alguien de la Alta Dirección de una empresa lee esto, es importante que entienda que las amenazas informáticas evolucionan diariamente, por lo tanto la protección contra esas amenazas no puede ser pensada de manera estática y requiere de constante medición, evaluación y adecuación.

La Cyberseguridad: una implementación urgente

Las amenazas a las plataformas informáticas en el 2015 han aumentado de una forma mayor a lo sucedido históricamente. Las facilidades proporcionadas por las comunicaciones han abierto grandes posibilidades para los negocios, para incrementar productividad y para estar comunicado en todo momento. Pero esto también está permitiendo un nuevo tipo de ataques, permanentes, masivos, más elaborados. Quienes gobiernan las tecnologías de la información ahora tienen que pensar en que un gobierno efectivo también debe de gobernar la seguridad de la información.

Hoy quiero llamar la atención hacia el framework de Cyberseguridad, desarrollado por el Instituto de Estándares y Tecnología (NIST – National Institute of Standards and Technology). Nace a partir de una orden ejecutiva presidencial, que por sí solo debería de ser una alerta del nivel de urgencia que existe por implementar medidas de seguridad en cualquier organización. El framework está formado por un conjunto de estándares y mejores prácticas que fueron consensadas a través de diferentes talleres con actores predominantes en la industria de las Tecnologías de la Información. La misma ISACA ha formado parte de este esfuerzo y quienes seguimos de cerca la producción de material para orientar el gobierno de las tecnologías de la información ya contamos con una publicación de esta entidad para implementar Cybersecurity: “Implementing the NIST Cybersecurity Framework”. Esto también ha extendido el conjunto de certificaciones emitidas por ISACA, existiendo ahora certificaciones para los niveles de Fundamentos, Practicante, Especialista y Experto en Cyberseguridad. Esto adicional a la tradicional CISM (Certified Information Security Manager). Definitivamente, tantos esfuerzos por el NIST e ISACA no deben de pasar inadvertidos por los Gerentes de TI, que tienen que empezar a preparar su caso de negocio para implementar medidas de seguridad en su organización y buscar que su personal cuente con conocimientos sobre seguridad de la información.

Personalmente me parece bastante atinado el proveer a todos de un conjunto de 100 medidas, que se constituyen en una base bastante extensa de salvaguardas para proteger la empresa. Estos controles tendrán éxito en su implementación en la medida que formen parte de un esfuerzo coordinado que pone la seguridad en un papel defensivo, pero con capacidad de identificación y respuesta. Este enfoque busca que incidentes de cyberseguridad causen el más mínimo, sino nulo, impacto al negocio. Las funciones especificadas por el framework, siguen una lógica muy similar a la de los ataques, sólo que ahora estas acciones deben de ser ejecutadas preventivamente. Las funciones son identificar, proteger, detectar, responder y recuperar. En muchas empresas, cuando se habla de seguridad de la información, enumeran acciones que protegen la información, tales como controles de acceso físico y lógico, el cifrado de información, la instalación de antivirus y firewalls. Proteger está bien, pero las otras funciones también son importantes. La identificación es necesaria para conocer la superficie de ataque existente. Cuantas veces al auditar, hemos encontrado que existen equipos sin antivirus instalado. Esto sucede porque nadie se ha tomado el trabajo de identificar todos los activos de la organización y verificar que el número de equipos sea igual al número de antivirus instalados y actualizados. Los virus informáticos si se toman el tiempo de buscar adónde se pueden instalar y encuentran esos activos que no están protegidos. Esto muestra la necesidad de mantener indicadores más informativos del funcionamiento de las medidas de protección, que busquen una protección del 100% de los activos.

Las funciones de detección, respuesta y recuperación proponen el tener la capacidad de conocer que se está recibiendo un ataque y a partir de ahí activar protocolos que permitan responder oportunamente y recuperar el control de la situación. Esto en el fondo implica que no sólo deberíamos decir nos atacaron, sino también conocer quién nos atacó, como entró a la organización, que activos fueron afectados e iniciar acciones para limitar y anular el margen de acción del atacante. Esto implicará que las organizaciones deberán a utilizar herramientas más sofisticadas, similares a las que utilizan los hackers, para evaluar la seguridad de la organización. Estas herramientas permitirán también el cruzar información de los fabricantes sobre las últimas vulnerabilidades descubiertas y su impacto en la infraestructura de la organización. El análisis de vulnerabilidades y la evaluación de riesgos  de seguridad constituyen en este contexto dos controles vitales para el éxito de un programa de cyberseguridad y la priorización de la implementación de controles de seguridad.

Como podemos intuir de estas líneas, hablar de Cyberseguridad implica comenzar a pensar más como hacker y utilizar las mismas herramientas que tradicionalmente ellos han utilizado para encontrar y cerrar las posibles brechas que nos hacen vulnerables a los ataques. Esto debería de ser el accionar responsable de una Gerencia que busca el éxito de las operaciones de negocio, minimizando riesgos y evitando interrupciones a las operaciones, mientras se mantiene una atención eficiente y efectiva a los clientes.

A %d blogueros les gusta esto: