La detección de amenazas puede entenderse como el “santo grial” de la Seguridad de la Información. En general, afirmamos que la seguridad es buena cuando se previene un efecto negativo sobre nuestras operaciones. Si la función de seguridad se limita a pasar un informe de los ataques recibidos todas las acciones que se pueden realizar serán para reparar daños y volver a parámetros aceptables de confidencialidad, integridad o disponibilidad. Creo que por muchos años la Seguridad de la Información ha funcionado así, pero es el deseo de la industria que esto cambie a una postura más preventiva, que incluso genere capacidad de respuesta.

La categoría de Detección en el framework de Cyberseguridad refleja el énfasis que debe darse al desarrollo de actividades que proporcionen a una organización la capacidad de actuar antes de que daños mayores se materialicen. Debo recalcar que el framework especifica claramente “actividades”. Esto indica que el personal a cargo de la Seguridad de la Información debe tener una actitud activa respecto a los eventos de cyberseguridad. Esta categoría del framework en la actualidad está siendo soportada por la mayoría de herramientas de seguridad. Para poner un ejemplo, el software utilizado para realizar un análisis de vulnerabilidades, que tradicionalmente se ha desarrollado como una actividad puntual desarrollada cada cierto tiempo, 2 o 4 veces al año, ha migrado a un software que monitorea cambios en los equipos en tiempo real, a efectos de detectar si en cada cambio que se realiza a un equipo, o en cada nuevo descubrimiento de vulnerabilidades, se ha creado una brecha de seguridad que necesita ser mitigada. Por supuesto, la evolución proporcionada por el software pasaría a no tener relevancia, si no existe una persona que tenga la responsabilidad de entender la brecha detectada, evaluar el riesgo real para la organización, priorizarla respecto al universo de riesgos que se está atendiendo y proceder acorde con su evaluación.

Entre las herramientas que pueden soportar la categoría de detección, en los últimos años han tenido un desarrollo muy profundo, las que permiten realizar un análisis en tiempo real del comportamiento de los flujos de datos. Este tipo de herramientas necesitan implementarse de rigor si se quiere de verdad “detectar” amenazas, especialmente si el total de activos a monitorear es muy grande. Definitivamente es imposible para humanos, monitorear eventos de cyberseguridad sin contar con herramientas. Las herramientas necesarias podrían clasificarse en 3 tipos: las que actúan a nivel de la red de datos, las que actúan directamente sobre los activos y las que correlacionan eventos de diversos dispositivos. A nivel de la red de datos, podemos utilizar detectores de intrusos para monitorear el tráfico que viene de Internet, así como dispositivos que escuchan el tráfico de la red interna para identificar si en el medio están pasando tráfico que pueda contener amenazas. Entre las herramientas que actúan a nivel de los activos, están los buscadores de vulnerabilidades y software de protección de malware. Finalmente, los correlacionadores de eventos, o mejor conocidos como SIEM (Security Information and Event Management) permiten utilizar las bitácoras generados por diversos equipos, adicionando la característica de la correlación, ampliando la capacidad de detección de eventos que representen amenazas.

Esto nos indica que para lograr una implementación efectiva de la categoría de detección, se debe definir una organización responsable de la detección de amenazas, dotarla de herramientas idóneas para la detección de amenazas y gestionar la información proporcionada por las herramientas para mantener un universo actualizado de riesgos, priorizarlos y dar seguimiento al cumplimiento de las acciones de acuerdo con las prioridades. Bajo este mecanismo de funcionamiento se busca reducir las sorpresas, detectando eventos que puedan causar daños a la Seguridad de la Información, anulando o mitigando cualquier impacto negativo por las acciones de la amenaza.