«Es inevitable que se produzcan incidentes de seguridad. Es por lo tanto fundamental que las organizaciones empiecen a centrarse en la identificación de lo que llamamos ‘indicadores de compromiso’ (indicators of compromise o IOC en inglés), con el fin de desarrollar un plan de respuesta ante incidentes integrales en su lugar y la realización regular de ‘simulacros’ de seguridad», explica Neil Campbell, Gerente General del Grupo para la Unidad de Negocios de Seguridad de Dimensión Data. También señala que los simulacros regulares, o ensayos, garantizarán que, en caso de un incidente, los equipos de TI y administrativo tienen claro lo que hay que hacer, por lo que el negocio estará menos en situación de riesgo. Esto incluye recuperar evidencias, identificar y resolver la causa raíz del incidente (no sólo los síntomas) y la realización de una investigación forense.
¿Qué otros temas deben observar los profesionales de seguridad de TI en este 2015?
Matthew Gyde, ejecutivo del Grupo para la Unidad de Negocios de Seguridad de Dimensión Data, dice: “Hemos identificado lo que creemos son cinco de las tendencias más importantes en nuestra industria para el 2015. Estas no son las únicas áreas donde está ocurriendo el cambio. Sin embargo, no cabe duda que merecen un análisis más profundo”.
Gyde señala que una tendencia que no entró a la lista de las cinco principales, pero que está estrechamente vinculada a cada una, es el uso de datos y aprendizaje automático que, cuando se combina la interacción humana, se pueden crear acciones concretas e inteligencia contextualizada. “Esto permite a las organizaciones tomar decisiones rápidas sobre la manera de protegerse contra un ataque inminente, cómo responder durante el ataque y qué medidas tomar después de éste”.
Servicios administrados de seguridad como protagonistas
Para la mayoría de las empresas, identificar incidentes de seguridad con rapidez requiere una cobertura 24/7 del entorno de red. Esto puede ser costoso, los profesionales de seguridad de TI son escasos y requieren un entrenamiento constante para mantenerse al tanto de las tecnologías en constante evolución. Sin embargo, hay un inconveniente para el modelo de utilización de recursos internos, explica Campbell. Para llegar a ser verdaderamente proactivas ante la respuesta a incidentes, las organizaciones necesitan visibilidad de otras redes y mantenerse al día de los ataques que se producen en otros lugares.
Gyde está de acuerdo y afirma que en los últimos años, la gestión de la seguridad y el monitoreo se han vuelto más complejos y consumen mucho tiempo. Actualmente, es necesario evitar lo que se pueda y gestionar los compromisos inevitables. Esto significa optimizar la detección y la capacidad de respuesta. Muchas empresas carecen de las habilidades necesarias para detectar y responder eficazmente a las amenazas de esta manera.
“Los proveedores de servicios de seguridad administrados cuentan con equipos de profesionales de seguridad centrados exclusivamente en la identificación de malware potencial y el seguimiento de miles de redes de los clientes para los precursores de los ataques de denegación de servicio. Los incidentes no ocurren de la nada: por lo general, hay una ‘charla’ previa en los canales populares del ‘Internet Invisible’. Dimensión Data, por ejemplo, vigila estos canales muy de cerca, lo que incrementa significativamente la probabilidad de que podemos prevenir a nuestros clientes antes de un ataque inminente”.
La seguridad de TI se vuelve nublada
Tanto Campbell como Gyde predicen un aumento continuo en la adopción de servicios en la nube para la seguridad en el 2015. “Esto es válido para soluciones software-as-a-service, como proxy Web segura y correo electrónico seguro en la nube. Estas soluciones son particularmente atractivas ya que el proyecto de implementación es casi inexistente, simplemente es cuestión de redirigir el tráfico para aprovechar el servicio a través de un modelo basado en el consumo. Y los servicios son altamente escalables. Si necesita soporte para 20 mil usuarios al día de hoy y se adquiere una empresa y el número de empleados aumenta repentinamente a 30 mil en seis meses, sólo tiene que modificar el acuerdo de licencia y los nuevos empleados estarán listos y funcionando”.
Aplicaciones de seguridad en la nube y basados en ésta, controles de denegación de servicio distribuidos, tales como los ofrecidos por Akamai son otras áreas de interés creciente.
Según Campbell, la seguridad de la nube será cada vez más importante a medida que más organizaciones mueven sus cargas de trabajo a la nube. “No es bueno adoptar este modelo sólo para que nos dijeran los auditores, un año después, que los protocolos de seguridad de su proveedor de nube no están a la altura. Creo que vamos a ver proveedores de nube invirtiendo fuertemente en la construcción de arquitecturas de red que soportan la gama de controles de seguridad, de modo que puedan garantizar a sus clientes que las tecnologías de seguridad de nivel empresarial se están aplicando a sus cargas de trabajo”.
De acuerdo con Gyde, todavía hay mucho trabajo que hacer dentro de la industria de la nube y la seguridad. “Las plataformas más seguras del mundo todavía pueden verse comprometidas por un error humano o una mala gestión”, y señala que otra área que requiere atención es la integración con las políticas y los procesos organizacionales existentes. “Es muy fácil para empresas de nueva creación mudarse a la nube, ya que no tienen legado de la infraestructura física y pueden implementar controles de seguridad en terreno virgen. Empresas más grandes encuentran la perspectiva de la nube más desalentadora, ya que no están seguras de cómo adaptar sus controles de seguridad, políticas y procesos para este modelo”.
Desde tecnologías de seguridad a plataformas seguras
2015 también verá el concepto de seguridad como una plataforma segura, en lugar de una serie de productos específicos o dispositivos en la red, ganando terreno. La expectativa de los profesionales de seguridad será entregar una plataforma segura que permita que el negocio ejecute confiadamente múltiples aplicaciones en un entorno seguro.
Gyde comenta que desde hace muchos años, las organizaciones normalmente adquirían varios productos de seguridad de diferentes proveedores. Si bien esto ayudó a crear una “defensa en profundidad”, también trajo complejidad y riesgo potencial. Después de todo, el 95% de los ataques exitosos se puede atribuir a un error humano, en lugar de la tecnología.
“Cada vez más, las organizaciones están evaluando sus riesgos y tomando decisiones de compra que no necesariamente están basadas en la mejor tecnología de su clase se está adoptando un enfoque pragmático, basándose en el riesgo de la infraestructura y socios existentes para gestionar los riesgos a un nivel aceptable, en lugar de buscar un objetivo nunca logrado de seguridad ‘perfecta’”.
El concepto de la nube y su modelo de pago por uso es también relevante para este tema. Las organizaciones quieren replicar el enfoque basado en el consumo de la nube en un modelo on-premise, ya sea de propiedad independiente o de un proveedor de servicios de confianza. Cada vez más, las organizaciones prefieren socios de seguridad que estén preparados para asumir parte del riesgo financiero y al mismo tiempo ofrezcan la construcción de un servicio flexible, por ejemplo, uno que les permita encender un firewall a corto plazo para hacer frente a un evento específico y desactivarlo cuando el requerimiento haya pasado.
El concepto de una plataforma segura se relaciona directamente con la pretensión de las organizaciones de gestionar a través de un “panel único” sus activos de seguridad, ya sea en sus instalaciones, hospedados o como infraestructura cloud. Esencialmente, esto habilita una seguridad robusta para dar seguimiento a las aplicaciones de una organización, datos y cargas de trabajo sin ningún compromiso, o cambios en la tecnología o la gestión que se requiera. Este enfoque también es compatible y se alinea con los requisitos de movilidad empresarial para que la información corporativa sea accesible a los usuarios en cualquier momento y en cualquier lugar.
Seguridad en puntos terminales, de nuevo de moda
Campbell predice un resurgimiento del interés por la seguridad de punto terminal en la industria. “Esto está estrechamente ligado a la primera tendencia que discutimos, respuesta ante incidentes y el hecho de que algunos controles de seguridad tradicionales basados en red no son tan efectivos como solían ser. Los profesionales de seguridad buscarán en dispositivos, ya sean PCs, Macs, o smartphones; indicadores de compromiso, y luego habilitarán algún tipo de proceso de respuesta ante incidentes. Ellos implementarán tecnologías para puntos terminales para facilitar la respuesta ante incidentes”, comentó.
También se espera que el control de aplicaciones resurja como un área clave en el 2015 se hará énfasis en identificar actividad maliciosa en el punto terminal, en lugar de código malicioso. “Si bien el conocimiento del usuario de las mejores prácticas de seguridad de la información, es una prioridad clave, en algún momento alguien va a hacer clic en algo que no debería, por lo que las organizaciones deben ser proactivas en la gestión del impacto de este tipo de eventos”, concluyó Campbell.
En el incidente de Target, signos del ataque aparecieron en sus sistemas de monitoreo de eventos, pero tuvieron demasiadas alertas, por lo que estas señales fueron pasadas por alto. Es importante tener en cuenta que el CIO y CEO fueron despedidos por este incidente.