Por Rich Reybok, Director Senior de Ingeniería en software en ServiceNow.
Seamos honestos: Es complicado trabajar en la industria de la seguridad. Los expertos en ciberseguridad, tanto internos como terceros, tienen un montón de responsabilidades y trabajan en un campo difícil de entender, con consecuencias reales.
Los externos, incluso aquellos dentro de la misma organización, no necesariamente saben qué hacen los equipos de seguridad. Cuando todo va bien, los equipos son invisibles. Cuando algo va mal, los profesionales en seguridad son los que reciben las críticas.
Es justo decir, en todos los sentidos, que este trabajo es terrible –a pesar de que también sea grandioso en muchos sentidos.
Debido a que los equipos de seguridad tienen la tarea de mantener seguros los datos, los clientes, y las organizaciones, las personas a veces no entienden lo que hacen. Pero cuando la seguridad se asocia con estas partes interesadas, suceden grandes cosas.
Ovejas rodeadas de lobos
Los ataques creados por el estado, el ransomware y la desinformación dirigida, son herramientas de guerra en la era informática. Y todas las organizaciones, sin importar en qué campo se encuentren, tienen datos que la facilitan.
Muchos de estos ataques ni siquiera son reportados por la prensa o conocidos por los externos. De acuerdo con el Estudio sobre el Costo de la Violación de Datos de 2017, creado por el Instituto Ponemon e IBM, el tiempo promedio para identificar una violación de datos es de aproximadamente 191 días.
La industria de seguridad puede terminar como un montón de ovejas rodeadas por lobos. Por ello, los profesionales en la seguridad normalmente se mantienen juntos dentro de la organización. El responsable de seguridad de una empresa financiera en una compañía competidora puede decirle que se encontraron con un virus extraño y ofrecerse a enviar muestras.
El balance de poder en la ecuación está tan desequilibrado cuando se trata de proteger los datos, que todo lo que los profesionales de seguridad pueden hacer es ayudarse unos a otros.
Al trabajar en equipo –ya sea informalmente o a través de Organizaciones de Análisis de Intercambio de Información (ISAOs en inglés) o Centros de Análisis e Intercambio de Información (ISACs)–, los equipos de seguridad pueden hacer mejor el trabajo de defender las organizaciones. Aun si una organización es hackeada, compartir lo que sucedió puede ser un sistema de alerta temprana para alguien más.
Si los profesionales en seguridad no se unen, las cosas pueden salir mal rápidamente.
Sobrecarga de trabajo
Para los equipos de seguridad, un reto grande es el manejo de los flujos de trabajo. Es difícil asignar recursos entre la detección y las capacidades operativas y encontrar la combinación correcta de postura defensiva y ofensiva.
Existen muchísimos incidentes por registrar y responder, y no hay suficiente tiempo. Las señales quedan perdidas en el aire –o peor aún– se direccionan al lugar incorrecto. Un ataque de negación de servicio distribuido (DDoS) puede abrumar las herramientas de detección y los recursos defensivos; los equipos internos responden a él mientras crecen otros ataques.
De acuerdo con el Informe de Investigación de Violaciones de Datos de Verizon de 2017, el 81% de las violaciones que se investigaron de este gigante de las telecomunicaciones, tenían que ver con contraseñas robadas o débiles, y el 66% del malware encontrado se instaló a través de archivos adjuntos de correo electrónico maliciosos.
La defensa contra ambos implica la implacable priorización de tareas, dando sentido a los datos y automatizando las tareas que consumen mucho tiempo, pero sin complicaciones.
Esto requiere de talento interno. Ha habido una tendencia a que las organizaciones de seguridad contraten a ingenieros de software y luego los entrenen en seguridad. Esto es altamente beneficioso y genera resiliencia interna.
Otro paso importante para mitigar una sobrecarga de trabajo es analizar las herramientas con las que se trabaja. Más no es necesariamente mejor cuando se trata de eventos y flujo de trabajo. Antes de agregar nuevas herramientas de seguridad, se debe considerar la capacitación necesaria para que el equipo sea efectivo en su uso.
Estar al frente del desafío
Al final del día, es muy probable que las personas abran archivos adjuntos de correo electrónico de extraños, elijan contraseñas obvias o usen comunicaciones inseguras a menos que se les impida hacerlo o si los paradigmas de la tecnología cambian. Aceptar que esto seguirá sucediendo nos permite hacer que las organizaciones sean un poco más seguras.
Los sistemas de protección no se detienen en el Firewall. Todas las empresas viven en un mundo donde el acceso a los datos es bidireccional. Eso significa que los terceros tienen acceso a mis datos confidenciales, como registros de clientes y propiedad intelectual, y es probable que yo tenga acceso a los suyos.
Tenga esto en cuenta al hacer la evaluación de riesgos. Establecer protocolos de monitoreo continuo con cualquiera que tenga un acceso privilegiado es simplemente un buen sentido común. Si un objetivo tiene defensas robustas, o es más complicado infiltrarse de lo que vale, lo más probable es que ‘los malos’ se pasen a otra cosa.
Pequeñas cosas, como el seguimiento obsesivo de parches de software, la detección de patrones de inicio de sesión irregulares y facilitar el reporte de los ataques de phishing son una gran ayuda.
Esto es aún más cierto en un entorno de trabajo que cambia rápidamente. Los entornos de múltiples nubes hacen que sea más fácil culpar a alguien de los ataques. El auge de BYOD (Bring Your Own Device) y las Shadow IT significan que la seguridad y las TI deben estar en comunicación constante y que cada día aparecen nuevos vectores de ataque.
Pero con los pasos correctos, este trabajo no tiene que ser terrible. Mantenga abiertas las líneas de comunicación con otros líderes de seguridad, encuentre señales y anomalías importantes en el interminable ruido de datos y defienda a los expertos en seguridad en todo el mundo. Estar frente al desafío hace toda la diferencia.