Últimamente, hemos sido testigos de que cada vez más empresas y especialistas del mercado expresan la necesidad de crear infraestructuras y procesos de seguridad que blinden los negocios contra amenazas que cada día encuentran nuevas brechas y representan más riesgos para los datos y las finanzas de una empresa.
Y esta es una gran noticia. Sin embargo, aunque se tomen todas las precauciones, nunca se está 100% protegido e inmune a ataques.
El trabajo del equipo de seguridad de una empresa no debe ser solo evitar el ataque, sino también estar preparado si el peor de los casos ocurriera. En otras palabras, ¿qué hacer cuando somos víctimas de un ataque?
Los procesos de prevención y retención de amenazas, y los de contención de daños después de un incidente no deben considerarse como elementos independientes.
Los SOC (Security Operation Center, por sus siglas en inglés) a menudo se construyen teniendo en cuenta un solo escenario previo al evento, lo que deja un vacío preocupante en las posibles acciones del equipo de seguridad, que a su vez deben centrarse en tres acciones principales: el análisis del incidente, la identificación del agente causante y la contención de daños, reforzando la infraestructura de seguridad para evitar incidentes similares en el futuro.
No obstante, estas acciones necesitan ser permeadas por un factor fundamental: un tiempo de reacción rápido.
El paciente cero
Para alcanzar este nivel de excelencia, el primer paso es buscar una remodelación de los SOC, teniendo como objetivo la gestión del tráfico de datos, y la organización y el análisis retroactivo de toda la red.
Este paso es crítico, ya que, a partir de él, las empresas y equipos de seguridad tendrán a su disposición un conjunto de herramientas forenses que podrán mapear todo el historial del tráfico de datos de la red, localizando el llamado “paciente cero” de la amenaza, es decir, la brecha de seguridad que permitió la infección.
En este caso, la analogía con una enfermedad que afecta nuestro cuerpo no podría ser más precisa. Cuando nos sentimos mal, el primer paso es diagnosticar la fuente del malestar, es decir, identificar la fuente causante de la molestia, y en caso de una epidemia, el paciente cero es quien va a dar todas las respuestas necesarias para eliminar la amenaza y crear una vacuna, impidiendo nuevas infecciones.
En la ciberseguridad no es diferente. Podemos recuperar los datos perdidos y eventuales pérdidas financieras, pero sin identificar al paciente cero, o la brecha inicial, seguimos inmunes a futuros ataques de la misma fuente.
Por último, no podemos subestimar la importancia del factor humano. El equipo necesita estar entrenado y preparado para, en muchas ocasiones, analizar y encontrar manualmente los puntos de falla en la red de tráfico de datos, a partir del historial provisto por las soluciones mencionadas anteriormente.
Es un trabajo que puede tomar tiempo e inversión en recursos humanos, pero es fundamental para encontrar fallas que a menudo son estructurales y necesitan ser remediadas a la brevedad para evitar nuevos ataques.
La verdad es que por más que se creen y se mejoren nuevas tecnologías de seguridad cada día, un equipo de TI bien entrenado y comprometido nunca dejará de ser la base para una operación segura.
Todo esto hace que el proceso posterior al ataque sea tan, o incluso más, importante que la estructura de prevención.
No se puede negar que la inversión en tecnologías y personal para crear este ciclo previo y posterior al ataque es mayor y con un tiempo de ejecución más largo, pero cuando tomamos en cuenta el daño potencial de un ataque virtual que no fue reparado apropiadamente, nos damos cuenta de que ignorar la posibilidad de que ocurra un ataque no es una opción, independientemente de cuánto nos preparemos y esperemos que nunca ocurra.
Por Ghassan Dreibi, Director de Ciberseguridad en Cisco América Latina