Hay cuatro palabras que pueden atemorizar a los ejecutivos de las empresas como ninguna otra cosa: violación de la seguridad. Sin embargo, y a pesar de ello, los CISO están resignados y saben bien que antes o después esas palabras terminarán por aparecer en algún momento a lo largo del desempeño de sus funciones.

Los CISO parecen no encontrar el modo de reducir la cantidad y gravedad de los ciberataques, y tienen una buena razón: son cada vez más inteligentes e implacables y, sin contar con soluciones integradas que puedan comunicarse entre sí, la situación solo puede empeorar.

Para contrarrestarlo, muchas empresas derrochan dinero para proteger sus sistemas e infraestructuras, pero estas nuevas tecnologías no están facilitando las cosas. Los informes muestran que tan solo pueden ser examinados menos del 5% de los incidentes de seguridad recibidos a diario por los equipos de seguridad. El problema no se encuentra en los recursos, sino en la falta de efectividad cuando se trata de la actual escalabilidad de la nube.

Los operadores humanos, sin importar el número, no pueden enfrentarse a la escalabilidad, complejidad y velocidad de los entornos de TI modernos. En este caso se aplica el dicho de más vale mañana que fuerza. Las empresas deben considerar la automatización de la seguridad.

Los problemas de integración

El mercado actual está sobresaturado de soluciones de seguridad. Algunas grandes empresas implementan hasta 20 soluciones diferentes, cada una de ellas centrada en un problema o reto determinado, para, poco a poco, ir creando una estrategia. Sin embargo, a pesar de estas grandes inversiones, los departamentos de seguridad todavía están luchando para seguir el ritmo de los ciberataques.

A medida que los CISO invierten en distintas soluciones y plataformas, los equipos de TI luchan por integrarlos, al tiempo que gestionan las tecnologías ya existentes. Muchas de las plataformas y soluciones no se integran entre sí y, como resultado de los enfoques de seguridad no coordinados, solo son capaces de abordar los síntomas y no las causas subyacentes.

En la actualidad, uno de los principales problemas es la falta de estándares en el sector. El uso de algunos de los propuestos para las integraciones (como CYBOX, OPENIOC y YARA) no está extendido, y estas se reemplazan por otras nuevas antes de que hayan llegado siquiera a despegar. Por lo general, las integraciones solo se producen entre soluciones de un mismo proveedor o fruto de alianzas puntuales.

Sin integración, cualquier solución de seguridad puede no ser suficiente para proteger el entorno corporativo, y esta falta de orquestación se hará evidente a medida que el panorama de amenazas se vuelva aún más hostil. Es como tratar de proteger un edificio instalando cámaras, perros y guardias: de poco sirve si los guardias no miran a las cámaras y los perros están a su aire. Si no hay cohesión, es ineficaz.

Automatización

Si bien las metodologías DevOps han tenido una buena acogida tanto en la mentalidad como en la práctica de muchas empresas, todavía existe un gran desfase entre la velocidad y la agilidad que marcan en comparación con la lentitud con la que se realizan las operaciones de seguridad de TI.

Imaginemos lo efectiva que podría ser una defensa de seguridad en el caso de que el sistema de detección de intrusos se pudiera comunicar con la solución de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) que, a su vez, podría entenderse con el firewall de la empresa, etc. Los equipos de TI podrían coordinar una respuesta automatizada en todas estas áreas.

Las soluciones de orquestación de seguridad y respuesta automática (SOAR, por sus siglas en inglés) pueden combinar diferentes soluciones para obtener una estrategia mucho más eficiente y efectiva. Según Gartner, el 84% de las empresas ya está considerando invertir o invirtiendo en la automatización de la seguridad, aunque, en muchas cuentas, estas soluciones son difíciles de usar y rara vez cumplen con lo que prometen. Por ejemplo, si se necesitara un desarrollador de Python que también sea experto en seguridad, la búsqueda de un perfil que combine ambas capacidades complicaría mucho su puesta en marcha a la hora de operar la solución y dar respuesta a la complejidad en la escritura y mantenimiento de los flujos de trabajo de automatización.

SOAR combina diferentes soluciones para obtener una estrategia más eficiente y efectiva

Sencilla y abierta

Lo que se necesita para impulsar la integración en el sector, y hacer del SOAR una realidad, es una capa de automatización con características específicas y únicas.

Debería tener una amplia gama de puntos de integración con muchos tipos diferentes de soluciones de seguridad en el mercado. Para hacer eso, debería tener un mecanismo de integración modular y muy flexible.

El lenguaje utilizado debería ser excepcionalmente fácil de aprender, escribir y mantener, mientras que la propia capa de automatización debería ser fácil de implementar y administrar. La adopción está limitada por la complejidad y aquí estamos hablando de algo que debe ser adoptado por todo el sector de la seguridad para que sea efectivo.

Por último, debería estar abierta a la contribución y a las mejoras de cualquier actor implicado, ya sean proveedores de seguridad u organizaciones de usuarios finales, para que nadie pueda controlar la agenda.

Con estas cualidades, la automatización podría convertirse en una capa de integración universal para la seguridad de TI y aumentar significativamente la efectividad de las soluciones de seguridad existentes.

Tan sólo es el principio

Los ciberataques no van a menos y las defensas de una empresa tampoco pueden hacerlo. La automatización y la orquestación de la seguridad solamente son el punto de partida para una nueva forma de enfrentarse a estos desafíos.

Una vez que se generalicen las soluciones de seguridad orquestadas, y cuando las empresas cuenten con completos portfolios de soluciones que estén completamente automatizadas, se podrá agregar una capa de inteligencia que ni siquiera existe actualmente. Por ejemplo, si para un ataque concreto hay cuatro, cinco o incluso diez métodos diferentes de reparación, la inteligencia artificial (IA) podría ayudar a evaluar instantáneamente qué forma de repararlo es la más eficiente. Con la seguridad sincronizada, la IA puede descubrir que la solución X bloquea el ataque en tres minutos, mientras que la solución Y tarda
30 minutos. Este es el punto en el que los CISO realmente pueden ganar terreno en materia de seguridad y adecuarse a la velocidad necesaria para hacer frente a los futuros ataques.

Sigue habiendo mucho escepticismo en lo que a la seguridad automatizada se refiere. Los profesionales de la seguridad, en lugar de poner en práctica lo que hoy está disponible y trabajar conjuntamente para mejorar las soluciones para la orquestación y automatización, tienden a permanecer alejados de esa “gran incógnita”.

Sin embargo, en la escalabilidad de la nube, las empresas no tienen otra opción. La automatización cuenta con el potencial para hacer por la seguridad lo mismo que ya ha hecho en otras tantas áreas de TI. Al final, puede ser el cambio en la ciberseguridad que las empresas han estado buscando.