A pesar de que cualquier organización convendría con nosotros en que la seguridad de la información es uno de los pilares del éxito, lo cierto es que pocas empresas están a la altura. Nuevos modelos tales como SecOps (security operations), que reducen drásticamente los tiempos de detección y contención de incidentes, evidencian la falta de madurez de muchos departamentos de seguridad.
Las amenazas de seguridad se multiplican cada día. Las estadísticas, especialmente cuando hablamos de grandes empresas, pueden llegar a asustar. Durante el año pasado, el Ponemon Institute —que realiza investigaciones independientes sobre privacidad, protección de datos y políticas de seguridad de la información— reveló que, de media, el número de días afectados por incidencias de seguridad rondó los 200 al año.
¿Cómo debemos interpretar ese dato? Tan sencillo como inquietante: las organizaciones pasan cerca de nueve meses al año infectadas. Lo más preocupante no solo es que se pueda permanecer todo ese tiempo infectado —sin ni siquiera tener conocimiento de ello, con el consiguiente compromiso de la información sensible—, sino que el tiempo medio necesario para contener esas amenazas es de unos 70 días.
Así las cosas, no es complicado imaginar el grave perjuicio que puede llegar a suponer para las empresas, tanto en pérdida de reputación como en términos puramente económicos.
La automatización resuelve buena parte de las incidencias, sin intervención manual
Madurez del departamento de TI
La evolución de los departamentos de TI ha sido muy positiva en los últimos años. Sin embargo, no se está produciendo al ritmo que demandan las necesidades del mercado. Que el CIO ocupe un lugar en el consejo de dirección, o que se creen departamentos exclusivamente dedicados a la seguridad de la información, son pasos extraordinariamente positivos. En esta coyuntura, la cuestión es si estos departamentos de seguridad son lo suficientemente maduros. Lamentablemente, tal y como demuestran las estadísticas del Ponemon Institute, la respuesta es que no.
El modelo SecOps pone de manifiesto algunas de las carencias que aquejan a buena parte de las empresas. Los pilares de este modelo son, por lo general, las asignaturas pendientes de las organizaciones. En primer lugar, aunque es un acierto la creación del departamento de seguridad, este no puede convertirse en un silo. De nada nos servirá un área tan crítica como esa si no se relaciona e interactúa proactivamente con el departamento de TI. Estudios independientes, como los llevados a cabo por Enterprise Strategy Group1, revelan que uno de los grandes desafíos a la hora de responder a los incidentes es la coordinación entre los diferentes equipos de seguridad y los de TI.
Por otro lado, se hace imperativo manejar una serie de métricas para saber en todo momento el estado en que se encuentra la seguridad de la compañía y, en caso de brecha, primar la eficiencia en su resolución. Intervalos de 70 días para la contención de una incidencia, sencillamente, son inadmisibles.
El sector de la banca está abriendo el camino al adoptar cada vez más enfoques SecOps
Integración de herramientas
Para poder atajar esta situación, la comunicación es un elemento imprescindible, pero no solo entre departamentos, como hemos visto, sino entre soluciones. De media, una compañía puede llegar a contar con unas 70 herramientas de seguridad en su infraestructura tecnológica. ¿Se comunican entre ellas? No y, precisamente por ello, los plazos que se manejan para la detección y contención de las incidencias son tan dilatados. Esta cantidad de soluciones termina por inundar al departamento de seguridad con miles de notificaciones y alertas. Esto, por lo general, es inasumible para estas áreas, ya que no disponen del personal suficiente para atender tal volumen de datos con la celeridad y efectividad requeridas.
Pero el problema aún es mayor, porque en mitad de ese reporting, en el que se mezclan alertas reales con falsos positivos, puede llegar a pasar inadvertida una brecha de seguridad crítica, camuflada entre las leves.
En la actualidad existen soluciones para poder salvar esta circunstancia. La clave pasa por un ejercicio previo de identificación de la información más crítica y de dónde se encuentra; esto es, la definición de los activos más críticos, a partir de la cual podremos establecer niveles de prioridad en caso de incidentes. En segundo lugar, también es importante maximizar los niveles de automatización, eliminando las tareas manuales cuanto sea posible.
La respuesta a este escenario viene a través de soluciones como ServiceNow, mediante la que es posible cumplir con estas premisas a través de una plataforma cuya flexibilidad, potencia y extensibilidad permiten gestionar todas las incidencias de seguridad de un modo centralizado.
Optimización de las operaciones
Como resultado de la gestión centralizada de todas las herramientas de seguridad y sus miles de alertas enviadas, ServiceNow marca la diferencia al ofrecer un mapa interactivo en el que es posible visualizar todas las dependencias de las aplicaciones, las alertas y el historial de tareas. De esta manera, los tiempos de contención de incidentes se reducen drásticamente, ya que resulta mucho más sencillo identificar su origen.
No solo eso, sino que gracias al elevado nivel de automatización que introduce ServiceNow, buena parte de las incidencias, que antes pasaban cerca de 200 días sin ser detectadas, ahora se resuelven sin intervención manual; es el propio sistema el que las detecta y neutraliza, como si de un antivirus de PC se tratara, con la salvedad de que en este caso ha de lidiar con la información que llega de más de medio centenar de dispositivos en una compleja infraestructura TI.
La proactividad se construye sobre la base de un buen sistema de métricas, que los administradores pueden configurar como consideren más adecuado para fomentar el cumplimiento de los acuerdos de nivel de servicio (SLA por sus siglas en inglés). Unos SLA, por otro lado, que se ven más garantizados al disponer de herramientas tales como los paneles interactivos en tiempo real de ServiceNow, cuya transparencia brinda la oportunidad de optimizar las operaciones mediante la detección de tendencias.
Otra de las ventajas de esta plataforma, con la que el departamento de seguridad ve respaldada su labor del día a día, es Live Feed, un muro social para la comunidad de este ámbito en el que se comparten experiencias e información, y en el que se encuentran respuestas a problemas concretos.
En cualquier caso, implementar este nuevo enfoque SecOps con plataformas como ServiceNow no es una tarea sencilla. En nuestra experiencia, teniendo en cuenta el nivel de madurez de los departamentos de seguridad, este tipo de procesos suele implicar cambios que acostumbran a encontrar resistencia, aunque si se realizan de forma adecuada no tardan en dar sus frutos con mejoras significativas de eficiencia.
En España, las empresas de entre 5000 y 10 000 empleados aún tienen un largo camino que recorrer para mejorar la madurez de sus departamentos de seguridad y, con ello, blindarse —de verdad— ante una tasa de amenazas creciente. La banca está abriendo el camino al adoptar cada vez más enfoques SecOps, marca así la guía de una senda de automatización y eficiencia que las organizaciones habrán de emprender si no quieren verse desbordadas por la avalancha de incidentes de seguridad.
