En la actualidad, la ciberseguridad es una prioridad absoluta para cualquier compañía. Es lo que les permite tanto proteger la información de sus clientes como su propio conocimiento corporativo, así como garantizar la continuidad de su actividad en todo momento. Pero las empresas solo pueden dedicar parte de su tiempo y recursos a protegerse, mientras que los hackers dedican todo su tiempo a idear nuevos modos de robar datos corporativos, extorsionar o simplemente causar interrupciones en el negocio. Esta es una batalla que no se puede librar, y mucho menos ganar, sin las herramientas adecuadas.

Estas interacciones son imposibles de realizar en tiempo si exigen de la intervención humana

Las nuevas tendencias tecnológicas —especialmente el cloud computing— han cambiado por completo el paradigma de gestión de la seguridad en las organizaciones y han modificado conceptos tales como el indicador de compromiso o incluso la definición misma del objetivo básico de la ciberseguridad.

De hecho, para muchas organizaciones el problema básico ya no es mitigar las amenazas, sino más bien manejar de forma coherente las alertas y la información de seguridad que generan sus múltiples sistemas. La propia definición de amenaza es un concepto relativo, que depende de la “postura” de seguridad que se defina en función de la naturaleza y objetivo de negocio de la organización. Esta “postura” es diferente para un banco o para una mediana empresa.

El concepto de indicador de compromiso también se difumina. Antes, una organización lo tenía claramente definido, pero hoy existen múltiples indicadores para una misma amenaza, dependiendo del sistema que la contemple. Es decir, ese indicador es diferente para un sistema de detección de intrusiones o para un antivirus. Si analizamos los logs de distintas aplicaciones de seguridad, vemos que es frecuente que un mismo evento haya sido calificado de diferente forma dependiendo del sistema que lo detecte.

Es frecuente que un mismo evento haya sido calificado de diferente forma dependiendo del sistema que lo detecte.

Gestionar la información

Las empresas se enfrentan, sobre todo, a un problema de gestión, que lleva aparejado uno relativo a los costes. En la actualidad, prácticamente todas las herramientas de ciberseguridad generan información que alimenta a un sistema SIEM, pero el volumen es ya de tal calibre que resulta inmanejable y costoso.

Según las estadísticas, solo se procesa un 4% de los eventos reportados por los diferentes sistemas de seguridad, lo que quiere decir que hay un 96% de eventos de los que se desconoce su naturaleza. Muchos profesionales del sector reconocen que dentro de este 96% restante hay un porcentaje muy alto de falsos positivos, es decir, eventos detectados erróneamente por una determinada herramienta que, en realidad, son eventos de otro tipo.
El problema es que toda esta información no se correlaciona y esto hace que no sea útil, ya que generará un aluvión de falsos positivos que exigirán muchos recursos para analizarlos y restarán agilidad en la respuesta cuando se presente una amenaza real.

Inteligencia de seguridad

La respuesta a esta problemática pasa por adoptar lo que denominamos un enfoque holístico que permita, primero, tener una visión global, para, posteriormente, definir cuál es la postura de seguridad de una determinada organización.

Un enfoque holístico permita tener una visión global que ayude a definir cuál es la postura de seguridad de una determinada organización.

Básicamente consiste en transformar la información en inteligencia, integrarla y consolidarla en una única plataforma; normalizarla, resolviendo los posibles conflictos e incoherencias, para finalmente interpretarla. Los datos por si mismos no sirven de nada. Es necesario simplificarlos en un único formato optimizado y luego interpretarlos para obtener de ellos conocimiento que luego podamos aplicar.

Este planteamiento es imposible si existen silos de seguridad en la organización. Si cada dominio de las TIC se comporta como un compartimento estanco, si las herramientas y sistemas de seguridad no se entienden entre sí, es imposible obtener una fotografía completa de lo que está ocurriendo. Resulta crucial disponer de un sistema que integre y estandarice la información de seguridad.

Una vez logrado este primer objetivo, hay que pasar a la segunda parte de este enfoque, que implica la definición de una postura de seguridad coherente y unificada para la organización.

Ya es algo absolutamente asumido que la ciberseguridad no es un concepto absoluto, sino que tiene que ver con definir un determinado nivel de riesgo y articular los mecanismos para controlarlo. El concepto de resiliencia está muy vinculado a esta nueva concepción de la ciberseguridad, en la medida en que se asume que ninguna organización es absolutamente invulnerable y que el objetivo, por tanto, es asumir un determinado nivel de riesgo y controlarlo, articulando los mecanismos para recuperarse de un ataque en el menor tiempo posible y con el menor daño posible.

Por ello es muy importante que cada organización defina su propia postura de seguridad, adecuada no solo al tipo de negocio que desarrolla, sino también a sus características específicas. Para hacer esto es necesario tener de forma previa un conocimiento exhaustivo del tipo de amenazas a las que se enfrenta y cuantificar el riesgo que supone cada una.

Ningún hombre es una isla

Como dijo el poeta: “Ningún hombre es una isla”, y esto es especialmente válido hoy día en el mundo de las TIC. Ningún proveedor de seguridad puede, por sí solo, cubrir todos los ámbitos que presenta la gestión de la ciberseguridad. Va a haber que contar siempre con varios proveedores, que estarán condenados a entenderse.

Ningún proveedor de seguridad puede, por sí solo, cubrir todos los ámbitos que presenta la gestión de la ciberseguridad

Hoy, más que nunca, es necesario orquestar de forma eficiente toda la infraestructura de seguridad de TI de la organización, es decir, construir un sistema de orquestación, automatización y respuesta de seguridad (SOAR) que permita aprovechar al máximo todas las capacidades —que son muchas— de cada uno de los sistemas y herramientas de seguridad implementados.

Por ejemplo, una solución DDI es capaz de identificar una actividad maliciosa, pero es realmente el firewall el que implementará una determinada política que lleve al dispositivo potencialmente peligroso a una zona de cuarentena. O al revés, un sistema de detección de intrusiones puede detectar un tráfico sospechoso en un determinado servidor, pero se necesitará que el sistema DDI nos proporcione información contextual sobre la dirección del sistema para poder emprender una acción.

Una variable más: todas estas interacciones son simplemente imposibles de realizar en tiempo si exigen la intervención humana. De esta forma, es preciso incorporar la automatización, tanto en la detección de las amenazas como en la aplicación de la respuesta adecuada. Solo así se consigue crear una infraestructura de seguridad más robusta y con mayor capacidad de respuesta.