El equilibrio entre el progreso empresarial y los riesgos de seguridad en la implementación de nuevas tecnologías plantea grandes desafíos a las organizaciones. Para abordar este nuevo paradigma, en DXC Technology presentamos el estudio Ciberseguridad en la era de la inteligencia y de una superficie de ataque en expansión, elaborado por Harvard Business Review Analytic Services. En él, ejecutivos de compañías de todo el mundo muestran, por un lado, una preocupación generalizada por los riesgos de seguridad, y, por otro, el esfuerzo que realizan las organizaciones por proteger sus datos.

Los resultados son claros: un 52% consideró que la incapacidad para detectar y prevenir el robo de datos es un grave problema, y solo un 34% manifiesta que ya ha incorporado la inteligencia artificial (IA) o el aprendizaje automático (ML, machine learning) a sus actuales operaciones de seguridad. Además, el impacto de la COVID y la extensión del trabajo a distancia preocupan: el 49% alertó de una mayor expansión y complejidad de la red de TI debido a la difuminación del perímetro y al aumento de la superficie vulnerable a ataques.

Pese a estos datos, solo el 34% de los encuestados afirmó que sus organizaciones evalúan el riesgo y construyen nuevas medidas de seguridad cada vez que emprenden iniciativas para expandir la recopilación y el uso de datos.

Tecnologías como la IA, el ML y la automatización ayudan a identificar las brechas y a mejorar la toma de decisiones

Tecnologías como la IA, el ML y la automatización son cada vez más importantes. Ayudan a identificar con mayor rapidez las brechas y a mejorar la toma de decisiones de seguridad, pero, según la encuesta, todavía no son parte integral de las operaciones de negocio o de seguridad en muchas empresas.

Principales beneficios

Los principales motivos para avanzar en la adopción de estas herramientas son:

• Eficiencia operativa. Más allá de la mejora en los tiempos de detección y respuesta, existe un impacto positivo en cuanto a reducir la fatiga de los equipos de seguridad, especialmente en esas fases. Esta optimización del esfuerzo permite una mayor especialización del personal en tareas donde el know-how humano es insustituible y aporta un valor específico. Se trata de hacer más y de manera óptima, al tiempo que motivamos a los empleados al facilitarles el desarrollo profesional con la adquisición de nuevas capacidades que mejoran la eficiencia operativa y contrarrestan los problemas de captación de talento.
• Detección temprana. Los nuevos modelos de ciberseguridad, basados en el análisis de patrones y conductas, permiten mejorar las capacidades de prevención proactiva, enfocándose en la detección durante las fases previas de un ciberataque y en el control de los posibles efectos.
• Perspectiva de negocio. La mejora de la prevención y proactividad se traduce en un ahorro de costes, logrado gracias a la optimización de los recursos. Además, permite detectar y responder a un posible ciberataque en fases muy tempranas, mitigando así su impacto en el negocio.

Estas nuevas capacidades ayudan a acelerar la coordinación y toma de decisiones ante incidentes de seguridad. De hecho, la plataforma GO, en la que se apoyan nuestros servicios gestionados de seguridad, implementa un avanzado entorno SOAR que, unido a estas soluciones, permite orquestar gran parte de estas tareas de forma automatizada. De este modo se ofrece un valor añadido gracias a su integración con fuentes de inteligencia, tanto propias como de terceros.

Ciberseguridad / ataques internos

La prevención y detección de este tipo de agente malicioso —los denominados insiders— es todo un reto para las organizaciones. Según el estudio 2020 Cost of Insider Threats: Global Report, los daños causados por los insiders son cada vez más preocupantes: han crecido un 31% en los últimos tres años y ha aumentado un 47% la frecuencia de los incidentes. Para hacer frente a estas amenazas planteamos un abordaje en tres ejes:

Reducir la complejidad. Es necesario identificar y entender el riesgo al que se exponen las organizaciones. Además de cumplir la normativa, es fundamental contar con un plan por si la organización se ve comprometida, al igual que lo es disponer de protocolos de gestión de impacto reputacional y operacional. Para ayudar en esta tarea, DXC ofrece una evaluación del nivel de madurez de ciberseguridad basada en las mejores prácticas de la industria. Esta nos permite obtener un completo análisis sobre la posición de seguridad; además, facilita la comparación con los pares de la industria o la segmentación específica de los informes a partir de la alineación de personas, procesos, tecnología y estándares generales.

Proteger el dato. En este ámbito, recomendamos la aplicación del modelo zero trust, en el que cualquier usuario o dispositivo (externo o interno) es una posible amenaza, y las soluciones de arquitectura SASE (secure access service edge), que pueden ayudar a proteger el perímetro en esta nueva realidad del trabajo híbrido. En cuanto a la detección y respuesta, el uso de técnicas o soluciones como DLP, SIEM o PAM ya no es suficiente. Muchas compañías tratan de clasificar correctamente la información confidencial o de negocio, pero estos datos se manejan de una manera cada vez más descentralizada, lo que complica mucho la detección.

En los procesos de verificación, los sistemas de IA y análisis del comportamiento ayudan en la detección avanzada de insiders

En los procesos de verificación, los sistemas de IA y análisis del comportamiento de usuarios y entidades ayudan en la detección avanzada de este tipo de insiders. Las dos principales amenazas que se deben monitorizar son la exfiltración de datos —la más frecuente junto al abuso de credenciales privilegiadas— y el carecer de una adecuada gestión y gobierno de la identidad.

En el caso de la gestión de la identidad, la IA nos está ayudando a mejorar y a tomar decisiones de manera más rápida, basándose en el historial de accesos y exploración de datos. Esto permite identificar valores atípicos, mantener el cumplimiento continuo, confiar en nuestras decisiones a la hora de certificar accesos de usuarios, o aprobar peticiones de acceso y asignación de roles/derechos.

Además, la IA permite identificar y eliminar permisos excesivos que podrían generar vulnerabilidades

Además, la IA permite identificar y eliminar permisos excesivos que podrían generar vulnerabilidades. De igual modo, se utiliza para detectar ciertos comportamientos anómalos a través de las cuentas integradas en la aplicación de PAM (conexiones desde IP u horarios irregulares, ejecución de comandos no permitidos, etc.); unos comportamientos que pueden bloquearse de manera automática.

Situar la seguridad en el centro. El tercer eje se refiere al empleado, que es la primera línea de defensa. Es fundamental contar con un buen plan de formación y concienciación que contemple políticas reforzadas, actualizaciones de seguridad y formación continua.

Conclusiones

En DXC somos conscientes de las bondades que aporta este nuevo paradigma basado en inteligencia artificial y machine learning. De hecho, nuestros servicios gestionados de seguridad se apoyan en estas tecnologías para lograr una detección más eficaz y una respuesta más rápida. Para ello trabajamos con líderes del mercado de en este ámbito, como Securonix y Microsoft Sentinel, así como Cyberark y Sailpoint para responder al desafío de proteger la identidad.