Es evidente que hoy en día muchas organizaciones luchan contra un número cada vez mayor de ciberataques. Esta circunstancia las mantiene alertas, en algunos casos desbordadas, y muchas afirman que no son capaces de evaluar adecuadamente los riesgos de sus procesos críticos de negocio, ni se sienten seguras a la hora de poder proteger datos confidenciales y sensibles.
En resumen, parece que la mayoría de los CISO y CIO tienen a día de hoy tres desafíos principales en común: La falta de visibilidad holística; una falsa sensación de seguridad; y una automatización inadecuada. Enfrentarse a estos retos sera clave para la seguridad de la organización y evitará que se malgasten los recursos limitados, tanto a nivel de tiempo como en costes.
La mayoría de las organizaciones actuales prestan mucha atención a la ciberseguridad. Invierten en soluciones, pero a menudo las implementan en ámbitos limitados de sus activos. Además, muchas empresas utilizan más de diez soluciones de seguridad, generalmente herramientas independientes, dando como resultado una información fragmentada. Los CISO y los CIO son conscientes de que esto provoca un retraso grave en los tiempos de respuesta, ya que recolectar, analizar, evaluar, priorizar, decidir, acordar y responder son pasos que retrasan innecesariamente el proceso, algo inaceptable cuando las vulnerabilidades requieren una respuesta inmediata.
Cuanto más grande es la empresa, más silos existen. Eso deja muchos activos fuera de la vista: equipos portátiles, PCs, servidores, impresoras, componentes de red, dispositivos IoT, sistemas OT, aplicaciones en la nube, etc. Hay aún más falta de claridad acerca de cómo todos estos activos se conectan entre sí y con el entorno de red. Todo esto arroja una conclusion: La falta de visibilidad holística. Para los CISO y los CIO, la primera orden del día es trazar un mapa exacto de sus recursos. Eso significa desglosar correctamente todos los activos, pero también debe quedar claro cuáles son los más importantes para la organización y los procesos de negocio para saber cuáles merecen los niveles más altos de protección. Es imperativo por tanto abordar este desafío haciendo un inventario de todos los activos conocidos y desconocidos y mantener este conjunto de datos actualizado en una base de datos de gestión de la configuración (CMDB).
La investigación forense en empresas que fueron víctimas de ciberataques muestra que dichos ataques a menudo violaron un activo que se creía falsamente que estaba protegido por una solución de seguridad.
Por otra parte, prácticamente todas las compañías utilizan una amplia gama de soluciones de seguridad, como sistemas de detección y respuesta del endpoints (EDR), soluciones antivirus, firewalls, etc. Sin embargo, la investigación forense en empresas que fueron víctimas de ciberataques muestra que dichos ataques a menudo violaron un activo que se creía falsamente que estaba protegido por una solución de seguridad. Sin embargo, resultó que esa solución no estaba habilitada en absoluto en el dispositivo. La investigación forense muestra además que a menudo faltan parches para vulnerabilidades que han estado expuestas durante mucho tiempo y esto proporciona a los ciberdelincuentes otro punto de entrada. Un mapa completo de los parches disponibles y un proceso confiable para implementarlos reducirán por tanto significativamente el riesgo de intrusión.
La falsa sensación de seguridad tiene además otra cara: la del agotamiento ante las alertas. Esto es, debido al creciente número de vulnerabilidades y ataques los equipos de ciberseguridad reciben una fuerte presión y a menudo no tienen suficiente personal para responder correctamente. Estos equipos, mermados por las circunstancias enumeradas, reciben con frecuencia todo tipo de alertas de seguridad de diversas soluciones ¿Qué sucede entonces? Pues que los sistemas generan tantas alertas de seguridad que los empleados se vuelven insensibles a ellas. En otras palabras: «La gente ya no ve el peligro a través de las alertas». Como resultado, ignoran estas alertas o no responden adecuadamente a ellas. Esto también contribuye a una falsa sensación de seguridad ya que, aunque las soluciones están en su lugar, las alertas no son atendidas.
Otro aspecto interesante que mencionar en el ámbito de la falsa sensación de seguridad es el de los reinicios y cambios de clave de registro. Y es que, después de corregir una vulnerabilidad, a menudo el sistema requiere un reinicio o una modificación de una clave de registro antes de que el parche se complete por completo. No hacerlo significa no remediar la vulnerabilidad. En muchas organizaciones, sin embargo, no existe un control para verificar si estos pasos realmente se toman y los usuarios pueden creer que la vulnerabilidad está solucionada cuando sigue estando presente.
La automatización insuficiente es otro de los desafíos pendientes.
Llegados a este punto es interesante hablar del otro desafío pendiente: el de la automatización insuficiente. Porque con una comprensión holística y una confianza bien fundada en la seguridad, las organizaciones tienen todo lo que necesitan para proteger los activos de los riesgos de las vulnerabilidades. Sin embargo, para darse cuenta mejor de esto, los CISO y los CIO deben poder correlacionar y comprender sus datos. Para ello, el contexto de la información es fundamental.
Cuando surge una vulnerabilidad, el contexto para el CISO o CIO significa responder a preguntas como estas: ¿Qué nivel de importancia tiene esta amenaza para la organización?, ¿Los ciberdelincuentes ya explotan activamente la vulnerabilidad? ¿Esta vulnerabilidad está presente en alguno de los activos?¿Hay algún parche disponible para remediarla?,¿Qué acciones es posible tomar para reducir el riesgo?
Las respuestas a estas preguntas se encuentran en el contexto de la información, por eso cuánto más se puedan automatizar los procesos para obtener este contexto, mejor se podrá priorizar la remediación de los activos. Hay datos preocupantes al respecto, como por ejemplo, el que apunta a un promedio de 194 días para parchear las vulnerabilidades relacionadas con el ransomware. Con un flujo de trabajo lógico y automatizado estos márgenes de tiempos serían cosa del pasado.
El promdeio para parchear las vulnerabilidades relacionadas con el ransomware es de 194 días.
Asimismo, en lo que respecta a las auditorías de cumplimiento, es vital que el proceso de reporte sea rápido y eficiente, por lo que la automatización vuelve a ser clave. Las auditorías suelen ser un ejercicio muy costoso y lento para cualquier empresa, con una recopilación de datos desde diferentes soluciones, compleja y propensa a errores. Una buena labor de automatización acelerará el proceso, generará importantes ahorros de costes, requerirá menor esfuerzo de los especialistas internos, lo que les liberará para concentrarse en tareas vitales, como la aplicación de parches.
La conclusion de todo este artículo no es otra que la de que los CISO y los CIO pierden su seguridad debido a la falta de visibilidad holística, a una falsa sensación de seguridad y una automatización inadecuada. Esto hace que los equipos de seguridad y operaciones de TI se encuentran en un campo de juego desigual, con los ojos vendados, mientras que los ciberdelincuentes parecen conservar la ventaja y se vuelven cada vez más sofisticados en su actividad. Es por ello apremiante que estos reponsables de seguridad atiendan estos tres ámbitos, de la mano de plataformas y soluciones capaces de brindarles la seguridad y confianza que necesitan, fortalecer sus defensas y,al mismo tiempo, aprovechar al máximo los recursos limitados y valiosos de sus organizaciones.
