A lo largo de mi carrera profesional he conocido a muchos directores de seguridad informática (CISO) de todo el mundo. Se puede pensar que al proceder de distintos entornos, sus preocupaciones podrían ser diferentes. Sin embargo, la realidad es que no difieren mucho de estas cinco cuestiones:
Seguridad en aplicaciones cloud
El cloud computing es una tendencia imparable en el mundo empresarial. Cada día más y más empleados utilizan las aplicaciones en la nube pública para desarrollar su trabajo. Estas aplicaciones son de lo más variado, desde servicios de correo electrónico como Gmail y servicios de almacenamiento público como Dropbox, hasta software para comunicarse desde los dispositivos móviles, como Whatsapp.
Para las empresas es cada vez más complicado impedir el uso de estas aplicaciones por completo, por lo que controlarlas y reducir los riesgos que comportan, son unas de las tareas que más presión ejercen sobre los CISO.
Amenazas avanzadas persistentes (APT)
De los distintos tipos de amenazas de seguridad que existen, quizá los que más miedo provocan entre las organizaciones son las “amenazas avanzadas persistentes” o APT. Estas amenazas se presentan en distintas formas, pero generalmente las APT se caracterizan por su sofisticación, su enfoque polifacético, su sigilo y por ir dirigidas a una organización en concreto.
Capaces de sortear las defensas convencionales, normalmente buscan información sensible y datos personales como los detalles de tarjetas de crédito. Esto significa que desde las más grandes organizaciones hasta los individuos, estamos en su punto de mira.
Gestión de eventos
El registro de datos, los informes, e incluso la gestión de eventos han formado parte de las responsabilidades de un administrador de sistemas desde siempre. Es una práctica que no va a desaparecer sino que, al contrario, va a ser cada vez más importante al ser parte de la defensa frente a las amenazas complejas como las APT, que aumentan a medida que las empresas se inundan con datos procedentes de fenómenos como las smart cities, el Internet de las Cosas (IoT) y el big data.
Su importancia lo demuestra el crecimiento del mercado de la seguridad de la información y la gestión de eventos (SIEM), el cual se espera que alcance los 4.540 millones de dólares en 2019, desde los 2.470 millones de dólares en 2014, según datos de la consultora MarketsandMarkets.
Para los CISO, tener demasiada información (inconexa) es casi tan malo como no disponer de información sobre un ataque. ¿Cómo se puede entender un aluvión de registros de eventos recogidos desde todo tipo de redes, servidores y dispositivos de seguridad, y luego correlacionarlos para identificar aquellos que suponen una amenaza, tales como intentos no relacionados de acceder a la red y que forman parte de un ataque APT?
Cumplimiento
Las normas y estándares que regulan la industria como la norma PCI DSS (Payment Card Industry Data Security Standard), la HIPAA (Health Insurance Portability and Accountability Act), la SOX (Sarbanes-Oxley) y otras regulaciones locales similares son el modus operandi del comercio actual.
El cumplimiento de las normativas proporciona un control a la salud del negocio e infunde confianza en el mercado. Pero lograrlo puede ser costoso y complejo. El estándar PCI, por ejemplo, implica una serie de doce requerimientos que abarca el firewall, cifrado, antivirus, autenticación, registro y monitorización, pruebas de sistemas y otros. Además, los negocios deben hacer frente a nuevas complejidades con cada nueva iteración de un estándar.
Con frecuencia escucho a los CISO lamentarse sobre el trabajo que implica cumplir con la regulación. El tiempo, el esfuerzo y el gasto que conlleva actuar conforme a la legalidad puede destinarse a un uso más estratégico en línea con los objetivos de negocio de la organización. ¿Cómo puede resolver el CISO este dilema?
Dar solución a todos
Cada uno de estos cuatro problemas apunta a la necesidad de una estructura de seguridad que integre el hardware y software de seguridad y los protocolos de comunicación con la segmentación interna avanzada en una única arquitectura, que proporcione una protección frente a amenazas completa y sin fisuras en toda la superficie de ataque, desde la nube al IoT.
La nube, en concreto, debe gestionarse como una extensión de la red empresarial, por lo que las compañías deben aplicar una estrategia de seguridad que permita tener visión y gestionar la ingente cantidad de datos que atraviesan una red sin perímetro, comprometiendo los puntos de acceso cableados e inalámbricos, traspasando tanto redes públicas como privadas y a través de infraestructuras tradicionales y cloud.
Para contrarrestar eficazmente las APT, las organizaciones deberán ir más allá de los tradicionales firewalls perimetrales y de las medidas de defensa multicapa.
Un marco de defensa efectivo frente a las APT requerirá la adopción de una arquitectura de firewall de segmentación interna (ISFW). ISFW opera restringiendo el flujo de malware entre diferentes segmentos de la organización. Utilizado junto con soluciones de inteligencia de amenazas y detección APT en tiempo real como son las de seguridad para el endpoint o el sandboxing, las APT pueden ser inmediatamente detectadas y puestas en cuarentena.
El otro aspecto para identificar APT es disponer de un mecanismo de logging que permita capturar todo el tráfico de la red – tanto interno como externo – y tenga en cuenta todos los logs. De nuevo, una arquitectura de seguridad que proporcione reconocimiento independientemente del dispositivo, usuario, contenido y flujo de datos dentro y fuera de la red, así como una perspectiva de los patrones del tráfico, será sumamente útil.
Además, dicha arquitectura puede utilizar una política cooperativa única, optimizando el proceso de identificación mediante un único log por sesión en lugar de múltiples logs. Esto facilita enormemente a un analizador de logs entender los patrones de tráfico y descubrir las amenazas reales.
En cuanto al cumplimiento de la normativa, la mayoría de los CISO siguen ciertas metodologías (como PCI, ISO 27001/2, NIST Cybersecurity Framework, etc.) para analizar los riesgos de la red. Una arquitectura de seguridad, junto con un despliegue de ISFW, permite a todos los firewalls instalados ofrecer una imagen del estado de cumplimiento y la evaluación del grado de madurez de la seguridad. De esta manera se ayuda a los CISO a entender mejor qué partes de la red están más en riesgo que otras, y poner en marcha las acciones correctivas correspondientes para dar cobertura a estos puntos débiles.
Para el CISO, saber qué está conectado a su red en todo momento es clave para entender la situación de seguridad de su organización y la efectividad de sus políticas procesos. Una arquitectura de seguridad descubrirá todos los activos de la red, permitiendo al administrador establecer sus objetivos de seguridad y después auditar la política de todos los nodos de la arquitectura para verificar que la protección correcta está siendo aplicada en cada activo.
La arquitectura de seguridad también da solución a la quinta preocupación de los CISO: Proteger su inversión en seguridad de la información.
Una arquitectura como la propuesta, desarrollada desde el inicio para operar con todos los elementos fundamentales de la red, es de por sí una prueba para la obsolescencia. Los componentes individuales de la red pueden cambiar a lo largo del tiempo, al igual que la naturaleza de las ciberamenazas, pero una base sólida establecida sobre una arquitectura, seguirá siendo pertinente y protegerá a la empresa por muchos años.
Michael Xie
Fundador, presidente y chief technology officer de Fortinet