Crear una pila tecnológica es una de las tareas más difíciles a las que se enfrentan los administradores de TI, los profesionales de la ciberseguridad y los propietarios de empresas.
Esto se debe a que la creación de un conjunto de herramientas de productividad y ciberseguridad requiere un conjunto cuidadoso de actos de equilibrio.
En principio, cuantas más herramientas de ciberseguridad implementes, más seguros serán tus sistemas, pero solo hasta un punto en particular: si haces que tu pila sea demasiado compleja, puede volverse difícil de administrar y, por lo tanto, introducir vulnerabilidades, además de aumentar tu inversión inicial en sistemas técnicos.
Una pila de tecnología empresarial típica de seis capas, compuesta de redes, almacenamiento, servidores físicos, así como capas de virtualización, administración y aplicación, requiere que los CISO lidien con no menos de 1.600 millones de versiones de instalaciones tecnológicas para 336 productos, provistas por 57 proveedores.
Este problema se ve agravado por la naturaleza cada vez más dinámica de la mayoría de los entornos corporativos. El aumento de las soluciones de software de trabajo remoto, el interés renovado en la gestión de equipos virtuales y el aumento gradual en el uso de VPN en los últimos diez años es una indicación de que muchas empresas ahora están buscando desarrollar pilas de ciberseguridad que se puedan implementar de manera efectiva fuera del sitio. con las complejidades añadidas que esto trae.
En este artículo, volveremos a lo básico. La creación de una pila de herramientas de ciberseguridad eficaz se basa en una serie de principios clave. Ten esto en cuenta al crear y desarrollar tu propia pila, y podrás alcanzar el equilibrio de simplicidad y funcionalidad que es la marca de una gran pila de herramientas.
Indice
Cómo construir correctamente una pila de seguridad
El primer paso y el más importante en la creación de una pila de herramientas de ciberseguridad es contar con una estrategia de gobernanza de la información y la ciberseguridad. Eso puede parecer obvio, pero es un paso que muchas organizaciones aún pasan por alto.
Sin una estrategia de ciberseguridad exhaustiva y rigurosa, es casi imposible crear una pila de herramientas que realmente mitigue las amenazas a las que te enfrentas. Cualquier conjunto de herramientas desarrollado sin supervisión estratégica probablemente sufrirá una serie de problemas interrelacionados.
Será inadecuadamente amplio para lidiar con la amplitud de tu perfil de amenazas, se volverá rápidamente obsoleto debido al creciente número de amenazas que existen, o no te permitirá una supervisión suficiente de tus datos para cumplir con la legislación de gobernanza y cumplimiento.
Se pueden dar dos ejemplos de esto. El vertiginoso aumento del cryptojacking en los últimos años ha tomado por sorpresa a muchas empresas, ya que están acostumbradas a proteger los datos en lugar de sus recursos informáticos y, sin auditorías periódicas de amenazas, a muchas les ha resultado difícil responder.
De manera similar, la creciente escala de censura de Internet durante la última década ha hecho que muchas soluciones de trabajo remoto heredadas sean casi inútiles, porque las empresas han dado por sentado que los trabajadores externos tienen acceso completo a todos los recursos y sistemas en línea que necesitan.
Sin embargo, no todo son malas noticias. Desarrollar un marco de ciberseguridad no se trata solo de mitigar el riesgo: también puede mejorar la productividad. En la encuesta de Tenable de 2016, el 95% de los encuestados con un marco establecido han visto beneficios, incluida una mayor efectividad de las operaciones de seguridad, cumplimiento contractual, madurez y la capacidad de presentar de manera más efectiva la preparación de seguridad al liderazgo empresarial.
Descubre cuáles son tus áreas de riesgo empresarial
Una vez que tengas un marco de gestión de riesgos eficaz, es hora de evaluar honestamente las vulnerabilidades de seguridad cibernética más peligrosas que enfrenta tu empresa y priorizar aquellos riesgos que tendrán el mayor impacto en la sostenibilidad de tu negocio.
La mayoría de las empresas de análisis de ciberseguridad dividirán los tipos de amenazas que enfrenta la empresa en cinco elementos:
- La seguridad física de sus sistemas y hardware, que incluye marcos de Control de acceso y Confianza cero.
- Seguridad del perímetro de la red, que incorpora la detección de intrusiones, su mitigación y el endurecimiento de los terminales.
- La seguridad de las comunicaciones internas. Este es un campo amplio que incluye tácticas para limitar las fugas y pérdidas de datos, así como sistemas para combatir las amenazas internas, que siguen siendo algunas de las vulnerabilidades más peligrosas que enfrentan las empresas.
- La respuesta a incidentes también debe ser una parte integral de cualquier estrategia de ciberseguridad. Incluso la pila de herramientas de ciberseguridad más segura no puede brindarte una protección del 100% contra todas las amenazas, y la forma en que respondes a los ataques exitosos suele ser el elemento más importante en la sostenibilidad empresarial continua.
- Finalmente, tu estrategia debe incluir la respuesta a largo plazo a los ataques exitosos, que incluye un proceso de análisis forense cibernético, investigación y estrategias de litigio después de un ataque.
Estos cinco elementos también están contenidos en lo que sigue siendo el marco más completo para planificar la estrategia de ciberseguridad: el marco NIST. Este marco incluye cinco principios (identificar, detectar, proteger, responder y recuperarse de las amenazas) que reflejan los anteriores y presentan un enfoque de principio a fin para hacer frente a las ciberamenazas.
Adopta un enfoque de seguridad de varias capas
Con una estrategia de ciberseguridad implementada, puedes comenzar a invertir en las herramientas necesarias para proteger tus datos (y a tu personal) de las ciberamenazas. El valor de concebir tus sistemas como una serie de elementos, y de seguir el marco NIST junto con esto, es que este enfoque resalta que tu red no es un todo monolítico. Debes defender cada nivel de tu sistema, y cada una de estas herramientas defensivas debe basarse en la anterior.
Hay dos lecciones principales que se pueden extraer del tipo de análisis que hemos explicado anteriormente. Una es que las empresas deben equilibrar su gasto en ciberseguridad en los cinco elementos de la seguridad de tu red, porque en última instancia, la seguridad de tus sistemas es tan buena como la de la parte más débil.
La segunda es que apunta a un paradigma defensivo que primero fue popularizado por la NSA, pero ahora es una parte fundamental de la estrategia de ciberseguridad de la mayoría de las empresas: la «defensa en profundidad».
Equilibrando tu pila
El valor principal de la evaluación de riesgos de acuerdo con la rúbrica anterior es que permite a las empresas equilibrar su inversión en herramientas de pila de ciberseguridad de acuerdo con el tipo de datos que tienen y donde sus vulnerabilidades son más graves.
Para las empresas que necesitan proteger cantidades significativas de propiedad intelectual, por ejemplo, es probable que las vulnerabilidades del sistema de respaldo sean una prioridad importante y el área en la que se necesitarán implementar herramientas de ciberseguridad más avanzadas. Este tipo de empresa también debería centrarse en la protección contra las violaciones y la mitigación de intrusiones, ya que contienen datos valiosos (y, por lo tanto, potencialmente vulnerables).
Otro tipo de empresa, digamos una que se centra en la entrega de herramientas SaaS, deberá priorizar una parte diferente de su pila. Una empresa que ofrece la mayoría de sus servicios a través de la web deberá centrarse más en la protección DDoS y la integridad del servidor. En lugar de que el valor se mantenga en los datos, en este tipo de empresa la sostenibilidad está representada por el tiempo de actividad, y esto debería informar las decisiones de compra cuando se trata de crear una pila de herramientas de ciberseguridad.
Defensa en profundidad
El concepto de «defensa en profundidad» es uno que está contenido inherentemente dentro de la idea de una «pila» de ciberseguridad. En la práctica, esto significa que sus defensas deben organizarse como una serie de capas defensivas, cada una construyendo sobre la anterior. También significa que los métodos utilizados por estos mecanismos defensivos deben estar bien diversificados.
La idea central aquí es que a los piratas informáticos se les debe presentar una serie de defensas y contramedidas en aumento. Además de pensar que tu pila te protege en los cinco niveles que hemos cubierto anteriormente, esto también significa que tus herramientas deben hacer uso de la mayor cantidad posible de las siguientes técnicas:
- Software antivirus o de endpoint
- Seguridad del correo electrónico en la nube o protección avanzada contra amenazas
- Seguridad de autenticación y contraseña
- Archivar
- Biometría
- Seguridad centrada en datos
- Continuidad del correo electrónico y DRP
- Cifrado
- Cortafuegos (hardware o software)
- Hash de contraseñas
- Sistemas de detección de intrusos (IDS)
- Registro y auditoría
- Autenticación multifactor
- Escáneres de vulnerabilidades
- Control de acceso temporizado
- Capacitación en concientización sobre seguridad en Internet
- Red privada virtual (VPN)
- Sandboxing
- Sistemas de protección contra intrusiones (IPS)
La defensa en profundidad también significa que las empresas no deben ver sus defensas como un “muro” impenetrable que disuadirá a todos los intrusos. En cambio, debe aceptar que, eventualmente, se violarán algunas de sus defensas de primera línea.
Un buen ejemplo de esto es la seguridad del correo electrónico. La gran mayoría de empresas utilizará el correo electrónico proporcionado por Microsoft o Google. Ambos sistemas vienen con vulnerabilidades de seguridad bien conocidas, y también es bien sabido que la gran mayoría de los ciberataques comienzan con un correo electrónico de phishing.
Intentar detener todos estos ataques a nivel de las bandejas de entrada de los empleados es esencialmente imposible y, al mismo tiempo, brindar la flexibilidad y funcionalidad que los empleados necesitan para trabajar de manera productiva. En cambio, las empresas deberían buscar el siguiente nivel de seguridad: dónde se almacenan los correos electrónicos, que para la mayoría de las empresas será almacenamiento en la nube.
Por lo tanto, la encriptación del correo electrónico y la capacitación del personal son fundamentales para prevenir ciberataques; garantizar una defensa en profundidad también significa implementar soluciones de almacenamiento en la nube encriptadas para el correo electrónico y realizar copias de seguridad de estos archivos encriptados.
Domina la seguridad de tu red
Cuando trabajes en el marco anterior, reconocerás de inmediato que la creación de una pila de ciberseguridad segura probablemente implicará invertir en múltiples herramientas de múltiples proveedores. Esta diversidad es fundamental para garantizar fuertes defensas de ciberseguridad, pero también puede causar problemas.
Esto se debe a que existe una tendencia de las empresas a subcontratar servicios de seguridad para los distintos niveles de sus pilas de ciberseguridad sin pensar detenidamente en las responsabilidades que se deben asignar a cada proveedor.
Además de invertir en herramientas de calidad, tu estrategia de ciberseguridad también debe implicar un mapeo cuidadoso de cuáles de tus proveedores están asumiendo la responsabilidad de qué partes de tu sistema: tanto a nivel operativo como cuando se trata de un posible litigio después de un ciberataque.
Idealmente, tu relación con tus proveedores debe considerarse como una asociación comercial, más que como una simple relación entre comprador y proveedor. Los proveedores de calidad pueden ser reconocidos por el tiempo y el esfuerzo que dedican a comprender sus necesidades y su capacidad de respuesta. Un proveedor respetable también podrá delinear sus responsabilidades operativas y legales precisas cuando se trata de proteger tus datos.
Conclusión
Cuando se trata de construir pilas de ciberseguridad, muchas empresas todavía exhiben «fijación de objetivos». Dependiendo del sector en el que trabajen, puede ser tentador centrarse únicamente en una parte de su infraestructura de ciberseguridad: proteger los datos si su modelo de negocio se basa en el análisis y la adquisición de datos, por ejemplo, o intentar hacer que sus plataformas de divulgación sean 100% seguras. si trabajas en marketing.
Como hemos mostrado anteriormente, este tipo de enfoque es problemático porque no te das cuenta de la idea central del modelo de «pila». En lugar de construir muros supuestamente impenetrables alrededor de tu red, debes aceptar que eventualmente alguien se entrometerá en ella.
Al adoptar un enfoque más holístico, puedes mejorar la seguridad en todos los niveles de tu pila, ya sea que estés trabajando con datos de marketing o un ecosistema de IoT, y asegurarte de que no haya grietas en su armadura.