“…los colores inciertos y opacos demostraban que, si el artista no conocía su meta, las herramientas más milagrosas no eran capaces de lograrla.“. [Arthur C. Clarke, libro La ciudad y las estrellas]

En el colectivo empresarial público y privado, y en las personas mismas, existe un pánico generalizado y un buen grado de incertidumbre derivado de los repetidos ataques, las cifras en crecimiento de organizaciones afectadas y la premisa de expertos en ciberseguridad acerca de que no se trata de si vamos a ser atacados, sino de cuándo y qué consecuencias se derivarán de ello.

¿DEBEMOS INVERTIR EN CIBERSEGURIDAD?

Esta situación ha hecho que haya un mayor grado de consciencia en la alta dirección de las organizaciones y sean más proclives a invertir en herramientas y soluciones de seguridad. Perro ante el abanico amplificado de oferentes, marcas, modelos de gestión y tipos de herramientas en el mercado, la siguiente pregunta es: ¿en qué tipos de herramientas y cuáles específicamente debo adquirir para estar debidamente preparados para prevenir y enfrentar un ciberataque?

Las múltiples posibilidades de inversión, contrastadas con el presupuesto, que siempre es limitado, hace que la decisión no sea fácil. Por otro lado, existe la necesidad de aprovechar y sacar el mayor beneficio de aquellas en las que ya hemos invertido, o si no es apropiado (beneficio/costo), desistir de ellas, y reemplazarlas por otras que efectivamente sean una mejor alternativa.

Este artículo no pretende agotar la lista de posibles soluciones, ni favorecer a ningún fabricante en particular, tan sólo relacionar algunas herramientas que podrían contribuir para prevenir o enfrentar una situación de un ataque materializado, y, en un nivel superior propiciar el análisis sobre el tipo de inversiones que podrían ser más eficaces en contra del cibercrimen organizado.

UN NUEVO MARCO DE TRABAJO DE CIBERSEGURIDAD: NIST CSF 2.0

Recientemente, en agosto de 2023, el Instituto Nacional de Normas y Tecnología (NIST) publicó el nuevo marco de referencia para reducir los riesgos de ciberseguridad (NIST CSF 2.0). En el marco revisado se destacan las funciones básicas Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. Como se aprecia en la figura:

Figura 1: NIST CSF ver 2.0

De conformidad con los lineamientos de la nueva versión, hemos como propuesta personal, he identificado qué herramientas pueden ser aplicadas a cada una de estas funciones básicas, a fin de ser más eficaz en cada una de ellas.

¿QUÉ TIPOS DE HERRAMIENTAS HAY EN EL MERCADO

A continuación, de manera genérica señalamos los tipos de herramientas asociadas a cada función de la nueva versión del marco de referencia NIST CSF:

Gobernar (GV):

Se incluyen herramientas como las dirigidas para efectuar análisis de contexto organizacional y el establecimiento de estrategias de ciberseguridad, gestión de riesgos en toda la cadena de valor incluida la cadena de suministro; y aquellas que puedan usarse para controlar funciones, responsabilidades y autoridades, políticas, procesos y trámites. Aquí aplican también herramientas de simulación de ataques usando inteligencia artificial, ingeniería de caos (Chaos Testing), y software de juegos para prepararse en la gestión de los incidentes, como parte del entrenamiento a los tomadores de decisiones en momento de crisis.

Identificar (ID):

Aquí relacionamos aquellas herramientas que permiten ayudar a determinar el riesgo de ciberseguridad actual para la organización en cuanto a sus activos, su descubrimiento e inventario controlado, escaneo automatizado de vulnerabilidades y análisis del grado de exposición: Incluimos analizador de protocolos, exploración y mapeo en redes, herramientas inteligentes de detección en: datos, infraestructura básica, hardware, software, bases de datos, almacenamiento, plataformas y sistemas, instalaciones y servicios. También en esta función aplican herramientas de penetración (pentesting), ciber inteligencia de amenazas, análisis de vulnerabilidades, hacking ético y desde luego, aquellas especializada aplicables a lo relacionado con identificación de no-cumplimientos por parte del factor humano. También son muy útiles las herramientas de comunicación especializadas para el manejo de alarmas, árboles de llamadas, notificaciones y escalamientos.

Algunas nuevas herramientas de identificación, están basadas en la aplicación de sensores en los equipos y dispositivos, para detectar procesos de cifrado, por ejemplo: cambios en la temperatura, en el consumo de energía, en el nivel de tensión, etc., y con apoyo de software asociado, se identifican los cambios en variables típicas lo que permite el escaneo del equipo o dispositivo con mayor velocidad para una mejor  oportunidad en la toma de decisiones y/o de manera automática generar acciones que detengan el ataque, estabilicen y eliminen la propagación.

Proteger (PR):                                                                                                     

En esta función aplican herramientas típicas tradicionales de lo que en el pasado se consideraban para la protección del perímetro (firewalls, antivirus, antimalware, antispam, honeypots, SIEM, etc.) y las modernas de salvaguarda para prevenir o reducir el riesgo de ciberseguridad: herramientas de seguridad de datos, gestión de identidad y de acceso, autenticación multifactor (MFA), soluciones de confianza cero (Zero Trust) con microsegmentación, defensa en profundidad; seguridad de plataformas físicas y virtuales, control de acceso a redes (NAC), protección de pérdida de datos (DLP), sistemas de cifrado extremo a extremo, certificaciones SSL/TLS (Secure Sockets Layer/Transport Layer Security), robots para la replicación y copiado de respaldos, herramientas de bóveda para evitar la propagación y contaminación de otros ambientes incluidos los de respaldo;  así como, utilidades para distribución masiva de software, parches y control de versiones. En esta función se incluyen también todas las herramientas que se utilizan para el desarrollo seguro de software, ejecución de pruebas, seguridad en contenedores y revisión de código (DevSecOps, OWASP, etc.), y en general aquellas que permiten alcanzar los niveles superiores de madurez durante el ciclo de vida del software (SDLC).

Detectar (DE):

Para esta función básica se aplican herramientas de monitoreo y de descubrimiento, detección de intrusiones, ciberinteligencia de amenazas, detección y erradicación de software de explotación de vulnerabilidades (exploits) y eventos adversos, análisis oportuno de anomalías, sistemas de detección y protección de intrusos (IDS, IPS), aquellas herramientas que permitan detectar malware, phishing, fugas, exfiltración de datos, y otros incidentes e interrupciones; herramientas de minería de datos y analítica de comportamiento de usuarios y sistemas; correlacionadores de eventos y en general, todas aquellas que permitan detectar que se está presentando ataques o incidentes de ciberseguridad,  rastreo de amenazas a medida que se propagan por los sistemas.

Responder (RS):

Las herramientas para esta función incluyen aquellas que permiten la gestión de ciberataquesel análisis, el aislamiento para la no propagación, y evitar los desplazamientos horizontales, permiten respuestas en tiempo real, la mitigación de los impactos de los ataques presentados; herramientas aplicadas en respuesta a incidentes, eliminación del malware y análisis forense digital, así como, la notificación y la comunicación de los incidentes sucedidos, sobre lo actuado, la estabilización y posteriormente cuando es resuelto.

Recuperar (RC):

Se utilizan herramientas para recuperar y restaurar activos y las operaciones que se vieron afectados por un incidente, herramientas de gestión para restauración de copias de respaldo y replicación de datos e imágenes de sistemas, automatización de procesos de recuperación/restauración; aquí operan todas las herramientas y recursos relacionados con la recuperación de desastres y continuidad a nivel tecnológico y aquellas de subida de servicios críticos de negocio aplicables de manera priorizada hasta alcanzar la normalidad.

RECOMENDACIONES PASOS PARA DEFINIR EN QUÉ HERRAMIENTAS INVERTIR

1. Determinación de objetivos de ciberseguridad: identificación de procesos/servicios, activos y data críticos a proteger.
2. Evaluar los riesgos de ciberseguridad: identificación de amenazas y vulnerabilidades de elementos críticos, según los objetivos establecidos
3. Revisión de soluciones y herramientas disponibles en el mercado que apliquen a las necesidades y objetivos, inventario de herramientas ya adquiridas y cruce con necesidades no cubiertas.
4. Definición de estrategias a seguir: adquirir herramientas, contratar servicios especializados, soluciones híbridas, uso de AI como integrador de soluciones y herramientas, etc.
5. Análisis y toma de decisiones con base en estrategias, según su beneficio/costo, nivel de integración y compatibilidad, cumplimiento normativo, facilidad de implementación y uso, escalabilidad, tipo de licenciamiento y/o contratación, soporte y capacidad de respuesta, evaluación de proveedores, plan de continuidad, transferencia de conocimiento, referencias, en lo posible realizar pruebas de concepto.

CONCLUSIONES

Cada organización debe considerar su contexto y niveles de exposición. Ahora, ha surgido un nuevo enfoque, en el que se deben balancear las inversiones para darle una mayor preponderancia, a la recuperación de los activos y los servicios identificados como críticos.

La tendencia tradicional de que las interrupciones de seguridad se pueden evitar y la gran inversión debe enfocarse en prevención: por lo cuantiosas, insuficientes y por sus resultados, están en tela de juicio, En esta tendencia se debe considerar si los esfuerzos en la prevención son viables y rentables, para luego si tomar la mejor decisión.

Curiosamente, con las experiencias vividas, en la definición de inversiones también es importante planear el fracaso de los esfuerzos de prevención, y contemplar lo necesario para recuperar la operación, es decir para mantener la disponibilidad y continuidad de los servicios críticos, reduciendo la interrupción y sus impactos.

Tener estrategias definidas, según el apetito de riesgo, y una hoja de ruta para atender un ataque a gran escala, es el primer paso para poder enfrentar un posible desastre. De conformidad con la estrategia se deben seleccionar y adquirir las soluciones.

Existe en el mercado una multiplicidad de servicios, fabricantes y marcas, lo que demanda un análisis concienzudo, para tomar decisiones estratégicas y a partir de allí, realizar adquisiciones e implementaciones inteligentes. no siempre las inversiones en prevención son presupuesto bien gastado.

Es esencial evaluar continuamente las amenazas y ajustar las inversiones y estrategias de ciberseguridad en función de la evolución de los ciberataques y las necesidades específicas de cada organización.