Introducción... 3 Axiomas de la seguridad de la información en la actualidad Defensa en profundidad Recomendación...

Transcripción

1

2 Índice Introducción... 3 Axiomas de la seguridad de la información en la actualidad Defensa en profundidad... 3 Recomendación Controles por tipo de activo... 5 Recomendación Aceptar la consumerización... 6 Recomendación Correlación de eventos Recomendación Proactividad y capacidad de respuesta 7x Recomendación Procesos y buenas prácticas Recomendación Pedir ayuda! Recomendación Recomendaciones específicas sobre qué no hacer Falsa sensación de seguridad Confianza excesiva en la tecnología Conclusiones Referencias y otras lecturas... 21

3 Introducción Los hackers siempre serán hackers, y la seguridad de la información siempre se definirá por las propiedades de Confidencialidad, Integridad y Disponibilidad bueno, al menos hasta que cambie o se mejore el modelo actual! Sin embargo, más allá de invocar una definición del diccionario, este artículo apunta a responder algo mucho más concreto: para un Director de TI (CIO/CTO) o un Director de Seguridad (CSO/CISO), qué representa gestionar la seguridad de la información? Quisiera proponerle abordar este tema desde la perspectiva de cuáles deberían ser los axiomas de una gestión de la seguridad de la información efectiva en la actualidad, es decir, qué es lo mínimo que debemos considerar y hacer para poder proclamar con orgullo que efectivamente estamos gestionando el riesgo de la información y por lo tanto protegiendo al negocio. Vale aclarar de antemano dos cosas: en primer lugar, la selección de los axiomas es absolutamente caprichosa; solamente con base en la experiencia y el aprendizaje recogido en las visitas que realizo habitualmente a empresas de toda la región, he tratado de agrupar en siete axiomas aquellas iniciativas que, además de considerar fundamentales en torno a la seguridad de la información, he tenido oportunidad de comprobar que dan resultado. Por supuesto, algunos de los axiomas pertenecen a normas internacionales, otros son buenas prácticas establecidas en el mercado, y algunos también son opiniones de mi autoría. Sin embargo, sirva también de aclaración, que más que ser original lo que busco es presentar temas que posean relevancia en la actualidad. En segundo lugar, con el ánimo de agregar valor a los axiomas, me animo a compartir algunas recomendaciones asociadas a cada uno de ellos y contribuir a que este White Paper, lejos de ser un ejercicio netamente teórico, se convierta en una herramienta útil de aplicación práctica. Axiomas de la seguridad de la información en la actualidad 1 Defensa en profundidad Creo que nadie se atrevería a negar que hace 20 años todo era mucho más fácil en relación a la seguridad de la información, verdad? Si bien nos preocupábamos ( y mucho!) de ciertos virus en determinadas fechas, el mayor riesgo que podíamos correr era que se borrara el disco del computador. En esa época las amenazas no se distribuían por la red, y el principal método de contagio era la información trasladada en disquetes. Cuando Internet comenzó a ser realmente masivo, y los riesgos en torno a la seguridad de la información aumentaron considerablemente, el modelo que se impuso fue el de la seguridad perimetral. Ese modelo operaba en base a determinados axiomas, los cuales me gusta resumir en una frase: todo lo malo viene de afuera, es decir, que mientras existiera una separación ( punto de control ) entre la red privada y la red pública (o sea, Internet), las amenazas no tendrían por dónde ingresar; y por otro lado, al existir una zona de confianza (es decir, la red privada), no era necesario adicionar más controles por fuera del perímetro. Sé que ya no es ninguna novedad, pero vale la pena decirlo: el modelo de seguridad perimetral está completamente obsoleto, hace años!

4 Qué cosas han cambiado desde aquella época hasta hoy? Repasemos algunas por favor: 1) No existen más zonas de confianza: los ataques pueden venir, literalmente, desde cualquier punto de la infraestructura; de hecho es una verdad establecida en la industria que la mayor cantidad de ataques se originan en la red privada. 2) Los ataques de ingeniería social crecen sostenidamente: este tipo de ataques, que explotan vulnerabilidades en la tecnología y también condicionamientos innatos en los seres humanos, hacen más complicada aún la implementación de controles! 3) Movilidad, teletrabajo y la distribución de la información: en cualquier compañía, la información está hoy en día cada vez más distribuida. Celulares, laptops, servicios de nube pública, sucursales, exempleados, datacenters Y la lista sigue creciendo a medida que los modelos de nube híbrida y las tendencias como consumerización y BYOD (Bring Your Own Device) van en aumento. 4) Crecimiento en complejidad y cantidad de ataques: malware, vulnerabilidades en el código de las aplicaciones, ataques de día cero, amenazas avanzadas (APT), ataques de denegación de servicio (DDoS) e ingeniería social son solamente algunos de los ataques y técnicas más utilizados en la actualidad, con impacto en toda la infraestructura de la empresa. Quizás una de las conclusiones más importantes que podemos obtener aquí es que no existe una solución mágica a todos los posibles riesgos a la seguridad. La única estrategia viable es un modelo que integre diferentes controles, como lo es la defensa en profundidad (defense in depth). Recomendación Es necesario implementar múltiples controles y distribuirlos en la infraestructura de forma tal que los activos más críticos se encuentren protegidos por más controles que los menos críticos. Esta estrategia, que se conoce como defensa en profundidad, debe incluir no solamente el datacenter o los dispositivos en el sitio central, sino también todas las sucursales y usuarios remotos ( teleworkers ). Una de las claves para que una estrategia de defensa en profundidad sea exitosa, es la clasificación de activos de información: si no sabemos qué debemos proteger y por qué, es muy difícil garantizar algún nivel de efectividad. La organización debe conocer los activos de información que posee y cuál es su criticidad para el negocio. Solamente un ejemplo: una empresa del sector retail coloca controles de seguridad en el datacenter y en los accesos externos a la red para evitar la fuga de información confidencial. Sin embargo, en las cajas ubicadas en las sucursales, se utilizan computadores a los que se conectan lectores de códigos de barra, lectores de tarjetas de crédito e impresoras para procesar las transacciones de los clientes. La empresa no sabe que el software utilizado en el computador guarda un log que contiene la información de todas las transacciones. Ese log, que queda almacenado en cada uno de los computadores de las sucursales, sirve a los desarrolladores de la aplicación para verificar el funcionamiento de los cambios y actualizaciones en el software. A pesar de todas las medidas de seguridad implementadas en la red, cualquier atacante con acceso a un computador de una sucursal, puede obtener información confidencial con un mínimo esfuerzo. Claro que conocer dónde se encuentran los activos críticos de información por sí solo no garantiza un mayor de nivel de profundidad, pero cuesta pensar cómo podemos diseñar e implementar una estrategia de seguridad exitosa si éste no fuera el primer paso.

5 2 Controles por tipo de activo Recuerdo la primera vez que leí una versión de la norma BS 7799 (predecesora de la ISO 27001), hace más de 10 años. Si bien toda mi vida me ha encantado leer, confieso que no nací con el talento de recordar frases para citar de forma exacta; en general, siempre recuerdo la esencia de lo que leo (es decir, aquello que me parece subjetivamente más relevante) en vez de las palabras en sí. Al igual que en la ISO del año 2005, una de las primeras cosas que me llamó la atención, fue la referencia a proteger la información en todas sus formas, incluyendo los diferentes medios en los que la información se utiliza en las compañías: no solamente se trata de los datos en formato digital, sino también aquellos que se encuentran en papeles e incluso en las mentes de los empleados. Si bien puede sonar obvio, la realidad es que muy pocas empresas hoy en día tienen en cuenta los diversos procesos por los que atraviesa la información y la forma particular en la que cada uno de esos procesos debe ser controlado y protegido ante amenazas. Sin embargo, hay quienes sí constantemente se esfuerzan por descubrir nuevas formas de explotar vulnerabilidades en la cadena de procesamiento de la información: se conocen habitualmente con el nombre de ciber delincuentes. Hoy en día, la creación de amenazas lleva a los atacantes a operar en un nivel de detalle cada vez mayor, tratando de aprovechar cualquier mínima vulnerabilidad que garantice acceso a los activos de información buscados. Uno de los tantos ejemplos de esto son las amenazas con Stuxnet, diseñadas para atacar una plataforma específica. Seguramente, muchos recuerdan la época en que se podía decir que determinadas plataformas o sistemas operativos eran más seguras porque no eran susceptibles a virus. Luego, eso cambió a que no eran invulnerables, sino que había menos ciber delincuentes detrás de explotar amenazas que en otras plataformas. Ahora, todas las tecnologías son vistas con el mismo potencial de ser vulneradas. Lo cierto es que en seguridad de la información no existe una vara mágica que proteja de todas las amenazas: incluso los mejores equipos de seguridad multi-propósito que, al mejor estilo navaja suiza, incorporan múltiples funciones para la protección de amenazas en una sola caja, en general no poseen el nivel de detalle suficiente para ser igualmente efectivo y eficaz en todas sus funciones. De hecho, muchos administradores experimentan día a día que el crecimiento exponencial de las amenazas y del volumen de negocios realizado en plataformas digitales hace que para no degradar el rendimiento de algunas plataformas de seguridad, es necesario apagar temporalmente algunas funciones, dejando a la empresa efectivamente sin protección ante determinados tipos de ataques. Recomendación Por supuesto que esto no es problema de la tecnología, sino de cómo se utiliza. De hecho, yo mismo recomiendo a diario utilizar equipos multi-propósito para determinadas funciones, sin embargo la clave está en cómo y dónde se utilizan, y fundamentalmente qué otras medidas de seguridad, más específicas, se colocan en los puntos críticos de la infraestructura. Ejemplos de funciones de seguridad específica son: Aplicaciones web: dispositivos como los WAF (Web Application Firewall) están diseñados para proteger ante amenazas específicamente dirigidas contra vulnerabilidades en el código de

6 aplicaciones web. No solamente se trata de aplicaciones hacia Internet, sino también de aquellas que funcionan en la red interna: recordemos que algunas técnicas de ataque se basan en conseguir pequeños trozos de información que, en conjunto, pueden permitir realizar un ataque de mayor envergadura. Dispositivos móviles: es claro que la información en los dispositivos móviles también debe ser controlada, la gran pregunta es cómo? Quizás una de las técnicas más efectivas es la de compartimentalizar el dispositivo: crear un ambiente dedicado para las aplicaciones laborales y de esta manera proteger la información a través de funcionalidades como la autenticación centralizada, encripción o el borrado remoto de datos. Bases de datos: además de proteger los ataques realizados al sistema operativo y el software de base de datos, es necesario también controlar qué tipo de transacciones se ejecutan. Algunos ataques se basan en ganar acceso a servidores que poseen permisos de acceso a las bases de datos y desde ahí ejecutar consultas para obtener información privilegiada. Control de aplicaciones: este punto es particularmente sensible porque es donde la mayoría de las empresas logran poner a los usuarios en contra de las medidas de seguridad. En general, la gran mayoría de los usuarios están de acuerdo en seguir las políticas de seguridad, siempre y cuando éstas no les impidan hacer su trabajo. Si puedo arriesgar una cifra, diría que este número excede el 80% de los usuarios, es decir que el departamento de TI tiene a la mayoría de la empresa de su lado en la aplicación de políticas! La clave es entender qué aplicaciones filtrar y cuáles son las alternativas que los usuarios poseen para acceder a la misma funcionalidad pero a través de herramientas provistas por el departamento de TI. 3 Aceptar la consumerización La buena noticia es que hay veces en las que nadar contra la corriente es no solamente beneficioso sino necesario. La sociedad y su evolución histórica nos ofrecen incontables ejemplos de pioneros que, desafiando las reglas establecidas, alcanzaron cambios que resultaron fundamentales para el avance de la humanidad en su conjunto y el triunfo de valores universales como la libertad, por citar solamente un ejemplo. La mala noticia es que la consumerización, hace diez años una tendencia y hoy una realidad consolidada, no representa para TI una oportunidad de luchar contra la corriente, sino más bien una batalla perdida. Para ser claro: las áreas de TI tienen más para perder que para ganar luchando contra los usuarios. De hecho, se podría argumentar que la consumerización se puede interpretar como el triunfo de los usuarios, aunque yo diría más bien que es el triunfo de los departamentos de marketing de ciertas empresas de consumo versus el de las compañías tradicionalmente orientadas al sector empresarial. Si tomamos como ejemplo dos dispositivos que nacieron completamente fuera del ámbito empresarial pero que hoy están omnipresentes en las empresas como los celulares inteligentes y las tablets de última generación, la realidad es que las empresas de consumo lograron interpretar de una manera más eficiente las funcionalidades más atractivas para los usuarios y de esta forma ganar su aceptación. En este punto, quizás pienso que debería haber comentado antes qué es la consumerización, además claro de una traducción por lo menos dudosa del Inglés consumerization. La definición más académica que conozco es que la define consumerización como la introducción en el sector empresarial de tecnologías originalmente diseñadas para usuarios finales.

7 Mi propia definición, desde el punto de vista de las áreas de TI, es que la consumerización significa que cada vez es más difícil decirle no a los usuarios. Hace 10 años, era típico escuchar a los departamentos de TI decir con orgullo que las políticas de seguridad eran estrictas y que estaban implementadas en toda la organización, con la salvedad de algunas pocas y controladas excepciones (típicamente, los niveles directivos más altos, por ejemplo, no debían pasar por el control del filtro de contenido o no poseían limitaciones para conectar dispositivos a sus computadores). Hoy en día, lo que era una excepción, se ha vuelto la regla: los usuarios deciden con qué dispositivo quieren trabajar, utilizan software no autorizado por TI diariamente para trabajar (como por ejemplo las aplicaciones gratis en la nube para compartir archivos) y crean sus propias soluciones de teletrabajo, entre otras. Es interesante notar que este mismo fenómeno se desarrolla a la par de dos movimientos: La conversión, a nivel mundial, de cómo se entiende y se posiciona el área de TI en las organizaciones: cada vez más, TI debe funcionar como un área estratégica que presta servicios a la organización para aumentar la productividad de los principales procesos de negocios. Hace algunos años, la discusión era si TI debía ser vista como un área de gasto o como un área de inversión. Pues bien, la conclusión es que debe ser un área de servicios. La convergencia, en toda la industria, de las tecnologías de uso empresarial con las de uso personal. Es decir, el departamento de TI ya no cuenta ni siquiera con la ayuda de los proveedores, quienes lejos de fomentar el desarrollo de tecnologías para usuarios y para empresas, están enfocados en integrar ambas necesidades en servicios únicos. Solamente un ejemplo con dos aplicaciones de Microsoft: cuántos de nosotros utilizamos Lync para trabajar y Skype para comunicarnos con amigos y familiares? Pues bien, ahora ambos se integran y las funcionalidades de uso personal y de negocios pueden convivir en una sola plataforma. Cuál de las dos? Acertó: Skype, la que originalmente era sólo de uso personal. Ahora bien, cómo podría TI convertirse efectivamente en un área de servicios si no puede tener a sus clientes (usuarios finales) satisfechos? Sin más, luchar contra la consumerización es luchar contra los usuarios, lo cual definitivamente no es recomendable. Recomendación Ineludiblemente, el primer paso es aceptar la consumerización como una realidad. Lejos de ser una derrota para el departamento de TI, hay que mirarlo como una oportunidad. Seamos sinceros: a pesar de todas las medidas de seguridad implementadas, como proxies, filtros de contenido, incluso sistemas de detección de intrusos implementados como filtros de navegación avanzados (!), los usuarios siempre encuentran la forma de vulnerar las políticas. Recuerdo una de tantas veces en las que, visitando una empresa con múltiples controles de seguridad (que en general buscan como principal medida aumentar la productividad de los usuarios ), podía ver usuarios con sus teléfonos móviles y tablets, navegando por cualquier página o utilizando programas de chat, sin ninguna posibilidad para TI de poder controlarlos.

8 Por supuesto que los controles deben existir! De hecho, son absolutamente necesarios. La gran pregunta es cómo deben ser implementados para ser efectivos. Para esto, me gustaría ofrecer algunas recomendaciones: Pensar en servicios en lugar de controles Hablar de controles es hablar en terminología técnica. Entre expertos en seguridad, es un término adecuado y útil. Pero para referirnos a la experiencia de los usuarios en la organización, no lo es tanto. El área de TI debe pensar en función de servicios, es decir, que cualquier funcionalidad o dispositivo que se agregue en la infraestructura debe proveer un servicio al negocio, y por ende a los usuarios. Si el objetivo del control no le ofrece ninguna ventaja a los usuarios, entonces probablemente no sirva demasiado al negocio tampoco. Puede sonar drástico y hasta a veces riesgoso, pero si logramos pensar en función de servicios, vamos a asegurar que el área de TI sea vista como un contribuidor al negocio por toda la organización. Ud. puede hacer su propia investigación o encuesta: le garantizo que la abrumadora mayoría de los usuarios en la organización, solamente quieren trabajar de la forma más productiva. Cuidar la implementación En general, el problema de muchas recomendaciones, es que son tomadas en forma aislada cuando en realidad están diseñadas para formar un sistema. Este es el caso cuando hablamos de consumerización. Pensar en servicios no se trata de otorgar un si automático a cada dispositivo o software nuevo que aparece. Se trata de implementar controles de forma integral, considerando que la funcionalidad que el usuario necesita, siempre se mantenga. Algunos ejemplos: Redes de Wi-Fi para navegación, separadas de la red corporativa: por supuesto que no se trata de ofrecer un canal de Internet de 1 Mbps para usuarios y desincentivar su uso, sino que se trata de ofrecer un servicio bueno para incentivar que los usuarios lo utilicen pero a través del cual se puedan implementar controles no intrusivos y desde el cual exista una separación física entre la red privada y la red pública. De esta manera, los usuarios son invitados a utilizar sus dispositivos personales a través de esta red. De esta manera, no sería descabellado para TI implementar un proceso de registro de dispositivos, y obtener de los usuarios una firma para una política de uso aceptable de la red. Imagino que los usuarios aceptarían gustosos de obtener un mejor servicio, aprobado oficialmente por la compañía. Políticas de BYOD (Bring Your Own Device): parte de aceptar la consumerización es entender (y reconocer) que los usuarios se identifican cada vez más con sus dispositivos. Así como en una época ocurría, por ejemplo, con las marcas de ropa, hoy ocurre con las marcas de dispositivos. Incluso, a pesar de que la evidencia técnica indique lo contrario! (en este momento, por ejemplo, pienso en los auriculares: algunas de las marcas más populares, utilizadas incluso por estrellas del mundo deportivo y del espectáculo de forma casi uniforme, son las que peores calificaciones en términos de calidad de sonido reciben por los audiófilos). No es exagerado decir que, por ejemplo, para el usuario que invierte una suma considerable de dinero en comprar un computador bastante más caro que el promedio con el afán de disfrutar de una tecnología y pertenecer a un grupo selecto de personas que se identifican con los valores de esa marca, puede resultar hasta traumático tener que utilizar otra marca de equipo en el trabajo que no le representa lo mismo. El mismo ejemplo aplica para el teléfono celular corporativo, y en general cualquier dispositivo que puede ser utilizado tanto para trabajar como para el uso personal. En estos casos, permitirle al usuario utilizar sus propios dispositivos es una muy buena alternativa. Es verdad que BYOD (traducción: traiga su propio dispositivo ) exige más al

9 departamento de TI, pero ahí donde hay un servicio prestado hay una oportunidad de agregar más valor al negocio! Controles de contenido: una buena forma de entregar seguridad sin implementar controles intrusivos son los filtros de contenido, en un sentido amplio. Por ejemplo, en lugar de prohibir el acceso a sitios de correo electrónico personal, es más efectivo verificar que no se esté divulgando información confidencial a través del análisis de mensajes y archivos adjuntos. De esta manera, los usuarios que hacen un uso adecuado de los servicios pueden utilizarlos, y la empresa siempre tiene la oportunidad de filtrar las actividades maliciosas o que no se alinean con las políticas de seguridad. Conocer y entender al usuario Debe existir, por parte de TI, un esfuerzo sincero por conocer a los usuarios y adaptar, en la medida de lo posible, las políticas sobre tecnología, seguridad y dispositivos, para encontrar áreas de coincidencia entre las necesidades del negocio y las del personal. Si aceptamos que TI debe ser un área de servicios, conocer al cliente debería ser una prioridad. Solamente dos ejemplos: Muchas áreas de TI ven a los servicios de compartición de archivos en nubes públicas como un enemigo. Si bien tiendo a coincidir en esa apreciación cuando se trata de servicios no controlados por la empresa, la pregunta que queda por hacer es qué alternativa ofrece la organización? De nuevo, la mayoría de los usuarios va a preferir utilizar un servicio corporativo para compartir archivos. A su vez, tener ese servicio corporativo disponible, otorga el derecho de filtrar los servicios no autorizados. Cuántos usuarios trabajan hoy en día desde su casa? Me refiero a quienes lo hacen uno o dos días por semana. Cuántos lo hacen de forma oficial, es decir, con el reconocimiento y apoyo de TI? La época en la que todos trabajábamos desde la oficina, al mismo tiempo, siguiendo las mismas rutinas horarias, está tendiendo a desaparecer. Es responsabilidad de TI otorgar las herramientas para que los teletrabajadores puedan desarrollar sus funciones con normalidad sin necesidad de utilizar aplicaciones y servicios no autorizados. Qué tan satisfechos están los usuarios con el servicio que brinda TI? Sé que normalmente suena peligroso preguntar esto, pero créanme que en todo el mundo está comprobado que los beneficios de largo y mediano plazo son mucho más valiosos que las posibles decepciones de las primeras encuestas. Hay muchas formas de medir la satisfacción de los usuarios para obtener realimentación sobre oportunidades de mejora. Me gustan los sistemas basados en Net Promoter Score (NPS) porque son relativamente fáciles de implementar y ofrecen información muy valiosa. Sin embargo, más allá del sistema, es importante también el claro mensaje que se transmite a la organización cuando el área de TI se convierte en un área de servicios que se preocupa (y ocupa) de la satisfacción de sus clientes internos. Educación y comunicación Existe una falsa percepción de la educación en general como la transmisión de conocimientos en un sentido (por ejemplo, desde el maestro hacia el alumno). En cambio, todos aceptamos que la comunicación debe ocurrir en dos direcciones. Es por eso que cuando hablamos de concientizar al usuario para contarlo como aliado en la implementación y el respeto de las políticas de seguridad de la organización, nos referimos sin duda a una transmisión de conocimientos pero considerando la opinión y la visión también del usuario final. Particularmente en los primeros años desde el 2000, el auge de los programas de concientización de usuarios ( security awareness como se lo conoce en Ingles) ofreció a las empresas cursos (presenciales y

10 on-line) impartidos en un solo sentido que los usuarios debían tomar por obligación. Bueno, quizás no debería usar tanto el tiempo pasado aquí ya que todavía seguimos viendo este tipo de entrenamientos en muchas compañías. Algunas organizaciones comenzaron a reconocer la importancia de considerar los intereses de los usuarios en los entrenamientos como una forma de aumentar su efectividad, e incluso reconocen que la consumerización les ofrece una ventaja única: la convergencia entre las medidas de seguridad necesarias en la organización y en la vida personal. Las recomendaciones de seguridad son, en su mayoría, las mismas, pero sin duda son mucho más interesantes y relevantes para los usuarios cuando son presentadas, por ejemplo, como recomendaciones para mejorar la seguridad en sus transacciones online personales y para protegerse del robo de identidad. De la misma manera, para que los entrenamientos de concientización sean más efectivos, deben necesariamente actualizar su contenido año a año ( cuántos hemos visto los mismos slides por, digamos, tres años seguido?) y también funcionar en dos vías: como verdaderos talleres donde se abran espacios de discusión y oportunidades de compartir experiencias de la vida real. Adicionalmente, el entrenamiento formal debe ser segmentado (orientado solamente hacia quienes deben recibirlo) y premiado adecuadamente: es de fundamental importancia incentivar a los usuarios a estar siempre actualizados en sus competencias laborales, incluyendo la seguridad de la información. La justificación desde el punto de vista del negocio es muy sencilla: tiene mucho más poder lo que uno sabe y acepta como correcto, que lo que se impone como una regla a cumplir sin saber por qué. 4 Correlación de eventos Cada vez que me toca hablar de este punto me gusta usar una analogía. Muchos de nosotros hemos visto y recordamos la película Matrix, verdad? Quienes todavía sean demasiado jóvenes y no la hayan visto, muy probablemente la vayan a disfrutar, en particular la primera de la saga. Sin embargo esto no se trata de recomendaciones cinematográficas, para lo cual claramente no estoy adecuadamente calificado. La cuestión es que uno de los principales logros del bando de los buenos en Matrix, ocurre a partir de que son capaces de descifrar el lenguaje a través del cual los malos se comunicaban y organizaban todas las actividades que ocurrían en la matriz. La forma en la que esa decodificación tomaba lugar, era a través de unas pantallas de computador en la que jeroglíficos de color verde circulaban de arriba hacia abajo, superponiéndose en algunos casos unos a otros. Algunas pocas personas con un entrenamiento especial eran capaces de interpretar, en tiempo real, el significado de los jeroglíficos y de esa forma sabían exactamente qué era lo que estaba ocurriendo y podían advertir a sus compañeros de posibles peligros y rutas de escape, entre otros. Claramente, se trata de una película de ciencia ficción. Qué tiene que ver una película filmada el siglo pasado (sí, es de 1999!) con una de las técnicas más avanzadas en el ámbito de la seguridad de la información? La realidad es que si uno mira, por ejemplo, la consola de información de un sistema IDP/IDS (detección y prevención de intrusos) intentando entender los eventos de seguridad que circulan por la infraestructura en tiempo real, lo que uno puede observar se parece mucho a las pantallas con jeroglíficos de Matrix!

11 Lo cierto es que la complejidad de los ataques, el crecimiento en cantidad de los mismos y también la gran variedad de dispositivos y aplicaciones que generan eventos en tiempo real, hace imposible hoy en día para un ser humano poder interpretar qué es lo que ocurre en la red con sólo mirar una pantalla. Tengamos en cuenta que es perfectamente normal, por ejemplo, para un sistema IDP/IDS, generar más de eventos por hora. Si a esto le sumamos que según el modelo de defensa en profundidad los controles deben ser variados y estar distribuidos en la infraestructura, el número de eventos crece geométricamente con los controles justificando aún más la necesidad de sistemas de apoyo que puedan hacer las cosas que los seres humanos no podemos. Recomendación La correlación de eventos hace referencia a una combinación particular de servicios y funcionalidades que permiten: Recibir gran cantidad de eventos en tiempo real, desde múltiples orígenes (típicamente: servidores, aplicaciones, equipos de red (routers, switches, access points) y soluciones de seguridad). Interpretar, en tiempo real, los eventos recibidos según una serie de reglas (normalmente llamadas directivas de correlación o reglas de correlación ). Agrupar los eventos según determinados tipos de ataques y generar, en tiempo real, una calificación de riesgo que permita entender qué riesgo potencial implica cada grupo de eventos para la infraestructura, y cómo evoluciona ese nivel de riesgo en el tiempo. Claro que está que a medida que la tecnología evoluciona, las funciones que se incorporan a la correlación de eventos también crecen. Podemos encontrar estas soluciones en el mercado bajo el nombre de SIEM (Security Information and Event Management). Sin embargo, más allá de dar definiciones, me gustaría resaltar tres características únicas que la correlación de eventos aporta a una organización. Así como en matemáticas muchas veces se realizan demostraciones comenzando por asumir algo que se cree imposible ( demostración por el absurdo ), me voy a centrar en responder cuatro preguntas que normalmente, para la mayoría de las organizaciones que no utilizan la correlación de eventos, no tienen respuesta. Cómo está la seguridad de la red en este momento? Cuando hablamos de sistemas de seguridad, mucho de lo que se dice en el mercado es que mientras más seguridad exista en la organización, el CIO (Chief Information Officer) y el CISO (Chief Information Security Officer), entre otros, van a poder dormir más tranquilos. No es menos cierto que, una vez que se despiertan de su placentero sueño, deben poder entender rápidamente en qué situación se encuentra la infraestructura. Hay algún riesgo para los principales procesos de negocio? Hay algún incidente crítico ocurriendo, o mejor aún, existe algún riesgo incipiente con capacidad de generar un incidente crítico? Hubo algún cambio significativo en la infraestructura? La capacidad de conocer el nivel de riesgo de la red en tiempo real, y en cualquier momento, es una de las características de las soluciones de correlación de eventos. Cuál es la prioridad en materia de seguridad de la infraestructura? La mayoría de las organizaciones en la actualidad no poseen personal dedicado a seguridad de la información. Incluso para aquellas que poseen personal dedicado, la realidad es que las obligaciones del

12 día a día y de los proyectos en curso dejan poco tiempo real para ser dedicado a la evaluación y tratamiento de las amenazas en tiempo real. Sin importar con cuántos recursos de personal, hardware y software cuenta la organización, es la propia dinámica del negocio la que hace que no haya tiempo para dedicarse a ciertas actividades. Qué hacer, entonces, ante esta realidad? Sería muy bueno poder contar con un análisis de eventos de seguridad que ayude a las empresas a determinar dónde están las prioridades. Así mismo, sería bien interesante saber qué está ocurriendo en la seguridad de la red mientras nadie está particularmente enfocado en eso. Una de las características de los sistemas de correlación de eventos es que son capaces de analizar cada evento que ocurre en la infraestructura, algo impensado para un ser humano. Algunos ataques, incluso contando con sistemas avanzados de detección, son muy difíciles de reconocer, y mucho más aún cuando se cuenta con poco tiempo. Ejemplo sencillo: un usuario con muchos intentos de autenticación fallidos quién tiene tiempo para detenerse a observar esto? Sin embargo, según de qué usuario y qué computador o servidor se trate, el nivel de riesgo puede variar significativamente, sobre todo si se considera que podría tratarse de un ataque de fuerza bruta! No solamente la correlación de eventos ayuda a dormir mejor, también contribuye a distribuir los esfuerzos y los recursos de la forma más efectiva posible. Qué avanzamos desde la última auditoría? Cualquiera que haya pasado por una auditoría sabe que siempre existe un cierto componente de incertidumbre. No importa qué tan bien se haya preparado la organización, las auditorías son momentos críticos en los cuales las personas se sienten a prueba. A pesar de lo expuesto, siempre sostengo que el resultado de una auditoría no puede ser un misterio. Cuántas empresas se apresuran por solucionar los problemas detectados en la auditoría anterior, durante las dos semanas previas a la nueva auditoría? Aún aquellas que poseen sistemas de mejora continua y se comprometen a tratar las oportunidades de mejora a tiempo, qué control poseen sobre las que se relacionan con la seguridad de la información? Otra de las funcionalidades que ofrecen las soluciones de correlación de eventos es permitir visualizar la seguridad de la información y su evolución a través de tiempo. Las más avanzadas también poseen reportes y tableros de comando específicos para las regulaciones internacionales más importantes, como ISO 27001, PCI, HIPPA, etc. Ya sea que se trate de una auditoría formal siguiendo una normativa internacional, o una auditoría interna que involucre, por ejemplo, un test de penetración o un hacking ético, las herramientas de correlación de eventos pueden contribuir a evaluar el impacto de las medidas de mejora implementadas en la infraestructura, permitiendo conocer el estado actual de la seguridad en comparación con períodos anteriores. Qué fue lo que pasó? Muchas veces, los ataques son inevitables. Aún si una organización hace todo lo que está a su alcance para reducir el nivel de exposición al riesgo, no hay forma de garantizar que la información está 100%

13 segura. De hecho, es una máxima conocida en el ambiente de la seguridad de la información que un grupo de hackers determinados y con el tiempo suficiente, puede vulnerar cualquier cantidad de medidas de seguridad. Ante un ataque, dos cosas son fundamentales: Detectar que el ataque ocurrió lo antes posible para poder mitigarlo. Descubrir qué vulnerabilidades fueron explotadas para poder corregirlas. En ambos casos, las soluciones de correlación de eventos tienen mucho que aportar, ya que permiten almacenar y procesar grandes cantidad de eventos, permitiendo realizar todo tipo de consultas históricas. De nuevo, las más avanzadas, incorporan incluso funciones de análisis forense y análisis avanzado de tráfico para detectar amenazas desconocidas ( zero-day attacks ) y contribuir con información lo más detallada posible al estudio de las amenazas. Ahora bien, quizás un ejemplo más representativo (y por qué no, un poco más positivo también) de cómo un servicio de correlación de eventos puede ayudar a diagnosticar y prevenir ataques, se da en el caso de las amenazas persistentes avanzadas (APT, por sus siglas en inglés, que corresponden a Advanced Persistent Threats). En general, para que las amenazas de este tipo sean exitosas, deben producirse una serie de intrusiones que finalmente dan lugar al objetivo deseado. Pues bien, la detección de estas intrusiones intermedias, quizás no tan riesgosas pero necesarias, son las que pueden dar lugar a detectar el comportamiento anómalo, asociarlo con un ataque de mayor envergadura, y mitigarlo. Los servicios de correlación de eventos contribuyen a detectar eventos de seguridad que normalmente pasarían desapercibidos, así como también aportar la información de trazabilidad para detectar el origen de los ataques y contribuir a su mitigación. 5 Proactividad y capacidad de respuesta 7x24 Cuál es la principal ventaja ante un ataque de cualquier tipo? La cantidad de recursos económicos, la cantidad de personal, la capacidad de artillería? Seguramente, todos ellos suman a la posibilidad de realizar un ataque exitoso, pero ninguno constituye por sí mismo una ventaja esencial. La principal ventaja que un atacante puede ejercer sobre su adversario es, sin duda, la sorpresa. En el caso de la seguridad de la información, esto es particularmente cierto. La mayoría de las empresas hoy en día no cuentan ni siquiera con los sistemas que les permitan detectar ataques ocurriendo en el momento. Así de preocupante es la situación hoy en día: en general, la mayoría de las organizaciones no alcanzan un estándar mínimo en materia de seguridad de la información. Repasemos uno de los principales y más publicitados ataques en 2014: el sufrido por la empresa Target. Se estima que este ataque produjo beneficios para los atacantes de alrededor de U$S 50 millones. Incluso considerando que de los alrededor de 40 millones de datos de tarjetas de crédito robados, solamente entre 1 y 3 millones fueron efectivamente negociados en el mercado negro. Sin embargo, lo que me interesa destacar de este caso, es qué diferencia puede hacer la sorpresa frente a otras características de un ataque. A pesar de contar con herramientas avanzadas de detección y tratamiento de amenazas, y a pesar de haber contado con múltiples alertas sobre actividad maliciosa en la red, no fue posible evitar o mitigar el ataque. Los recursos estaban ahí, disponibles para ser utilizados, pero nadie pudo reaccionar a tiempo.

14 Muchas otras historias bien conocidas en el ámbito de la seguridad de la información están asociadas a los ataques de ingeniería social, en los cuales se aprovechan características inherentes de los seres humanos como la tendencia a confiar demasiado para lograr accesos no autorizados a activos de información críticos. Nuevamente, mientras todos los esfuerzos de protección se centran en la infraestructura de red, la intrusión de produce por el lugar menos pensado. Otra de las características de los ataques informáticos en la actualidad es su característica global: así como en la región países como Brasil y México aparecen al tope de la generación de ataques, también otros viejos conocidos como China y Rusia continúan ofreciendo su cuota creciente de ataques. El resultado: 24 horas de riesgo sostenido, a través de diferentes usos horarios. Eventos de seguridad durante el día y la noche, tratando de aprovechar cualquier ventaja que sea posible, incluyendo los días y horarios en los que el personal de seguridad y TI no se encuentra en sitio. Tengamos en cuenta que no solamente importa la capacidad de detectar el ataque (como todos debimos haber aprendido luego del ataque a Target), sino que es igual de crítico poseer capacidad real de respuesta una vez que se ha detectado un incidente. Nuevamente, quiero utilizar un ejemplo de otra disciplina: la continuidad de negocios. Muchas empresas se vanaglorian de poseer verdaderos planes de continuidad de negocios implementados. De hecho, pueden mostrar que poseen verdaderos sitios de réplica, procesos de transferencia de las operaciones de producción a los sitios secundarios, herramientas de software, hardware redundante, conectividad redundante, personal entrenado de nuevo, todo perfectamente comprobable y en su lugar. Sin embargo, también saben que tener que poner en marcha el plan de recuperación ante desastres (DRP, Disaster Recovery Plan, por sus siglas en Inglés) puede llegar a ser aún más traumático que la propia amenaza! En general, si la duración de la indisponibilidad se estima en 8 horas o menos (efectivamente, un día hábil), la gran mayoría de las empresas optarían por medidas de mitigación menores antes que activar el plan de continuidad del negocio. De hecho, he podido comprobar casos en los que la empresa decide esperar hasta cuatro días (si, casi una semana!) con tal de no tener que afrontar las consecuencias del plan de recuperación ante desastres. Y es que toda acción tiene sus consecuencias: por diferentes razones, que cambian de empresa a empresa, los procesos de continuidad de negocio que efectivamente pueden restaurar la operación de los procesos críticos de negocios, muchas veces presentan riesgos iguales o mayores a la amenaza que se trató de mitigar al momento de tener que restaurar la operación al sitio principal, lo que se conoce normalmente como fail back (restauración). Lo mismo ocurre con la seguridad de la información: muchas veces vemos que se implementan controles y políticas con el objetivo honesto de disminuir el nivel de exposición de la organización, pero sin considerar cuál es la capacidad de respuesta real ante incidentes que se posee. Recomendación Parece obvio preguntar por qué esto es importante, pero lo cierto es que vale la pena mencionar que en seguridad de la información, la experiencia indica que generalmente un poco tarde es sinónimo de demasiado tarde.

15 El principal objetivo de cualquier sistema de seguridad debe ser la prevención: definida coloquialmente, la proactividad es la capacidad de evitar sorpresas. Sin embargo, de una forma más práctica, la proactividad es también la capacidad de reacción ante amenazas o eventos que no necesariamente son críticos en sí mismos, pero que pueden dar lugar a riesgos mayores. Es decir, existe una relación directa entre la proactividad y la posibilidad de reaccionar con inmediatez. Qué necesita una organización para poder garantizar proactividad en la gestión de la seguridad de la información? Entre muchas otras cosas, algo que normalmente no se encuentra en la mayoría de las empresas: recursos expertos disponibles, todo el tiempo. Entiendo muy bien las limitaciones que muchas empresas, cuyo negocio no está centrado en la seguridad de la información sino, por ejemplo, en la producción o distribución de bienes de consumo, podrían enfrentar a la hora de justificar una estructura de recursos expertos para garantizar capacidad de reacción ante amenazas incluso en horario extendido. Sin embargo, nos estaríamos engañando a nosotros mismos si creyéramos que esto no es necesario. Por supuesto que existen alternativas, como se describen también más adelante en este documento. De cualquier manera, lo primero para solucionar un problema es reconocerlo: no solamente se trata de ser conscientes de los riesgos, sino también de los recursos disponibles para su tratamiento y mitigación. Solamente de esa forma será posible trabajar en mejorar y reforzar la seguridad de la información de la empresa. 6 Procesos y buenas prácticas Cuántas veces escuchó, o Ud. mismo le dijo a alguien, que no tiene sentido tratar de reinventar la rueda? Bueno, quizás algunos gurús de la innovación estarían en desacuerdo, pero hay ciertas disciplinas en las cuales uno debe ser particularmente cuidadoso. En cualquier caso, no se trata de negar la innovación, sino aprovechar los recursos existentes de le mejor manera, hasta que exista una forma mejor y consensuada sobre cómo hacer las cosas. En este sentido, la seguridad de la información es una disciplina que se nutre permanentemente de experiencias, tanto exitosas como fallidas, para desarrollar buenas prácticas que contribuyan a disminuir el nivel de exposición de una organización. Una pequeña anécdota: es bien sabido que la zona de la Florida, en los Estados Unidos, es particularmente susceptible a huracanes. De hecho, son bien conocidos los casos en los que los huracanes han ocasionado verdaderas catástrofes. Ahora bien, es claro que los huracanes no pueden evitarse: inevitablemente van a ocurrir. Algo similar ocurre con los ataques informáticos. Al menos, confío en que ya no quedan personas que honestamente piensen que su organización, por causa de algún milagro, no va a ser atacada. Pero volviendo al ejemplo de los huracanes, uno sabe que algún día, inevitablemente, alguno va a llegar. Qué se puede hacer entonces? Mitigar los riesgos, por supuesto! Así es como los códigos de construcción han evolucionado consistentemente en la Florida para incluir cada vez más medidas que permitan mitigar el impacto dañino de los huracanes. En cada uno se descubren nuevas oportunidades de mejora, es cierto, pero al menos se hace el mayor esfuerzo posible

16 por no volver a sufrir los problemas de los huracanes anteriores. De nuevo, cualquier similitud con los ataques informáticos, no es pura coincidencia. Algo similar ocurre con las normas y estándares internacionales en seguridad de la información: quienes participan en la escritura y revisión de los mismos son profesionales del ambiente que aportan su experiencia tras haber vivido incidentes de seguridad con el fin de que otras organizaciones no deban pasar por el mismo proceso traumático de aprendizaje sino que se beneficien de las conclusiones y las oportunidades de mejora implementadas. Para apuntar solamente un ejemplo: uno de los problemas que se buscó mitigar frente a los huracanes, es evitar que se arrastren los techos de las casas. Así es: muchas de las casas en la Florida poseen techos de madera que, al momento de llegar un huracán y atravesar alguna de las entradas a la casa (típicamente, una ventana), por la diferencia de presión generada, simplemente son despegados de la estructura y arrastrados hacia arriba sin que nada puedan hacer los habitantes de la casa para detenerlo. Debido a la gravedad de la situación, la forma de mitigar este problema debe combinar varias medidas de seguridad, incluyendo una forma completamente diferente de asegurar el techo a la estructura de la casa (diferentes tornillos y formas de sujeción fueron creadas e incorporadas al código de construcción) así como también las persianas anti huracanes ( hurricane shutters como se las conoce en Ingles). De hecho, con un mismo control, se mitigan diferentes riesgos: las persianas anti huracanes también ayudan a proteger a los habitantes de las casas de los objetos que son arrancados y que literalmente vuelan hasta encontrar algún obstáculo, evitando que penetren en las casas. En el caso de la seguridad de la información, ocurre exactamente lo mismo: mientras algunos piensan que las recomendaciones vertidas en normas y estándares internacionales son estrictamente de orden teórico, al momento de investigar de dónde provienen, nos damos cuenta que poseen importantes raíces prácticas y usualmente varias décadas de evolución y probada eficacia. Si bien siempre existen ciertas discrepancias entre los expertos, generalmente éstas se dan solamente cuando se busca un nivel profundo de detalle, pero existe un grupo de recomendaciones y buenas prácticas para el cual existe un consenso generalizado a nivel internacional. Este grupo de recomendaciones ha evolucionado a través de la serie de estándares que comenzó con la norma BS 7799 y hoy constituye un grupo de normas bajo de la denominación ISO El cuerpo de normas ISO pretende abarcar más de 40 estándares que van desde la generalidad del sistema de gestión de la seguridad de la información, hasta normas específicas sobre cuestiones como la gestión del riesgo, la gestión de servicios de terceros, y recomendaciones específicas para ciertos tipos de empresas que manejan habitualmente información confidencial como la industria financiera y el sector salud. Recomendación La principal clave para obtener el mayor valor posible de una norma o estándar internacional, es adaptarlo a la organización. El proceso de adaptar la organización al estándar, algo que en más o menos medida de ocurrir inevitablemente, debe ser gradual y estar cementado tanto en el apoyo incondicional de los más altos niveles directivos como también de los usuarios finales, proveedores, y cualquier entidad que participe en los procesos críticos de negocios.

17 En algunos casos, incluso, es necesaria la participación activa de los clientes. Las empresas del sector financiero lo saben bien: varias han pasado por la experiencia de entregar sistemas de autenticación fuerte a sus clientes con el fin de mejorar la seguridad de sus transacciones, comprobando que la forma en la cual se introducen estos cambios tiene impactos bien diferentes con su aceptación y utilización. A menos que se cuente en la organización con personal especializado y dedicado al diseño e implementación de procesos relacionados a la seguridad de la información, la mayoría de las empresas buscan ayuda externa para la implementación de este tipo de estándares. De hecho, aún quienes cuentan con personal propio reconocen el valor agregado de quienes han pasado varias veces por el proceso de adaptar e implementar un estándar internacional, como una forma de optimizar el proceso de implementación y los recursos asociados. Es importante destacar que para algunas industrias e incluso algunos países, trabajar según buenas prácticas ya no es opcional: normas como FISMA, PCI, HIPPA, leyes nacionales como en Perú o regulaciones para el sector bancario como las existentes en Colombia y Panamá, por nombrar solamente algunos ejemplos, vuelven la adaptación a estándares una actividad obligatoria que debe ser efectuada normalmente en cumplimiento de tiempos estrictos, a riesgo de sufrir penalidades económicas. En cualquier caso, es innegable que aceptar la influencia de estándares probados internacionalmente al momento de diseñar la estrategia de seguridad de la información, ofrece ventajas concretas al negocio, no solamente en términos de mitigación del riesgo, sino también en la optimización de recursos humanos y económicos destinados a la implementación. 7 Pedir ayuda! Si existe una propiedad significativa que define al escenario de amenazas actual, es que las empresas están en inferioridad numérica, pero en un sentido amplio. A nivel de recursos económicos, es bien sabido que los ataques que se realizan en la actualidad tienen fines económicos. Lo que muchas veces no se menciona, es que los ciber delincuentes operan de forma muy similar a como lo hace una empresa legalmente constituida: es decir, buscando las oportunidades que tienen mayor potencial para generar ingresos, y reinvirtiendo el capital ganado para garantizar el crecimiento de la organización. Es decir: a diferencia de un departamento de TI que debe trabajar en función de un Budget fijado de antemano (sobre el cual generalmente hay presión hacia la baja!), las organizaciones de ciber delincuentes cuentan con un flujo de ingresos creciente, que ellas administran, y que pueden reinvertir con total libertad para mejorar su infraestructura, contratar más personal, etc. A nivel de recursos humanos, el tipo de estructura que manejan los ciber delincuentes les permiten tener total flexibilidad para incorporar personal a la medida de cada ataque. Esta flexibilidad se diferencia mucho de lo que ocurre normalmente en una empresa, donde los recursos humanos representan costos fijos que el negocio debe absorber, y que deben pasar a través de procesos de justificación y aprobación, siempre y cuando hayan sido considerados previamente en el presupuesto del año.

18 En definitiva, es claro que a todas luces estamos hablando de una pelea muy desigual para aquellas organizaciones que quieren enfrentarse a los ciber delicuentes contando solamente con sus propios recursos: es prácticamente una batalla perdida antes de comenzar. Incluso, aún para aquellas empresas que pueden darse el lujo de contar con grandes planteles de personal en áreas de TI y seguridad, lo cierto es que mientras los ciber delicuentes están 100% enfocados en la explotación de amenazas, el personal de una empresa debe atender un sinfín de tareas en el día a día, gestionar la implementación de proyectos que se encuentran en marcha, interactuar con proveedores y otras áreas de la organización En la práctica, una mayor cantidad de recursos no garantiza una mayor dedicación a la seguridad, mucho menos en horario extendido. Recomendación Es necesario involucrar recursos de terceras partes (por ejemplo, un proveedor de servicios administrados) que puedan integrarse a los procesos de TI de la empresa para poder ofrecer apoyo en la gestión del riesgo, complementando los recursos existentes en la organización. La única forma en la cual las empresas pueden paliar la desventaja entre su disponibilidad de recursos y la de los ciber delincuentes, es contar con ayuda externa. De esta forma, la empresa cuenta con la tranquilidad de que mientras el personal de TI y seguridad está desarrollando sus tareas del día a día, siempre hay alguien monitoreando la seguridad de la infraestructura, descartando falsos positivos, y trabajando proactivamente sobre las amenazas que son detectadas. Algunas compañías optan por modelos de servicios que incluyen una garantía de horas de soporte con un cumplimiento, pero que no poseen monitoreo ni permisos de acceso a la infraestructura del cliente; si bien este modelo puede ofrecer una mayor sensación de control para la empresa porque los recursos externos son involucrados solamente ad-hoc, claramente esto presenta dos desventajas: la primera, es que no existe proactividad en la detección de amenazas, y la segunda es que el tiempo de diagnóstico de las amenazas se incrementa exponencialmente. Sea cual sea el modelo que la empresa prefiera, es importante tener en cuenta dos cosas: 1) Los proveedores deben ser controlados, la responsabilidad por el control nunca se delega: sin importar cuánta confianza nos inspire un proveedor, la empresa debe dedicar tiempo y recursos a controlar regularmente cómo se está realizando la entrega de los servicios. Aún si es solamente para verificar que todo está bien, la función de control es clave para garantizar una adecuada gestión del riesgo. Es recomendable que la responsabilidad por el control de los proveedores esté formalmente asignada y que se exija, como mínimo, un reporte mensual de resultados. 2) Interpretar los reportes y tomar acción: si bien el hecho de contar con un proveedor de servicios administrados elimina la mayoría de las tareas operativas del día a día relacionadas a la gestión de la seguridad de la información, lo cierto es que también le ofrece a la empresa un flujo regular de información acerca de oportunidades de mejora. Si estas mejoras no son ejecutadas, con el tiempo, el impacto negativo tiende a agravarse. Principales áreas de oportunidad Las principales áreas de oportunidad para la integración de terceros en los procesos de gestión del riesgo son:

19 Monitoreo y soporte 24x7 Gestión de cambios estándar Soporte para gestión de incidentes 24x7 Tratamiento proactivo de alarmas Correlación de eventos 24x7 Soporte en sitio 24x7 Disponibilidad de expertos 24x7 Análisis forense Implementación de controles Auditorías externas Recomendaciones específicas sobre qué no hacer Así como tuve la oportunidad de compartir recomendaciones sobre cuestiones que podrían ofrecer resultados beneficiosos en la disminución de la exposición al riesgo de una empresa, también me gustaría ofrecer algunos comentarios sobre dos puntos en especial. Se trata de cuestiones que recomiendo particularmente no hacer! Falsa sensación de seguridad Quizás una de las principales razones sobre la mayoría de los ataques informáticos, pocas cosas son peores que pensar que la empresa no está expuesta a ningún riesgo concreto. La realidad me ha demostrado que aquellos que dicen nunca haber sufrido un ataque o un incidente de seguridad, en realidad están expresando que no poseen ningún control que les permita detectarlos! Desde el más mínimo y probablemente inocente robo de información hasta la instalación de redes botnet en instituciones financieras, los ataques informáticos son cuestiones del día a día de la realidad de las empresas. De hecho, desde hace algunos años, muchos expertos en seguridad de la información recomiendan que el enfoque correcto para comenzar un plan de mitigación de riesgos, es asumir que la empresa ya fue atacada. Así es: lejos de tratar de parecer invulnerable, debemos asumir la vulnerabilidad y comenzar a trabajar desde esa posición para reducir el nivel de exposición. Lo cierto es que algunas empresas pierden más tiempo en demostrar por qué no están expuestas a riesgos que en efectivamente mitigarlos o detectarlos: la seguridad de la información no es una pelea personal ni tampoco un ataque a la personalidad, es la posibilidad de un impacto negativo en el negocio, incluso catastrófico, que debe ser tratado de la forma más responsable y profesional posible. Confianza excesiva en la tecnología Desde que comencé en este negocio, he visto infinidad de fabricantes de tecnología prometer que han desarrollado la tecnología milagrosa que es capaz de proteger, en forma automática y sin intervención humana, de cualquier tipo de amenaza. Es cierto que en los últimos 20 años las tecnologías asociadas a la seguridad de la información han avanzado significativamente. De hecho, yo mismo me encuentro recomendando a diario diferentes tipos de servicios y tecnologías con el convencimiento fiel de que van a contribuir a disminuir la exposición al riesgo de las empresas.

20 Sin embargo, hay veces en que esta situación me hace acordar a lo que ocurre con los dentistas: a pesar de que los procedimientos odontológicos han avanzado mucho, todavía no se encuentra la cura definitiva contra la caries. Cualquier profesional con experiencia en el ambiente de la seguridad de la información sabe que la única forma de mitigar efectivamente el riesgo es a través de la combinación de, por lo menos, tres factores: tecnología, talento y procesos. Cada uno de los tres es igualmente importante. Por supuesto, es posible pretender ignorar esto y asignar propiedades mágicas a la tecnología para convencerse de que es relativamente más importante que, por ejemplo, contar con expertos y procesos de respuesta ante incidentes. Sin embargo, luego de ataques como el sufrido por Target en 2014, deberíamos repensar si este enfoque es realmente efectivo o solamente un espejismo para generar una falsa sensación de seguridad. La realidad es que así como las cosas bien hechas son una combinación de distintos factores, en el caso de la confianza excesiva en la tecnología también se suceden generalmente varias acciones que contribuyen a aumentar el riesgo: una empresa que está dispuesta a confiar la seguridad de la organización en una combinación de hardware y software, probablemente ni siquiera posea una estructura que permita aprovechar al máximo esa tecnología acompañando, por ejemplo, la detección de amenazas con procesos de respuesta efectiva, o con procesos de mitigación de amenazas para garantizar que no volverán a repetirse. Así como cualquier dentista juraría que desea el desarrollo de una vacuna contra la caries, cualquier profesional de la seguridad de la información desearía también que hubiera métodos y tecnologías probadas que garanticen ( palabra clave!) la mitigación de ciertas amenazas. Créame que es así, nadie dejaría de tener trabajo por eso. Sin embargo, la realidad indica que la confianza excesiva en la tecnología, puede incluso representar riesgos aún mayores para una empresa que el de las propias amenazas, ya que contribuye a generar una falsa sensación de seguridad, y apuntala el convencimiento de que no es necesario hacer nada más para disminuir la exposición a riesgos. Conclusiones Me animo a decir que si Ud. es capaz de implementar estas recomendaciones en su organización, va a poder dormir más tranquilo y decir con orgullo que está gestionando efectivamente la seguridad de la información! Claro que también puede sonar a como cuando uno va al médico a un control de rutina: quizás realmente se sienta bien y esté convencido de que no le pasa nada, pero de cualquier manera el profesional la recomienda: dormir más, hacer más ejercicio, tener menos stress en el trabajo, no beber, hacer dieta Y uno termina preguntándose más bien para qué fue al médico! Bueno, así como el doctor generalmente tiene razón en sus recomendaciones, la realidad es que todos los puntos descriptos aquí son lo mínimo necesario para comenzar el camino de la gestión del riesgo. Sí, todavía existen más cosas por hacer, como el amplio campo de la continuidad del negocio y la digitalización de procesos e integración de plataformas M2M (machine to machine). Más aún, si su