Ciberseguridad: modelos eficientes y efectivos ante el impacto de la covid-19

El impacto de la crisis relacionada con la covid-19 ha afectado pr¨¢cticamente a todos los aspectos de negocio. Ahora, en estos momentos de incertidumbre, es previsible que el entorno econ¨®mico en contracci¨®n afecte de manera relevante a las inversiones en ciberseguridad. Se trata de una situaci¨®n parad¨®jica. Las organizaciones se encuentran ante la dicotom¨ªa de tener que hacer frente a una previsible explosi¨®n de nuevas ciberamenazas durante un periodo de recesi¨®n de los presupuestos dedicados a defenderse.

Los responsables de IT cuentan, no obstante, con la experiencia demostrada durante situaciones anteriores de crisis, en las que el sector de la ciberseguridad ha podido demostrar su eficiencia y utilidad. Adem¨¢s, el sector llega tras vivir tiempos de abundancia. Durante muchos a?os, las organizaciones han tenido presupuestos Cyber en expansi¨®n, al tiempo a la vez una intensa lucha por tratar de adquirir la mejor tecnolog¨ªa y personal disponible. ¡°Ahora, los modelos sofisticados, no orientados a riesgo y que aportan poco valor, deben dar paso a un nuevo modelo de gesti¨®n de la seguridad eficiente, pero tambi¨¦n efectiva, donde se rompen silos y los efectos de cada uno de los dominios de seguridad multiplican¡±, explica de Jorge Hurtado, Chief Sales, Portfolio & Marketing Officer de S21sec.

Hurtado reconoce que ¡°es probable que durante las ¨¦pocas anteriores no hayamos justificado lo suficiente el valor de las inversiones en ciberseguridad. Se recurr¨ªa a la cultura del miedo y las partidas econ¨®micas en cada uno de los ¨¢mbitos de la Ciberseguridad no han estado priorizadas. Adem¨¢s, servicios externos de alto coste, como ciberinteligencia y cibervigilancia, generaron costes desproporcionados y proliferaron nuevas ofertas ex¨®ticas en Ciberseguridad que aportaban beneficios marginales¡±. Adem¨¢s, apunta tambi¨¦n a la complejidad y en ocasiones escasa efectividad de algunas arquitecturas de seguridad o enfoques de detecci¨®n y respuesta y a la agregaci¨®n de m¨²ltiples elementos y servicios de seguridad en estructuras basadas en silos con escasa comunicaci¨®n o sinergias.

Para ser capaces de adaptarse y reinventar la estructura de servicios, las organizaciones comienzan a apostar por modelos de gobiernos y operaci¨®n de ciberseguridad, orientados a proporcionar una seguridad operativa, eficaz y eficiente en t¨¦rminos de costes justificables. Aqu¨ª entra en juego el denominado Thin Security, o Seguridad Delgada, un concepto que permite dar respuesta a esta situaci¨®n apoy¨¢ndose en cinco pilares: la integraci¨®n de proveedores y tecnolog¨ªas, la definici¨®n de una estrategia de procurement optimizada, la conversi¨®n de CAPEX en OPEX, la mejora de la ciber-resiliencia y la consideraci¨®n de la extensi¨®n a un per¨ªmetro distribuido¡±.

Seg¨²n los datos que maneja el equipo de inteligencia de S21sec, los ciberataques han crecido un 300% durante la covid. Pero esta amenaza no es la ¨²nica. Se est¨¢n detectando tambi¨¦n la aparici¨®n de nuevas empresas que ofrecen soluciones de seguridad que ofrecen la promesa de la mitigaci¨®n total del riesgo. ¡°Conviene huir de estas soluciones m¨¢gicas¡±, se?ala Hurtado. El modelo Thin Security permite enfrentarse a los mismos problemas con menos recursos y en el que se trabaja sobre el NIST de ciberseguridad (Identificar, Proteger, Detectar y Responder). Estos son los detalles y drivers de su modelo de gobierno, operaci¨®n y eficiencia:

Identificar. Gobierno

- Establecer unos indicadores claros y efectivos. Por ejemplo: Estado de parcheado, Nivel de Obsolescencia, Bastionado, Gesti¨®n de vulnerabilidades o n¨²mero de incidentes gestionados.

- Gesti¨®n de Vulnerabilidades-Debilidades de Control. Gestionar mediante un backlog ¨²nico ambos elementos as¨ª como las tareas de mitigaci¨®n donde toda la organizaci¨®n est¨¦ representada: tareas, responsables, esquema b¨¢sico de seguimiento y reporte peri¨®dico.

- Establecer modelos de riesgo cualitativos para guiar las estrategias de seguridad. El esquema de activos y medidas cuantitativas es una losa de gesti¨®n y costes que no siempre acierta en el deseado: rojo, amarillo y verde donde enfocarme.

- Reenfocar el cumplimiento a puntos de control reusable para el Gobierno y priorizar lo que agregue valor a la estrategia de seguridad operativa. El propio modelo NIST traducido a controles por niveles de madurez, cruzado con normativas, proporciona un marco de evaluaci¨®n, gobierno, estrategia y t¨¢ctica.

Proteger

- Centrarse en la Gesti¨®n de identidades y el Endpoint como las dos fronteras que definen el nuevo per¨ªmetro que protege los datos corporativos. El teletrabajo multiplica esta necesidad.

- Correo y navegaci¨®n (segundo foco). Para correo no hay que olvidar el esquema de protecci¨®n por capas. Ya con el uso extendido de VPNs, es momento para replantearse pol¨ªticas always on para navegaci¨®n segura y soporte a la prioridad IAM ¨C Endpoint.

- El ¡°poder del cloud¡±: aprovechar su elasticidad, visibilidad, protecci¨®n y resistencia impl¨ªcitas para los activos digitales. Hay que reducir con criterio infraestructura on-premise y la esclavitud que provocan abordando un plan de cloudificaci¨®n de las aplicaciones corporativas de manera nativa, aprovechando todas las caracter¨ªsticas de seguridad que nos ofrece.

- Evaluaciones de Seguridad con targets basados en impacto en clientes y negocio, con proveedores de referencia que tengan costes efectivos.

- Apostar por al menos un ejercicio de Red Team que ponga en contexto la situaci¨®n real frente a un ataque dirigido y una evaluaci¨®n 360 (Protecci¨®n, Detecci¨®n, Respuesta)

- Alineado con la estrategia con foco en EndPoint, apostar por un esquema BAS (Breach and Attack Simulation) gestionado en ejecuci¨®n, an¨¢lisis y mitigaci¨®n o propuestas de mejora.

Detectar

- Huir de las tecnolog¨ªas EPP tradicionales, basadas en firmas y aprovechar el enfoque EDR basado en el comportamiento con la capacidad de responder.

- Alejarse en la medida de lo posible de las soluciones SOC + SIEM tradicionales y personalizadas.

- Alertas pocas y significativas. Efectuar un tuning de las herramientas de seguridad, prioriz¨¢ndolas de acuerdo al riesgo, reevaluando la pir¨¢mide de prioridades o analizando su masa de falsos positivos.

- Sinergias de monitorizaci¨®n. Gestionar alertas en back con pocos t¨¦cnicos o reenviar a otro esquema interno de monitorizaci¨®n: Producci¨®n, Seguridad F¨ªsica o a la propia Oficina T¨¦cnica.

- Repensar la vigilancia digital no cibern¨¦tica y redirigir costes a Protecci¨®n.

Responder

- Confiar en soluciones basadas en el comportamiento, como EDR y detecci¨®n de registro / seguimiento basada en la nube y respuesta automatizada utilizando conceptos como serverless.

- Para respuesta por incidentes, subcontratar un modelo pago por uso con un tercero que tenga un snapshop actualizado de la infraestructura y altas capacidades bajo un SLA.

- Alineamiento entre los equipos de Red Team y Blue Team lo m¨¢ximo posible. Un Purple Team puede ayudar a gestionar el coste de un Red Team.

- Considerar el Ciberseguro como una forma efectiva de cubrir necesidades en caso de incidentes e incumplimientos. Con un esquema de protecci¨®n operativo y demostrable y un esquema de gobierno b¨¢sico, los costes del Ciberseguro son asequibles.

Recuperar

- Confiar en soluciones h¨ªbridas onpremise¨Cnube para el almacenamiento que con cierta habilidad de dise?o y configuraci¨®n proporcionan la misma (o mejor) respuesta a esquemas cl¨¢sicos, tediosos y costosos de backups.

- Apostar por los modelos SaaS que ofrecen soluciones of¨ªmaticas en la nube, decisivos en la contingencia de la covid-19 para aquellas empresas que dispon¨ªan de ¨¦l.

- Los esquemas cl¨¢sicos de continuidad de Negocio despu¨¦s de la covid-19 deben revisarse. Las organizaciones se han dado cuenta de que necesitan una continuidad comercial pragm¨¢tica. El teletrabajo ha cuestionado ciertas catedrales y certificaciones en BCP. Es posible un Thin Business Continuity: un mapa b¨¢sico de usuarios/aplicaciones, un esquema de VPN, equipamientos bastionados y controlados, esquemas VDI, correo y almacenamiento nube etc.