¿Está usted agobiado por el incremento y la sofisticación de los ciberataques?; ¿está inundado de presentaciones, webinars, folletos e información de decenas de fabricantes de ciberseguridad y no sabe cuál comprar?; ¿tiene usted varios proveedores de servicios de ciberseguridad y distintas marcas de productos y esa diversidad se ha vuelto complicada de manejar?; ¿quiere automatizar algunas tareas a través de su SIEM o, incluso, utilizando tecnología de orquestación como un SOAR (siglas del inglés “Security Orchestration, Automation and Response”) pero se da cuenta de que la tarea es mucho más tardada y compleja de lo que le dijo el vendedor?; ¿cuando sucede algún problema en la infraestructura de TI o en los productos de ciberseguridad, se reúnen un montón de áreas de su empresa, algunos proveedores y, a pesar de eso, resulta tardado y laborioso encontrar el problema?; o incluso ¿cuando existe este tipo de problemas en la infraestructura de TI es común que los demás le echen la culpa a ciberseguridad y quieran quitar su infraestructura para arreglar el problema de TI?
Si usted respondió que sí a una o más de las preguntas anteriores, entonces creo que en este artículo podrá encontrar varias ideas que le ayuden a manejar esa complejidad creciente que está sucediendo alrededor de la ciberseguridad, y también, hay que decirlo, alrededor de TI.
A continuación, podrá conocer algunas condiciones que suceden comúnmente en las organizaciones (y con los proveedores), que provocan o exacerban la complejidad:
- Gran diversidad de marcas de productos.
- Responsabilidades poco claras de los distintos involucrados.
- Inexistencia de una visión unificada de la arquitectura de ciberseguridad.
- Documentación incompleta sobre la infraestructura de TI y de ciberseguridad, así como de las aplicaciones y flujos que soportan dichas infraestructuras.
- Inexistencia de procesos formales de soporte técnico y de resolución de problemas.
- Gran cantidad de trabajo manual en la operación de ciberseguridad. Fatiga por múltiples alertas. Poca automatización.
- Complejidad al contratar a la gente.
- Dificultad para preparar al personal.
Recomendaciones
- Asegúrese de tener una estrategia de ciberseguridad completa y por fases. Esta estrategia deberá estar basada en un análisis continuo de los ciberriesgos de la organización, y estar avalada por los altos ejecutivos.
- Tenga siempre actualizada su arquitectura de ciberseguridad. Dicha arquitectura debe traducir una parte de la estrategia hacia los controles tecnológicos necesarios para implementar dicha estrategia (por ejemplo, dentro de la estrategia habrá un apartado para seguridad en el correo que, además de las políticas y procedimientos respectivos, incluya tecnologías como filtrado de correo, prevención de fuga de información o DLP, uno o más firewalls e incluso un EDR, que apoyen en la protección del mencionado correo electrónico); definir cómo interactúan entre sí esas tecnologías y hacia la infraestructura de TI, en dónde se montarán; cómo soportarán los distintos procesos y servicios del negocio e, igualmente, cómo se instalarán y operarán todos esos componentes tecnológicos. Como un soporte a nuestra arquitectura, deberíamos tener siempre un inventario actualizado de nuestros activos informáticos que, además, nos ayudará a proteger mejor nuestra superficie de ataque.
- Evalúe seriamente reducir el número de marcas. Entre más marcas tenga, más complejidad tendrá en conocer distintos productos (y, en su momento, certificar al personal en esas tecnologías), contar con diferentes contratos de soporte, etcétera. Para reducir el número de marcas que utiliza, puede aprovechar que la mayoría de los fabricantes importantes cuentan con varios productos (también llamadas familias o “suites”) y entre los productos de cada marca hay una integración cada vez mejor, además de funciones de automatización. En este sentido, aproveche los XDR (eXtended Detection and Response) que típicamente son varios productos del mismo fabricante que, como hemos dicho, ya tienen mucha integración (y automatización) entre ellos y facilitan muchísimo la detección y respuesta ante incidentes.
- Reduzca el número de proveedores de servicios de ciberseguridad. Si tiene menos proveedores, cada uno de ellos lo va a conocer mejor y podrá tener mejor soporte y atención de ellos. Y será menor la probabilidad de que, cuando suceda un problema, unos a otros se echen la culpa y se provoquen retrabajos, además de que será más fácil comunicarse y coordinar las actividades.
- Si usted opera su ciberseguridad, automatice la detección y respuesta. Si ha decidido tener su propio SOC, además de adquirir un correlacionador de eventos o SIEM (Security Information and Event Management) y muy probablemente un orquestador o SOAR (Security Orchestration Automation and Response), dimensione e invierta en especialistas que puedan configurar y programar casos de uso y “Playbooks” para ir automatizando las labores de correlación y enriquecimiento de los eventos fundamentales para la detección, así como las tareas de respuesta para manejar más ágilmente los incidentes de ciberseguridad.
- No deje la responsabilidad de contratar personal solo a recursos humanos. Colabore con ellos en tener descripciones de puesto muy claras y formas de evaluar las distintas habilidades y competencias de los candidatos. Revise continuamente la competitividad de sus salarios y prestaciones. Como empresa y como área, sea atractivo al mercado de trabajo. Cada vez es más común elaborar una oferta de valor al empleado o EVP (del inglés Employee Value Proposition). Pero, ojo, tenga cuidado en no contratar gente “de cristal”, personas que no están acostumbradas ni dispuestas a recibir presión de ningún tipo y se quiebran ante el menor reto.
- Invierta continuamente en preparar a su personal, no sólo en temas técnicos sino también en habilidades suaves como: comunicación oral y escrita, negociación, trabajo en equipo, por mencionar algunas de las más importantes. Además de prepararlo, debe usted retenerlo, un doble reto. Podría ser útil generar programas de lealtad que le permitirán invertir más fuertemente en el personal (Nota: Esto es uno de los mayores retos a nivel mundial. Formar para contar con gente mejor preparada, que debe ganar mejores sueldos y que queremos retener para tener una mejor ciberseguridad).
- Prepare a su personal de acuerdo con las habilidades específicas de sus roles. Por ejemplo, si alguien es responsable de la administración de un dispositivo de seguridad (eso incluye, sobre todo, el control de configuraciones y cambios) entonces, es fundamental que conozca los detalles específicos de ese dispositivo. Por otro lado, si el personal está a cargo del monitoreo de la seguridad, entonces es más importante que conozca las formas de ataque (por ejemplo, que domine el modelo ATT&CK del Mitre. Este modelo recopila las distintas tácticas, técnicas y procedimientos de un ataque) y que sepa las alertas y eventos que genera ese dispositivo, aunque no domine la forma de configurarlo. De hecho, no recomiendo que una misma persona realice ambas tareas pues es muy difícil encontrar a alguien que sea muy ordenado (como lo requiere la administración del dispositivo) y que además sea creativo y analítico (como lo requiere el monitoreo). A este tema le dedicaremos nuestro próximo artículo: “Habilidades necesarias en cada rol de la ciberseguridad”.
- Para mejorar la continuidad, brindar mejor soporte y resolver problemas en menor tiempo:
- Documente, documente, documente. Sé que es difícil convencer al personal técnico, pero si cuando suceden problemas en la infraestructura no tenemos diagramas actualizados (y con detalle) que brinden claridad a todos los involucrados (a todos) sobre qué elemento o dispositivo está conectado con qué otro, qué puertos utiliza e, incluso, qué tipo de flujos genera, entonces tardaremos mucho más en encontrar el error. Además de poseer diagramas completos y actualizados, deberíamos tener las memorias técnicas a la mano.
- Genere sinergia entre los equipos de trabajo. La posición más común del personal involucrado en un problema, cuando no conocemos la raíz de dicho problema, es revisar su tecnología (consolas, bitácoras, tráfico, etc. etc.) tratando de ver si son ellos los causantes del problema y, cuando no se observa alguna señal clara, declarar: “Yo no soy. Búsquenle por otro lado”. Bueno, quizás no con esas palabras, pero esa es la posición. Y, frecuentemente, todos declaran lo mismo. Aunque esa posición es la más común, no es la ideal para resolver un problema, peor aún si usted es el encargado de la ciberseguridad, pues con frecuencia es el jugador que ha llegado más recientemente a la infraestructura y eso hace que los demás lo vean con mayor inquietud y sea señalado como el posible culpable: “Antes no teníamos este problema, creo que es el firewall que acaban de instalar el causante de esto”. Y entonces el personal técnico de ciberseguridad se vuelca a demostrarle a los demás que ellos no son. En fin, si queremos resolver el problema ágilmente, debemos lograr sinergia entre todos los responsables. Eso es más fácil decirlo que lograrlo. A continuación, le comparto algunas recomendaciones.
Antes de que suceda un problema:
- Logre entendimientos comunes. Reúnanse los distintos responsables técnicos de TI (Operaciones, Desarrollo, Soporte, etc.) y de ciberseguridad, y compartan su entendimiento del sistema (diagramas, herramientas para gestionar y monitorear, bitácoras y alertas que pueden recibir en sus consolas). En estas reuniones deben estar también los proveedores de servicio, los distribuidores de tecnología e, idealmente, también los fabricantes (vendors). El objetivo es que todos los involucrados, como hemos dicho, tengan un entendimiento común pero también que no trabajen en silos. Cada jugador debe entender no solo su parte, sino la de los demás (a nivel general, claro). Por ejemplo, ¿qué pueden ver y accionar cada uno dentro del sistema? De los distintos entendimientos particulares conformen una realidad común, una vista de punta-a-punta del servicio.
- Defina las responsabilidades de cada una de las partes y sus interacciones. Asegúrese de que cada persona entiende sus responsabilidades, así como la dependencia de las otras áreas. De ser posible, haga simulaciones de escritorio de los problemas que podría tener el sistema. Por ejemplo, ¿qué tipo de alertas o en qué consola podremos ver si hay lentitud en un aplicativo debido a …?; si un determinado enlace, servidor o dispositivo deja de funcionar ¿quién va a poder verlo y quién(es) debe(n) actuar?; etcétera. Adicionalmente, utilizar una matriz RACI puede ser útil. Esta matriz especifica, para cada tarea o grupo de responsabilidades quién será el ejecutor o encargado (la “R” de “responsible” en inglés), quién es el verdadero responsable (la “A”” de “accountable”), quién debe ser consultado (la “C”) y quién debe ser informado (la “I”).
Cuando suceda el problema:
- Debe quedar claro para todos los involucrados cuál es el problema específico que se está presentando.
- De la misma forma, ¿qué información y evidencias tenemos del problema?
- ¿Qué hacemos? Si hemos trabajado en prepararnos (ver la sección anterior) entonces ya sabemos quién hace qué, y debemos usar nuestros diagramas y la documentación para entender el problema e ir estableciendo hipótesis.
En resumen: “1. Entendamos el problema y cómo está afectando al sistema. 2. Propongamos hipótesis grupalmente y 3. Recolectemos evidencia para probar esas hipótesis y resolver el problema, o para emitir nuevas hipótesis”.
La complejidad en la ciberseguridad y en las TI seguirá creciendo día con día, pero si vamos creando marcos de trabajo y formando cada vez mejor a nuestro personal, tendremos mejores herramientas para enfrentar esa complejidad.
Espero que este artículo contribuya en alguna medida a que usted, amable lector, pueda enfrentar mejor esos retos. ¡Buena suerte y nos vemos en el próximo artículo!
Deja tu comentario