Llegamos a ustedes gracias a:



Reportajes y análisis

Nuevas aplicaciones de seguridad

Cómo lidiar con ellas

Evaluacion soluciones de seguridad

[12/08/2016] El día de un líder de tecnología puede ser impredecible; pero Ginny Davis, CIO de la compañía de servicios de entretenimiento Technicolor, puede confiar en una cosa: Que recibirá un email de un nuevo proveedor de seguridad instándola a darle un vistazo a su última y mejor tecnología.

Davis señala que valora "la evolución en la lucha contra los piratas informáticos", y considera que distintas opciones nuevas son una tendencia positiva, "pero la rapidez con la que el panorama de seguridad está cambiando es abrumador".

Bob Lamendola, gerente general de los servicios de infraestructura en el proveedor de servicios de TI Mindshift, está de acuerdo. "El número de productos y servicios relacionados con la seguridad que le llegan es casi aterrador. El mercado de seguridad está evolucionando a una velocidad frenética, haciendo que una situación compleja sea aún más compleja para navegar".

Esta escalada de ida y vuelta entre los desarrolladores 'buenos' y los 'malos' -hackers- está poniendo aún más presión sobre los líderes de tecnología. "Cada vez que trae un nuevo producto de seguridad es como poner una pared de 10 metros", anota Tom Barnett, vicepresidente de asistencia sanitaria de TI en el servicio de salud de la Universidad NorthShore, en Evanston, Illinois. "Pero los chicos malos llegan con una escalera de 11 metros". En una organización de salud similar, Barnett señala que los intentos de entrar por parte de los hackers saltaron desde unos pocos millones por año en el 2008, a alrededor de un millón por mes en el 2012.

El consultor de seguridad Larry Ponemon, fundador del Instituto Ponemon, reconoce que la embestida de nuevas aplicaciones es un problema. "En general, las personas se sienten frustradas debido a que su entorno de seguridad es muy complejo", comenta. "Eso deja espacios donde los chicos malos pueden entrar. Cuanto más dependemos de estas herramientas, mayor será la posibilidad de que ellos causen más estragos que valor".

Entonces, ¿qué puede hacer un líder tecnológico? y ¿qué grupo está a punto de acapararlo, los piratas informáticos o los proveedores de seguridad? El consejo acumulado de CIOs, ejecutivos y principales consultores de seguridad de la información entrevistados para esta historia lo reducen a esto: Hay momentos en los que pueda necesitar tanto un cinturón como tirantes para proteger su cartera de seguridad, pero la prudencia siempre ganará sobre el pánico.

En dónde le va mal a TI con las aplicaciones de seguridad

Las exigencias de alto nivel de protección de la empresa a veces conducen a que los CIOs tropiecen cuando se trata de la adquisición de las aplicaciones de seguridad. "El reto es difícil de captar para una gran cantidad de organizaciones, porque están funcionando a 100 millas por hora", señala Doug Davidson, CTO de ciberseguridad la consultora Capgemini. "A veces se procuran precipitadamente".

"Los proveedores me muestran un nuevo producto que afirman es innovador. Es brillante, atractivo y emocionante, y tratan de decirme que lo necesito", señala Deborah Blyth, CISO para el estado de Colorado. Ella recuerda haber sido atraída por el producto de un proveedor de seguridad que parecía fresco, e incluso estratégico, pero después de la compra, terminó en el estante. "A pesar de que no pagué mucho por ello, no trabajó de forma constante, y tenía muchas limitaciones", anota la ejecutiva.

La experiencia de Blyth es típica. En el Estudio Global de Ponemon sobre el gasto en seguridad e inversiones 2015, patrocinado por SecureWorks, los encuestados dijeron que en los últimos dos años, un promedio de 37% de sus inversiones en tecnología de seguridad cayeron por debajo de las expectativas. Las razones incluyen la falta de experiencia en la empresa, los costos de instalación, problemas de soporte técnico y la complejidad, y a veces solo la eficacia del software (véase el gráfico abajo).

Evaluacion soluciones de seguridad

Si bien este es un problema importante, Lamendola de Mindshift señala que el ensayo y el error son partes del proceso. "Hemos probado muchas soluciones con diferentes grados de éxito. Cree que un producto en particular es adecuado para usted, a continuación, se entera de que no lo es. Hay que romper muchos huevos para averiguar lo que funciona mejor dentro de su entorno".

Otra falla en la estrategia de seguridad de TI es la trampa de dejarse seducir por las características en lugar de productos. "Uno se deslumbra con las propuestas y lanzamientos", indica Barnett del servicio de saludo en la Universidad NorthShore. "Muchos de ellos pueden ser redundantes, pero tienen una o dos características especiales que los hace interesantes".

Eso es un problema, advierte Bill Burns, CISO del proveedor de integración de datos Informatica. Antes de unirse a la compañía, trabajó como ejecutivo de la seguridad de la información residente en Scale Venture Partners, una firma de capital de riesgo con sede en Foster City, California. Allí, trabajó en la creación de un marco para invertir en seguridad de la información que replica de cerca los problemas que afrontan los CIOs. "El mercado del emprendimiento estaba creciendo rápidamente, pero era difícil separar la señal del ruido", indica el ejecutivo.

Al mirar las nuevas empresas, añade Burns, es difícil distinguir una característica de seguridad de un producto completo de seguridad. "Uno tiene que preguntarse si realmente las tecnologías ayudarán a crear empresas, o si se van a plegar a una plataforma más grande".

Él cita a la tecnología detrás del aprendizaje automático que fue tan popular hace unos años. Muchos en TI esperaban que esa tecnología se convirtiese en la próxima herramienta de información de seguridad y gestión de eventos. Pero en cambio, resultó ser una característica, no un producto, y algo que se ha incorporado en varios productos.

Cuando las aplicaciones de seguridad funcionan mal

TI tiene la difícil tarea de tener que lidiar con una gran cantidad de herramientas que rara vez o nunca intercambian datos, incluyendo análisis, movilidad, detección de amenazas, prevención de pérdida de datos, correo electrónico, web, nube, cifrado, seguridad de endpoints, seguridad empresarial, seguridad de redes y verificación de identidad. Esto plantea preguntas: ¿Hay brechas entre las herramientas, y si es así, TI pierde información? O ¿Hay solapamientos, y si es así, TI gasta demasiado por la seguridad?

Las aplicaciones de seguridad que se tejen juntas ayudaría. "Eso sería el nirvana", anota Lamendola. "La capacidad de que estos productos se integren a partir de una plataforma común sería un enorme beneficio para la mayoría de las organizaciones. Se eliminaría un gran obstáculo hacia la adopción. Las herramientas más integradas mejorarían el perfil de seguridad de la mayoría de las organizaciones".

Sin embargo, es improbable que se materialice esa visión. "No hay Microsoft Office de la seguridad", afirma John Pescatore, director de tendencias de seguridad emergentes en el Instituto SANS. "No hay un solo proveedor cuyas aplicaciones trabajen juntas y sean lo suficientemente buenas para lo que es necesario". El ejecutivo indica que los proveedores fallaron en este esfuerzo por una simple razón: las amenazas cambian, por lo que las herramientas de seguridad tienen que seguir cambiando también. Los poveedores no pueden ser buenos en todo, y eso a su vez impulsa a los clientes hacia los mejores productos de su clase.

La interoperabilidad tiene obstáculos también, como señala Ponemon. Si una aplicación utiliza texto claro sin cifrar y otra usa texto cifrado, no van a proporcionar visibilidad. Pescatore señala que él considera poco probable la interoperabilidad por otra razón: "A los proveedores no les gusta porque huelen mercantilización. Sería compatible a nivel de mensaje, pero luego se extendería su solución porque quieren una manera de decir que son únicos".

No todos están de acuerdo. Davidson de Capgemini señala que las herramientas de código abierto para el intercambio de información de seguridad tales como TAXII y MAEC, podrían ayudar a revelar cuando se identifican las diferentes aplicaciones del mismo malware. El Instituto Nacional de Estándares y Tecnología está trabajando en SCAP, el Protocolo de automatización de seguridad del contenido. FIDO, Fast Identity Online, es un estándar de código abierto para los servicios de autenticación.

Blyth, del estado de Colorado, ya está trabajando en un marco basado en estándares que permitan a su agencia la posibilidad de identificar y seleccionar las herramientas que trabajarían juntas.

"Algunas agencias de gobierno estatal tendrán más familiaridad con algunas herramientas que con otras, por lo que queremos ser capaces de elegir varias herramientas en función de sus deseos y no bloquear una herramienta específica", indica la ejecutiva. "Tenemos que asegurarnos de que cualquier solución que implementemos tenga un marco basado en normas, de modo que podamos integrar las herramientas de forma más limpia con otras herramientas."

Blyth señala que ya está viendo sacar ventaja de la autenticación de dos factores U2F de FIDO, que requiere un dispositivo de generación de token por separado.

En donde a TI le puede ir bien con las aplicaciones de seguridad

Teniendo en cuenta todos estos desafíos, ¿cómo deben proceder los ejecutivos de TI? Los CIOs y CISOs citan la importancia de ser racional sobre el proceso de toma de decisiones, en lugar de ser impulsados por lo que Burns de Informatica llama el "ataque del día".

Un enfoque consiste en desarrollar un marco para clasificar las necesidades de seguridad. ¿Cuál es la información más importante que estamos tratando de proteger? ¿Quién tiene acceso? ¿A qué están conectados los datos? Davis de Technicolor sugiere la identificación de las diversas "joyas" de la organización y las herramientas necesarias para la protección de cada una de ellas, incluido el cifrado, autenticación, flujos de trabajo, gestión de servidor de seguridad y otros.

"Hay una capa de protección para cada joya", señala la ejecutiva, y hay que evaluar constantemente si las herramientas están haciendo su trabajo, y si no es así, ¿dónde están los huecos?

Muchos marcos están disponibles; Blyth de Colorado utiliza el desarrollado por el Center for Internet Security. "Este marco me deja ver dónde tengo brechas y dónde están mis necesidades", precisa. "Eso me ayuda a centrarme en los controles más importantes, ver las lagunas en esas zonas, y pasar al siguiente objeto brillante".

Blyth también recomienda hacer una prueba de concepto dentro de su propia infraestructura. "Queremos asegurarnos de que no nos estén vendiendo 'futureware'. Queremos ver que puede hacer lo que necesitamos que haga, no apostar por algo que estará disponible en algún momento futuro", anota.

Además, los líderes de tecnología sugieren mirar el lado positivo de toda la innovación que ocurre en el campo de la seguridad -los proveedores se esfuerzan para ofrecer nuevas soluciones. Pescatore del SANS Institute señala que las innovaciones podrían proteger mejor su empresa y reemplazar sus herramientas actuales. Barnett de NorthShore añade: "Eso no quiere decir que una vez que elija algo, se queda en su lugar para siempre. Es posible que tenga que cambiar las tecnologías a medida que cambia el paisaje".

Los líderes tecnológicos también concuerdan en que una manera de evitar vacíos en la protección de seguridad, es hacer un esfuerzo adicional en el proceso y no sobrecargar los productos. Ese enfoque incluye la contratación de terceros para llevar a cabo evaluaciones de riesgo regulares. Davis de Technicolor, por ejemplo, dice que no puede ser demasiado cuidadosa, especialmente después de la falla de Sony en el 2014, que está al otro lado de la ciudad.

Ella trabaja en una empresa que a muchos hackers les gustaría apuntar: Technicolor es un nombre familiar con una presencia global de 35 ubicaciones, y su contenido es altamente deseable y potencialmente monetizable. Aunque Davis advierte que la empresa nunca almacenaría una película completa en un solo lugar, reconoce lo deseables que serían los clips o incluso imágenes de ciertas películas de alto perfil.

Para abordar estas cuestiones, ella ha creado una oficina que hace pruebas de evaluación específicamente para piratear el sistema. "Si sus intentos no se marcan mediante nuestra herramienta de gestión de registros, generan un informe y se le entrega al CISO". El equipo ya ha encontrado problemas con al menos una herramienta.

"No es casualidad que no tengamos todos los huevos en una sola canasta", anota, añadiendo que ella también se suscribe a dos fuentes diferentes de informes de seguridad que siguen lo que se filtra en el espacio de seguridad de la 'Darknet' y los medios sociales. (Para ver otras organizaciones que ofrecen una visión y ayuda, consulte "¿Quién está de su lado?" A continuación).

"Es un enfoque de cinturón y tirantes", coincide Barnett, quien también recomienda mantenerse en los blogs de seguridad. "Si está pensando acerca de cómo alguien podría atacar y hacer evaluación de la amenaza constante, podría empezar a pensar acerca de cómo poner múltiples obstáculos para los chicos malos".

¿Quién está de su lado?

Tenga en cuenta a las siguientes organizaciones del sector público como fuentes de conocimientos de seguridad:

  • Center for Internet Security: Supervisa al Centro de intercambio y análisis de información (MS-ISAC, por sus siglas en inglés) para la prevención de las ciberamenazas, protección, respuesta y recuperación.
  • Information Technology-Information Sharing and Analysis Center: IT-ISAC es un foro de TI para la gestión de riesgos a la infraestructura de TI a través del ciber intercambio y análisis de información.
  • InfraGard: Una asociación de empresas, instituciones académicas, agencias legales estatales y locales, y otros participantes que comparten información e inteligencia para prevenir los actos hostiles contra los EE.UU.
Howard Baldwin, Computerworld (EE.UU.)