[09/12/2020] Los CISO han expresado su preocupación por una posible brecha entre las herramientas que necesitan para proteger su empresa frente a las herramientas que realmente tienen en su lugar.
Una encuesta realizada en el 2020 a más de 300 profesionales de seguridad del fabricante de software de seguridad LogRhythm encontró que el 93% dijo que carecían de las herramientas necesarias para detectar amenazas conocidas, y el 92% dijo que carecían de las soluciones preventivas adecuadas para cerrar las brechas de seguridad.
Un informe del 2019 de AttackIQ y el Instituto Ponemon reveló preocupaciones similares sobre las herramientas de seguridad de las empresas: El 53% de los 577 profesionales de seguridad informática y de TI encuestados dijeron que no sabían lo bien que funcionaban sus herramientas de seguridad, y más de la mitad dijeron que no estaban obteniendo todo el valor de sus inversiones en seguridad.
Sin embargo, estas estadísticas no cuentan la historia completa, según varios expertos en seguridad. Están de acuerdo en que algunos CISO pueden carecer de suficientes herramientas para asegurar adecuadamente sus organizaciones, pero subrayan que el verdadero problema no es tener muy pocas tecnologías para hacer el trabajo. Más bien, dicen que esas encuestas son en realidad indicativas de un problema mayor y más complejo en el que los CISO se enfrentan a una brecha de seguridad, debido a que tienen el conjunto de herramientas inadecuadas para el perfil de riesgo de su propia organización y su apetito de riesgo.
Encontrar su brecha
"Ciertamente tenemos suficientes herramientas para hacer el trabajo; tenemos muchas herramientas. Así que la pregunta no es si tenemos suficientes herramientas, sino si están configuradas adecuadamente. ¿Y son monitoreados por ojos inteligentes que pueden percibir algo de la miríada de puntos de datos? Eso es mucho más importante que el número de herramientas", señala Curt Dalton, director general y líder mundial de la práctica de seguridad y privacidad de la empresa de consultoría de gestión Protiviti.
Dalton anota que algunos equipos de seguridad tienen una variedad de herramientas que realizan la misma tarea, mientras que otros tienen tecnologías que nunca implementaron. Y algunos equipos tienen productos de seguridad que implementaron, pero que nunca entrenaron a su personal para usarlos. Esos escenarios, añade, son mucho más probables que -aunque igual de perjudiciales- aquellos en los que el equipo de seguridad no tiene suficiente tecnología a mano.
Pero Dalton y otros dicen que los oficiales de seguridad de esas organizaciones pueden evaluar sus herramientas de seguridad y llegar a la conclusión de que su cartera de tecnologías es deficiente, lo que da lugar a informes sobre un vacío en las herramientas de seguridad. Y, según los expertos, esos CISO tendrían razón en muchos casos al expresar sus preocupaciones porque, a fin de cuentas, están trabajando con herramientas que no se ajustan a sus necesidades y, por lo tanto, crean esa brecha de seguridad.
"En ese grado, sí, hay una brecha en las herramientas", añade Kory Patrick, líder de prácticas de riesgo y seguridad de la empresa de gestión de servicios de TI, TEKsystems. "Pero no siempre es un vacío en la posesión de las herramientas, a menudo es un vacío en la estrategia. Hay algunas organizaciones que carecen seriamente de las herramientas adecuadas, pero es más frecuente que no tengan la estrategia correcta; se trata de comprender lo que se necesita y lo que se tiene, de alinearlo con la estrategia y maximizar su valor".
Desbalanceado
Los CISO terminan con la colección de herramientas equivocada por una o más razones típicas, según los investigadores y asesores de gestión.
Algunos departamentos de seguridad no configuran adecuadamente las soluciones, o no invierten en la formación adecuada del personal para utilizar las soluciones desplegadas en todo su potencial.
Considere la anécdota compartida por la consultora de ciberseguridad y vCISO, Gina Yacone. Ella trabajó con una empresa que implementó una solución de gestión de incidentes y eventos de seguridad (SIEM), pero solo alimentó sus registros desde un número limitado de fuentes, lo que redujo la eficacia de esa herramienta y llevó al equipo a creer que tenían herramientas inadecuadas para sus necesidades.
Yacone también trabajó con una organización que invirtió en una tecnología con múltiples capacidades, incluida una función de antivirus, pero que optó por ejecutar un antivirus separado porque un miembro del personal prefería utilizar el antiguo antivirus autónomo. "Ejecutar ambos [las capacidades del antivirus] añadía ruido y costaba más dinero y consumía más recursos", comenta Yacone, miembro de Women in Cybersecurity (WiCyS).
Mientras tanto, algunos CISO no saben lo que tienen (lo que a su vez se debe a varios factores). Patrick señala que trabajó con un cliente CISO que descubrió que su organización tenía 500 mil licencias de usuario para una herramienta de seguridad que no había sido utilizada durante dos años.
La seguridad termina con las herramientas equivocadas porque los CISO y sus equipos aún se dejan seducir a veces por la promesa de algo nuevo y brillante.
"Muchas de estas tecnologías son el resultado de: 'Vamos a buscar algo que nos ayude a cumplir con X, Y y Z', comenta Sam Olyaei, director de Gartner Research, donde forma parte del grupo de gestión de riesgos y seguridad.
Y a menudo los CISO terminan con las herramientas equivocadas y/o inadecuadas, añade Olyaei, porque no están siendo lo suficientemente estratégicos; no están ideando una estrategia primero, y luego seleccionando las herramientas -así como las personas y los procesos- para apoyarla.
"Muchos CISO vuelven a las herramientas y tecnologías para resolver un problema, cuando en realidad necesitan contratar a un individuo adicional para resolver el problema, o necesitan madurar un proceso particular para resolver el problema", explica Olyaei.
Y añade: "También quiero ser claro: No se puede llegar a ninguna parte sin tecnología; la tecnología es necesaria. Pero necesitas el equilibrio adecuado. Todo se reduce a asegurarse de que tiene a la gente, el proceso y la tecnología trabajando juntos adecuadamente".
Revisar y revisar
Sushila Nair, CISO de NTT DATA Services, dice que ella también ha visto a los equipos de seguridad acumular herramientas que no se ajustan del todo a las necesidades de la organización, ya sea porque las herramientas nunca se ajustaron del todo al riesgo de la empresa o porque alguna vez lo hicieron, pero ya no lo hacen. Sin embargo, los equipos de seguridad suelen aferrarse a todas esas herramientas, lo que resta recursos a las inversiones en el diseño y la aplicación de una estrategia que se basa en tener el número adecuado de herramientas correctas con el personal debidamente capacitado en ellas.
Además, Nair dice que ella, al igual que todos los CISO, debe comprometerse a examinar y revisar sus herramientas con regularidad, a medida que aparecen nuevas opciones en el mercado y que cambian los riesgos organizativos.
Nair señala que su empresa, como muchas otras, se pasó al trabajo más virtual y a los compromisos digitales debido a la pandemia de COVID-19 y, por lo tanto, vio un cambio correspondiente en su panorama de riesgos. Nair añade que ese cambio la impulsó a reevaluar sus herramientas de seguridad para determinar cuáles seguían alineadas con el nuevo perfil de riesgo de la empresa, cuáles debían retirarse y cuáles eran necesarias para satisfacer las nuevas necesidades.
"Con la pandemia, todos tenemos un panorama de riesgo diferente, y se supone que nuestras herramientas deben estar alineadas con nuestro riesgo, por lo que las organizaciones tienen que mirar sus herramientas y preguntar si necesitan ir a comprar más", sostiene Nair. "Teóricamente, cualquier cambio importante es una razón para hacer esa evaluación; un cambio que debería desencadenar la realización de una evaluación de riesgos".
Cerrando la brecha
Independientemente de cómo y por qué se produjo, una brecha en las herramientas tiene importantes implicaciones para la seguridad de las empresas. Crea ineficiencias e ineficacia. Aumenta el costo y la complejidad. Saca recursos del avance de los objetivos estratégicos y de los procesos de maduración, que ayudan a proteger mejor la empresa. Y limita las oportunidades, como la de añadir automatización para mejorar la postura de seguridad de uno; como señala Patrick, un equipo de seguridad que no tenga un buen manejo de sus herramientas tendrá dificultades para saber cuáles son buenos candidatos para la automatización.
Muchos CISO están trabajando ahora para obtener un mejor inventario mediante la evaluación de las herramientas de que disponen, impulsados en parte por los cambios relacionados con COVID en su empresa, indica Olyaei. Las encuestas de Gartner muestran que alrededor del 25% de los CISO están trabajando ahora en la consolidación de herramientas y la armonización de los proveedores, mientras que alrededor del 60% tiene previsto realizar ese trabajo en el 2021.
"Están revisando las herramientas y averiguando dónde está la superposición y dónde se usan o no se usan adecuadamente", comenta.
Los líderes en seguridad ofrecen algunos consejos para cerrar cualquier brecha que exista entre las herramientas que se utilizan actualmente, y las que se necesitan realmente para asegurar la empresa de manera efectiva y eficiente:
Empiece con una evaluación de las herramientas existentes y sus capacidades, incluyendo las herramientas de seguridad integradas en las tecnologías de la nube. "[Los proveedores de la nube] están construyendo algunas herramientas muy robustas dentro de sus entornos; son un valor añadido que está incluido, y las organizaciones deberían considerar la posibilidad de aprovechar esas herramientas siempre que puedan", indica Patrick.
Luego, asegúrese de que la estrategia de seguridad determine qué herramientas y tecnologías son necesarias. "Si se tiene un programa de seguridad maduro basado en el riesgo, no se deja que la tecnología lo dirija", indica Olyaei. "Se define el riesgo y los controles necesarios, y luego se definen las tecnologías, los procesos y el talento que se necesitan".
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú