Ciberseguridad: modelos eficientes y efectivos ante el impacto de la covid-19

El impacto de la crisis relacionada con la covid-19 ha afectado prácticamente a todos los aspectos de negocio. Ahora, en estos momentos de incertidumbre, es previsible que el entorno económico en contracción afecte de manera relevante a las inversiones en ciberseguridad. Se trata de una situación paradójica. Las organizaciones se encuentran ante la dicotomía de tener que hacer frente a una previsible explosión de nuevas ciberamenazas durante un periodo de recesión de los presupuestos dedicados a defenderse.

Los responsables de IT cuentan, no obstante, con la experiencia demostrada durante situaciones anteriores de crisis, en las que el sector de la ciberseguridad ha podido demostrar su eficiencia y utilidad. Además, el sector llega tras vivir tiempos de abundancia. Durante muchos años, las organizaciones han tenido presupuestos Cyber en expansión, al tiempo a la vez una intensa lucha por tratar de adquirir la mejor tecnología y personal disponible. “Ahora, los modelos sofisticados, no orientados a riesgo y que aportan poco valor, deben dar paso a un nuevo modelo de gestión de la seguridad eficiente, pero también efectiva, donde se rompen silos y los efectos de cada uno de los dominios de seguridad multiplican”, explica de Jorge Hurtado, Chief Sales, Portfolio & Marketing Officer de S21sec.

Hurtado reconoce que “es probable que durante las épocas anteriores no hayamos justificado lo suficiente el valor de las inversiones en ciberseguridad. Se recurría a la cultura del miedo y las partidas económicas en cada uno de los ámbitos de la Ciberseguridad no han estado priorizadas. Además, servicios externos de alto coste, como ciberinteligencia y cibervigilancia, generaron costes desproporcionados y proliferaron nuevas ofertas exóticas en Ciberseguridad que aportaban beneficios marginales”. Además, apunta también a la complejidad y en ocasiones escasa efectividad de algunas arquitecturas de seguridad o enfoques de detección y respuesta y a la agregación de múltiples elementos y servicios de seguridad en estructuras basadas en silos con escasa comunicación o sinergias.

Para ser capaces de adaptarse y reinventar la estructura de servicios, las organizaciones comienzan a apostar por modelos de gobiernos y operación de ciberseguridad, orientados a proporcionar una seguridad operativa, eficaz y eficiente en términos de costes justificables. Aquí entra en juego el denominado Thin Security, o Seguridad Delgada, un concepto que permite dar respuesta a esta situación apoyándose en cinco pilares: la integración de proveedores y tecnologías, la definición de una estrategia de procurement optimizada, la conversión de CAPEX en OPEX, la mejora de la ciber-resiliencia y la consideración de la extensión a un perímetro distribuido”.

Según los datos que maneja el equipo de inteligencia de S21sec, los ciberataques han crecido un 300% durante la covid. Pero esta amenaza no es la única. Se están detectando también la aparición de nuevas empresas que ofrecen soluciones de seguridad que ofrecen la promesa de la mitigación total del riesgo. “Conviene huir de estas soluciones mágicas”, señala Hurtado. El modelo Thin Security permite enfrentarse a los mismos problemas con menos recursos y en el que se trabaja sobre el NIST de ciberseguridad (Identificar, Proteger, Detectar y Responder). Estos son los detalles y drivers de su modelo de gobierno, operación y eficiencia:

Identificar. Gobierno

- Establecer unos indicadores claros y efectivos. Por ejemplo: Estado de parcheado, Nivel de Obsolescencia, Bastionado, Gestión de vulnerabilidades o número de incidentes gestionados.

- Gestión de Vulnerabilidades-Debilidades de Control. Gestionar mediante un backlog único ambos elementos así como las tareas de mitigación donde toda la organización esté representada: tareas, responsables, esquema básico de seguimiento y reporte periódico.

- Establecer modelos de riesgo cualitativos para guiar las estrategias de seguridad. El esquema de activos y medidas cuantitativas es una losa de gestión y costes que no siempre acierta en el deseado: rojo, amarillo y verde donde enfocarme.

- Reenfocar el cumplimiento a puntos de control reusable para el Gobierno y priorizar lo que agregue valor a la estrategia de seguridad operativa. El propio modelo NIST traducido a controles por niveles de madurez, cruzado con normativas, proporciona un marco de evaluación, gobierno, estrategia y táctica.

Proteger

- Centrarse en la Gestión de identidades y el Endpoint como las dos fronteras que definen el nuevo perímetro que protege los datos corporativos. El teletrabajo multiplica esta necesidad.

- Correo y navegación (segundo foco). Para correo no hay que olvidar el esquema de protección por capas. Ya con el uso extendido de VPNs, es momento para replantearse políticas always on para navegación segura y soporte a la prioridad IAM – Endpoint.

- El “poder del cloud”: aprovechar su elasticidad, visibilidad, protección y resistencia implícitas para los activos digitales. Hay que reducir con criterio infraestructura on-premise y la esclavitud que provocan abordando un plan de cloudificación de las aplicaciones corporativas de manera nativa, aprovechando todas las características de seguridad que nos ofrece.

- Evaluaciones de Seguridad con targets basados en impacto en clientes y negocio, con proveedores de referencia que tengan costes efectivos.

- Apostar por al menos un ejercicio de Red Team que ponga en contexto la situación real frente a un ataque dirigido y una evaluación 360 (Protección, Detección, Respuesta)

- Alineado con la estrategia con foco en EndPoint, apostar por un esquema BAS (Breach and Attack Simulation) gestionado en ejecución, análisis y mitigación o propuestas de mejora.

Detectar

- Huir de las tecnologías EPP tradicionales, basadas en firmas y aprovechar el enfoque EDR basado en el comportamiento con la capacidad de responder.

- Alejarse en la medida de lo posible de las soluciones SOC + SIEM tradicionales y personalizadas.

- Alertas pocas y significativas. Efectuar un tuning de las herramientas de seguridad, priorizándolas de acuerdo al riesgo, reevaluando la pirámide de prioridades o analizando su masa de falsos positivos.

- Sinergias de monitorización. Gestionar alertas en back con pocos técnicos o reenviar a otro esquema interno de monitorización: Producción, Seguridad Física o a la propia Oficina Técnica.

- Repensar la vigilancia digital no cibernética y redirigir costes a Protección.

Responder

- Confiar en soluciones basadas en el comportamiento, como EDR y detección de registro / seguimiento basada en la nube y respuesta automatizada utilizando conceptos como serverless.

- Para respuesta por incidentes, subcontratar un modelo pago por uso con un tercero que tenga un snapshop actualizado de la infraestructura y altas capacidades bajo un SLA.

- Alineamiento entre los equipos de Red Team y Blue Team lo máximo posible. Un Purple Team puede ayudar a gestionar el coste de un Red Team.

- Considerar el Ciberseguro como una forma efectiva de cubrir necesidades en caso de incidentes e incumplimientos. Con un esquema de protección operativo y demostrable y un esquema de gobierno básico, los costes del Ciberseguro son asequibles.

Recuperar

- Confiar en soluciones híbridas onpremise–nube para el almacenamiento que con cierta habilidad de diseño y configuración proporcionan la misma (o mejor) respuesta a esquemas clásicos, tediosos y costosos de backups.

- Apostar por los modelos SaaS que ofrecen soluciones ofímaticas en la nube, decisivos en la contingencia de la covid-19 para aquellas empresas que disponían de él.

- Los esquemas clásicos de continuidad de Negocio después de la covid-19 deben revisarse. Las organizaciones se han dado cuenta de que necesitan una continuidad comercial pragmática. El teletrabajo ha cuestionado ciertas catedrales y certificaciones en BCP. Es posible un Thin Business Continuity: un mapa básico de usuarios/aplicaciones, un esquema de VPN, equipamientos bastionados y controlados, esquemas VDI, correo y almacenamiento nube etc.