La transformación digital impone nuevos retos y realidades que si bien ayudan a desarrollar nuevas capacidades para el negocio, incrementa la superficie de ataque disponible para los cibercriminales, pues mayor digitalización significa más tecnologías y más conectividad, pero también significa más puntos de acceso para los actores de amenaza. Dentro de todo este panorama existen dos (2) realidades: la primera es que los departamentos de TI cada día controlan menos la información de las organizaciones y las tecnologías que usan esa información; y la segunda, las aplicaciones modernas están siendo desarrolladas cada vez menos de la manera tradicional, en vez de eso, están ensamblando librerías y componentes. Eso significa que el éxito de un producto o servicio ahora está fundamentalmente entrelazado con otros productos y servicios, así que “mi riesgo es el riesgo de otros, y el riesgo de otros es mi riesgo”. Adicional a ese panorama, se deben considerar tres (3) factores que son o serán realidades para muchas organizaciones en el corto plazo:
Por esas razones, este fenómeno es conocido como el nuevo perímetro e incluso en un concepto más amplio se puede definir como “la identidad como el nuevo perímetro”. Así que delegar las defensas en el perímetro y en elementos de seguridad basados en reglas está siendo mucho menos efectivo, más aún cuando el nivel de integración de arquitecturas y datos se ha incrementado de forma significativa, un ejemplo de esto, es el uso cada vez más frecuente de servicios de nube y aplicaciones basadas en APIs (economía del API). Por eso la prioridad de muchos CISO o CIO en los próximos años debe estar asociada a la gestión de riesgo de la transformación digital y a mejorar los programas de seguridad junto con las complejidades tecnológicas actuales (nube, contenedores, DevOps, etc) enmarcado en los datos, usuarios y aplicaciones en vez de la infraestructura.
Las amenazas continuarán dirigiéndose hacia los datos sin importar su ubicación (on-prem, cloud, hybrid) y los actores de amenaza serán persistentes y más creativos en sus esfuerzos. No hay un panorama claro para combatir esta situación y tampoco una tecnología que pueda resolver este problema con esfuerzos mínimos. Si las organizaciones quieren mejorar su postura de seguridad y reducir el ciber-riesgo, deben prepararse para enfrentar un mundo digitalmente hostil. Para lograrlo se requiere de un cambio de mentalidad, pues las organizaciones deben comprender que el atacante tendrá éxito en algún momento o la está teniendo, esto permitirá centrar los esfuerzos en crear o fortalecer prácticas de ciberseguridad alrededor de la “respuesta a incidentes” y el “monitoreo continuo”. Ambas cosas tienen como objetivo reducir la superficie de los ataques y la velocidad en que ocurren los mismos, para finalmente detectar y responder a estas amenazas y riesgos en el menor tiempo posible y antes de que sea demasiado tarde.
Reconocer que la seguridad no es un problema puramente tecnológico y que la resiliencia debe estar presente en el ADN organizacional para enfrentar a los atacantes, permite dar el siguiente paso para que con una combinación de elementos técnicos y humanos se pueda asumir este nuevo enfoque desde la analítica, a través de capacidades como machine learning o inteligencia artificial, respuesta a incidentes, monitoreo continuo, inteligencias de amenazas, threat hunting, entre otros.
Para responder y adaptarse de forma más rápida a estos nuevos paradigmas, hemos establecido la seguridad adaptativa como la forma más útil para ayudar a clasificar las inversiones de seguridad en función del riesgo. Las siguientes etapas enmarcan la adopción de este modelo:
Finalmente, cuando se combinan todas las fases y se evalúa y monitorea continuamente el ecosistema basado en el riesgo, se puede adaptar el modelo cuando sea necesario; planear, actualizar y optimizar las capacidades para combatir la superficie de ataque.