Delegar las defensas en el perímetro y en elementos de seguridad basados en reglas está siendo menos efectivo, más aún cuando el nivel de integración de arquitecturas y datos se ha incrementado de forma significativa.

La transformación digital impone nuevos retos y realidades que si bien ayudan a desarrollar nuevas capacidades para el negocio, incrementa la superficie de ataque disponible para los cibercriminales, pues mayor digitalización significa más tecnologías y más conectividad, pero también significa más puntos de acceso para los actores de amenaza. Dentro de todo este panorama existen dos (2) realidades: la primera es que los departamentos de TI cada día controlan menos la información de las organizaciones y las tecnologías que usan esa información; y la segunda, las aplicaciones modernas están siendo desarrolladas cada vez menos de la manera tradicional, en vez de eso, están ensamblando librerías y componentes. Eso significa que el éxito de un producto o servicio ahora está fundamentalmente entrelazado con otros productos y servicios, así que “mi riesgo es el riesgo de otros, y el riesgo de otros es mi riesgo”. Adicional a ese panorama, se deben considerar tres (3) factores que son o serán realidades para muchas organizaciones en el corto plazo:

1. Cada día hay más usuarios trabajan desde fuera de las organizaciones, conexiones VPN o directas, o a través de nubes públicas hacen difícil el reconocimiento del tráfico y su uso.
2. Las organizaciones tendrán más dispositivos no controlados, esa circunstancia amplía la problemática de visibilidad y la consolidación de información.
3. Las aplicaciones usadas a nivel organizacional tienden a ser tipo SaaS. Esa circunstancia obliga a obtener información a través de métodos más complejos (por ejemplo APIs) desde esas aplicaciones y con menores detalles.

Por esas razones, este fenómeno es conocido como el nuevo perímetro e incluso en un concepto más amplio se puede definir como “la identidad como el nuevo perímetro”. Así que delegar las defensas en el perímetro y en elementos de seguridad basados en reglas está siendo mucho menos efectivo, más aún cuando el nivel de integración de arquitecturas y datos se ha incrementado de forma significativa, un ejemplo de esto, es el uso cada vez más frecuente de servicios de nube y aplicaciones basadas en APIs (economía del API). Por eso la prioridad de muchos CISO o CIO en los próximos años debe estar asociada a la gestión de riesgo de la transformación digital y a mejorar los programas de seguridad junto con las complejidades tecnológicas actuales (nube, contenedores, DevOps, etc) enmarcado en los datos, usuarios y aplicaciones en vez de la infraestructura.

Las amenazas continuarán dirigiéndose hacia los datos sin importar su ubicación (on-prem, cloud, hybrid) y los actores de amenaza serán persistentes y más creativos en sus esfuerzos. No hay un panorama claro para combatir esta situación y tampoco una tecnología que pueda resolver este problema con esfuerzos mínimos. Si las organizaciones quieren mejorar su postura de seguridad y reducir el ciber-riesgo, deben prepararse para enfrentar un mundo digitalmente hostil. Para lograrlo se requiere de un cambio de mentalidad, pues las organizaciones deben comprender que el atacante tendrá éxito en algún momento o la está teniendo, esto permitirá centrar los esfuerzos en crear o fortalecer prácticas de ciberseguridad alrededor de la “respuesta a incidentes” y el “monitoreo continuo”. Ambas cosas tienen como objetivo reducir la superficie de los ataques y la velocidad en que ocurren los mismos, para finalmente detectar y responder a estas amenazas y riesgos en el menor tiempo posible y antes de que sea demasiado tarde.

Reconocer que la seguridad no es un problema puramente tecnológico y que la resiliencia debe estar presente en el ADN organizacional para enfrentar a los atacantes, permite dar el siguiente paso para que con una combinación de elementos técnicos y humanos se pueda asumir este nuevo enfoque desde la analítica, a través de capacidades como machine learning o inteligencia artificial, respuesta a incidentes, monitoreo continuo, inteligencias de amenazas, threat hunting, entre otros.

Problemáticas de ciberseguridad

• Debilidades en procesos y flujos de trabajo de atención de amenazas: las organizaciones no tienen procesos ni procedimientos claros en la detección de amenazas alrededor de sus flujos de negocio, pero sobre todo, no existe metodologías clara para tender incidentes en una época que la inteligencia juega un valor fundamental en ese proceso.
• Problemas de visibilidad integral y enriquecimiento de datos: el concepto de nuevo perímetro genera retos gigantescos para consolidar la información que se distribuye por cientos de canales, si a esto se suma las aplicaciones tipo SaaS o nubes públicas el fenómeno complica las estrategias de visibilidad de las organizaciones. Adicionalmente, si se quiere reducir los tiempo de detección de una amenaza es absolutamente necesario enriquecer los datos que inicialmente son generados por los sistemas de información de forma nativa, por ejemplo: monitorear procesos de sistemas, cambios de configuración, monitoreo de red, entre otros.
• Falta recursos con conocimiento especializado en ciberseguridad: las personas dedicas a ciberseguridad son cada día menos en cantidad y formación (pues los nuevos retos, hacen que lo expertos en seguridad deban tener múltiples conocimientos transversales.
• Uso inadecuado de las capacidades tecnológicas: debido a las falta de recursos especializados, el uso inadecuado de las tecnologías usadas por las organizaciones ocasiona el desaprovechamiento de características poderosas para combatir este nuevo escenario de amenazas.
  
  

¿Cómo podemos ayudarle?

Para responder y adaptarse de forma más rápida a estos nuevos paradigmas, hemos establecido la seguridad adaptativa como la forma más útil para ayudar a clasificar las inversiones de seguridad en función del riesgo. Las siguientes etapas enmarcan la adopción de este modelo:

Etapas del modelo de seguridad adaptativa