Qué carencias tienen la mayoría de las estrategias de gestión de riesgos de seguridad de los CISO
Un aspecto clave de la ciberseguridad es la necesidad de conocer los riesgos y saber cómo minimizarlos. Las personas y las organizaciones suelen considerar el riesgo pensando en aquello que intentan proteger. Cuando hablamos de riesgo en el mundo de las TI, nos referimos principalmente a los datos, con términos como «privacidad de datos», «fuga de datos» y «pérdida de datos». Pero, en el ámbito de la ciberseguridad, el riesgo no solo tiene que ver con la protección de los datos. Así pues, ¿qué debemos contemplar en nuestra estrategia de gestión de riesgos de seguridad?
Proteger los datos y bloquear las vulnerabilidades conocidas son buenas tácticas de ciberseguridad, pero no son los únicos frentes en los que debe centrarse el CISO. Lo que falta normalmente es abordar la gestión de riesgos desde una perspectiva global, con una estrategia que vaya más allá de los datos.
Las empresas modernas de TI no solo consumen y generan datos, sino que también poseen infinidad de dispositivos, entre los que se encuentran los dispositivos IdC, que muchas veces escapan a la supervisión y al control directo de las operaciones centrales de TI. La pérdida de datos es efectivamente un riesgo, pero también lo son las interrupciones del servicio, sobre todo a medida que los dispositivos IdC y de tecnología operativa (TO) van ganando peso en la sociedad. En las operaciones del sector sanitario, por ejemplo, el fallo de un dispositivo médico puede tener consecuencias graves para la salud de los pacientes.
Retos que plantea la gestión de los riesgos de seguridad
Los ataques siempre toman formas distintas y las configuraciones de los dispositivos varían continuamente. De la misma forma que las TI están en constante evolución, conviene tener presente que la gestión de riesgos no es algo estático.
Muy al contrario, se trata de un concepto totalmente dinámico; de ahí que afrontar el riesgo con medidas puntuales no sirva de mucho. A la hora de evaluar el riesgo hay que tener en cuenta muchos aspectos de las TI y el IdC. Las organizaciones necesitan gestionar el riesgo de diferentes usuarios, aplicaciones, ubicaciones de implementación y patrones de uso, y todos esos factores cambian continuamente.
La gestión de los riesgos de seguridad plantea una serie de retos, entre los que destacan el tamaño y la complejidad de la infraestructura informática y del IdC. Hoy en día, es fácil que un CISO pueda sentirse abrumado por la ingente cantidad de información y de datos procedentes de un número cada vez mayor de dispositivos de muy diversos tipos, cada uno con su propia superficie de ataque. Para un humano no es fácil documentar con precisión todos esos activos de TI e IdC y saber el riesgo concreto que representa cada uno. Gestionar un conjunto diverso de políticas, dispositivos y controles de acceso en una empresa distribuida, con una estrategia que minimice el riesgo, es una tarea compleja y nada trivial.
Una mejor estrategia para gestionar los riesgos de seguridad
La gestión de los riesgos de seguridad no es algo que se consiga de una vez ni tampoco con una sola herramienta. Se precisa una estrategia con varios componentes clave, que ayude a los CISO a subsanar las deficiencias y a sentar las bases adecuadas para obtener mejores resultados.
Dotarse de visibilidad.Para poder subsanar deficiencias, en primer lugar las organizaciones deben saber con qué activos cuentan. La gestión de activos de TI e IdC no consiste solo en saber qué dispositivos gestionados tiene una organización; también hay que tener constancia de los dispositivos IdC no gestionados y saber qué sistemas operativos y versiones de las aplicaciones se utilizan en todo momento.
Garantizar la supervisión continua. El riesgo no es estático y la supervisión tampoco debería serlo. La gestión del riesgo pasa por supervisar continuamente todos los cambios: quién accede a la red, dónde se conectan los dispositivos y qué hacen las aplicaciones.
Centrarse en la segmentación de la red.Ante un posible incidente de seguridad, el riesgo se puede reducir acotando el «radio de explosión» de la amenaza. Al segmentar la red y ejecutar diversos servicios y dispositivos solo en segmentos específicos, se puede minimizar la superficie de ataque y evitar que los dispositivos IdC no gestionados puedan usarse como trampolines para atacar otras áreas de esa red. De esta forma, un exploit del sistema no afectaría a toda la organización, sino únicamente al segmento de red atacado.
Priorizar la prevención de amenazas.Las tecnologías de prevención de amenazas, como la protección del endpoint y de la red, son también componentes fundamentales de una estrategia eficaz de gestión de riesgos de seguridad. Igualmente importante para la prevención de amenazas es contar con una configuración de políticas adecuada y un acceso según el criterio del mínimo privilegio en los endpoints, incluidos los dispositivos IdC y las tecnologías de protección de la red, para evitar que se produzcan posibles ataques.
l aprendizaje automático y la automatización son la clave para ejecutar todos estos componentes estratégicos a gran escala. Gestionar un volumen cada vez mayor de datos, tráfico de red y dispositivos es una tarea inabarcable para un equipo de personas, y no digamos ya para una sola. Gracias a la automatización con aprendizaje automático, hoy ya es posible identificar rápidamente todos los dispositivos de TI, IdC, TO y BYOD para mejorar la visibilidad, correlacionar la actividad bajo una supervisión continua, recomendar las políticas adecuadas de acceso según el criterio del mínimo privilegio, sugerir una configuración optimizada para la segmentación de la red y añadir una capa adicional de seguridad con prevención proactiva de amenazas.