Los tres pilares de la defensa de la ciberseguridad

Por: Kelly Quintero, Gerente de Territorio BeyondTrust

Los fundamentos de la defensa de la ciberseguridad se han visto inundados por soluciones puntuales, falsas promesas y soluciones atornilladas que amplían el valor de una determinada tecnología, basándose en una necesidad. Al fin y al cabo, si contamos cuántas soluciones de seguridad hemos implementado, desde antivirus hasta cortafuegos, encontramos decenas de proveedores y soluciones en una organización. El usuario o ejecutivo medio ni siquiera conoce la mayoría de ellas, a pesar de que puede interactuar con estas a diario, desde clientes VPN hasta la autenticación multifactor.

En el marco del día de la ciberseguridad, considero clave hablar a profundidad sobre las soluciones que las empresas deberían adquirir para salvaguardar su información. Así, si damos un paso atrás y tratamos de agrupar todas estas soluciones a nivel macro, encontraremos que cada una de ellas cae en uno de los tres grupos lógicos. Estos constituyen los pilares de nuestras defensas de ciberseguridad, independientemente de su eficacia:

• Identidad: La protección de la identidad, la cuenta y las credenciales de un usuario contra el acceso inapropiado.

• Privilegio: La protección de los derechos, privilegios y control de acceso para una identidad o cuenta.

• Activo: La protección de un recurso utilizado por una identidad, directamente o como un servicio.

Aunque algunas soluciones pueden ser superconjuntos de los tres pilares, su objetivo es unificar la información de cada uno en forma de correlación o análisis. Por ejemplo, consideremos un gestor de información de seguridad empresarial (SIEM). Está diseñado para tomar los datos de seguridad de las soluciones que residen en cada pilar y correlacionarlos juntos para la detección avanzada de amenazas y la respuesta adaptativa. La correlación puede provenir de cualquiera de los pilares que tienen rasgos que existen en cada uno de ellos. Los parámetros de fecha y hora suelen ser la base, y una identidad que accede a un activo con privilegios es una forma simplista de ver cómo los pilares soportan toda la base de ciberseguridad de su empresa. Esto responde a: «¿Qué está ocurriendo de forma inapropiada en mi entorno, debería preocuparme?». Una buena solución de seguridad debe representar los tres pilares.

Para la mayoría de los proveedores y empresas, la integración de estos tres pilares es muy importante. Si las soluciones de seguridad están aisladas, no comparten información o sólo operan en su propio silo (uno o dos pilares), sus capacidades de protección tienen un alcance limitado. Por ejemplo, si una solución de protección contra amenazas avanzadas o una tecnología antivirus no pueden compartir información sobre los activos, o informar sobre el contexto de la identidad, entonces es como montar en un monociclo. Si se presiona demasiado, un entorno podría perder el equilibrio y caerse. Si esta analogía no le suena, imagínese que no se controla el acceso privilegiado a los activos sensibles. Nunca se sabría si una identidad está accediendo indebidamente a datos sensibles. Así es como los actores de las amenazas están infringiendo los entornos cada semana.

Cuando vea nuevas soluciones de seguridad, pregúntese qué pilar ocupan y cómo pueden apoyar a los otros pilares en los que confía y se apoya cada día. Si deben operar en un silo, asegúrese de entender por qué y cuál será su relevancia en el futuro. Hasta aquí, ¿cuál es el ejemplo de una solución de seguridad que opera sólo en un silo? Respuesta: una que no admite integraciones, reenvío de registros, tiene conceptos de activos (incluso si sólo se basa en la IP) o incluso el acceso a roles básicos. Suena como un dispositivo del Internet de las cosas (IoT). Una cerradura de puerta IoT que proporciona protección física para los activos basada en una identidad estática que no puede compartir los registros de acceso o integrarse con las soluciones de identidad actuales es una mala elección para cualquier organización.

Una solución antivirus independiente que no tiene informes centrales sobre el estado, las actualizaciones de las firmas o los fallos es otra. No hay manera de saber si está funcionando correctamente, si hay un problema, o incluso si está haciendo un trabajo excepcionalmente bueno bloqueando el malware. ¿Por qué elegir una solución antivirus de grado de consumidor para su empresa? Desgraciadamente, esto sucede todo el tiempo y terminamos con el enfoque de atornillar para resolver el problema.

Mientras estabilizamos nuestras mejores prácticas de ciberseguridad y nos centramos en la higiene básica de la ciberseguridad, considere los objetivos a largo plazo de su empresa. Si elige un proveedor que no opera en estos tres pilares, no tiene una estrategia de integración o es una solución puntual extraña, sea consciente de los riesgos. Todo lo que elijamos como solución de seguridad debería encajar en estos pilares; si no es así, hay que hacerse muchas preguntas. Por ejemplo, ¿por qué elegir un sistema de cámaras sin capacidad de gestión centralizada? Entra en el pilar de la protección de activos, puede supervisar el acceso físico por una identidad, pero sin capacidades y gestión centralizadas, es un polo independiente que no apoya su base. Necesita apoyar los tres pilares para ser una solución de seguridad eficaz y, en última instancia, proporcionar buena información para la correlación, el análisis y la respuesta adaptativa.

En conclusión, algunos podrían argumentar que hay cuatro o incluso cinco pilares para una sólida defensa de la ciberseguridad. Podrían ser la educación, los socios, etc. para apoyar su base. Yo prefiero pensar en todas las herramientas y soluciones en estas tres categorías. ¿Por qué? Una butaca de tres patas nunca se tambalea.