La seguridad real depende del conocimiento real
TPB297, ene20. Confucio dijo una vez: «El verdadero conocimiento es conocer el alcance de la propia ignorancia». Los equipos de TI modernos tienen que saber mucho más que nunca sobre dispositivos, activos de TI, servidores, servicios en nube y aplicaciones web. Sin embargo, sin datos precisos y oportunos sobre los activos de TI, los equipos de seguridad pueden ignorar su propia ignorancia. ¿Por qué la tarea de inventario de activos de TI es tan difícil hoy en día? ¿Cómo proteger todos los activos de TI de una manera coherente y cabal?
PARA ENTENDER por qué el inventario de activos de TI es un problema hoy en día, tenemos que mirar atrás y ver cómo los equipos de seguridad de TI han tenido que lidiar con una ola tras otra de nuevos dispositivos de TI en diferentes lugares. Existe una enorme variación en la forma en que se describen estos activos, desde múltiples nombres para la misma empresa o producto de software, hasta múltiples herramientas o productos que satisfacen las mismas necesidades empresariales. Si consideramos la gran cantidad de herramientas de colaboración disponibles de Microsoft, desde Skype y Skype for Business hasta Lync y ahora Microsoft Teams, entonces podemos ver el problema potencial sobre la variación del software.
Desde los activos centrales de TI tradicionales que sólo existían en las redes corporativas o en los centros de datos, hoy en día tenemos muchos más sistemas de TI, localizados en servicios públicos en la nube o en centros de datos de terceros. Hemos compartido la responsabilidad en torno a estos activos en lugar de un control total. Y tenemos sistemas de TI que pueden durar días o incluso horas seguidas, en lugar de las inversiones a largo plazo.
Paralelamente, tradicionalmente hemos dirigido equipos de seguridad de TI con principios bastante simples. Normalmente, los departamentos de seguridad adquieren las mejores soluciones para proteger sus entornos y hacer frente a los diferentes riesgos. Estas nuevas herramientas ampliarían la seguridad de la empresa, pero también significa que cada producto será una isla tecnológica responsable de sus propias operaciones. Cada vez que se introduce una nueva solución, habrá que considerar otro panel de gestión y administrar otra solución de seguridad.
Este enfoque funcionaba cuando todo estaba centralizado. Sin embargo, rápidamente se volvió abrumador a medida que los atacantes descubrieron nuevas formas de penetrar las defensas de la red y se necesitaron más soluciones nuevas para mantenerse al día. Si bien cada solución puede hacer bien su propio trabajo, es cada vez más difícil crear la visibilidad global necesaria para responder eficazmente a los ciberataques.
En el entorno actual, los perímetros entre los servicios internos de TI y los servicios externos se han difuminado y borrado. Lograr una visión precisa de todo es más difícil, mientras que esa legendaria «fuente única de verdad» en torno a la TI es ahora más importante que nunca.
Para resolver estos problemas, es esencial contar con un servicio central que pueda reunir todos los datos de telemetría correctos en un solo lugar. Los datos recogidos pueden normalizarse, correlacionarse y enriquecerse para obtener una imagen verdaderamente precisa de los activos existentes.
En lugar de desplegar, mantener y operar esta plétora de las mejores soluciones tradicionales individualmente, estas soluciones pueden funcionar como parte de un enfoque integral cohesivo. Esto es particularmente importante cuando vemos que los equipos luchan con la escasez de talento para cubrir puestos vacantes, y cuando es esencial proporcionar una progresión profesional satisfactoria para mantener a ese personal a lo largo del tiempo.
«La seguridad debe ser un procedimiento que se sitúe junto a otros procesos empresariales y de TI para, a continuación, hacer que esos flujos de trabajo sean lo más intuitivos y automatizados posible para los usuarios»
Orquestando el enfoque en torno a los datos
El enfoque tradicional de la seguridad empresarial se basaba en muchos productos diferentes, todos con su propio panel de gestión e integración limitada. Para conseguir ese enfoque unificado de la seguridad, estos sistemas tienen que estar integrados para que cualquier dato pueda correlacionarse y enriquecerse.
Esto puede lograrse utilizando las APIs de los productos para que estos compartan datos de forma efectiva entre sí, por ejemplo, proporcionando información sobre los parches disponibles junto con los datos de seguridad vulnerables o de inteligencia de amenazas, y vinculándolos a los datos de activos de TI contenidos en una base de datos de gestión de la configuración (CMDB).
Junto con el elemento técnico de la gestión de las API, es importante considerar cómo puede funcionar esta orquestación de seguridad a lo largo del tiempo. Esto implica considerar la seguridad como procedimientos que se sitúan junto a otros procesos empresariales y de TI y, a continuación, hacer que esos flujos de trabajo sean lo más intuitivos y automatizados posible para los usuarios.
Este enfoque se basa en las lecciones aprendidas en DevOps, donde los desarrolladores y los equipos de operaciones colaboran para conseguir que las nuevas versiones de código entren en producción más rápidamente. Mediante la integración y automatización de la seguridad en las tuberías de DevOps que impulsan los proyectos de transformación digital, el enfoque de la seguridad puede hacerse más eficiente, ya que se lleva a cabo junto con cualquier desarrollo y entrega de código. Los equipos de seguridad de TI pueden sustituir así el modelo de «seguridad como gatekeeper», en el que sólo se involucran antes de las implementaciones de producción a gran escala o cuando se han desplegado los servicios.
En cambio, este enfoque puede ayudar a las empresas a ahorrar dinero y tiempo, así como a mejorar la seguridad. En lugar de tratar de arreglar el software en la producción, cuando el coste del tiempo de inactividad o de hacer cambios es mucho más caro, los cambios se pueden participar antes, en el proceso de desarrollo. Al considerar la seguridad como un proceso incorporado desde el principio, será necesario hacer algunos cambios en el enfoque.
Por ejemplo, esto significa buscar vulnerabilidades y probar la seguridad antes, en el punto en el que se desarrolla la aplicación. En lugar de adoptar un enfoque de confrontación con los desarrolladores, la seguridad puede concentrarse en facilitar la búsqueda de fallos y su solución antes de que salgan de las fases de desarrollo. Este enfoque de colaboración y organización de la seguridad se basa en datos precisos y de buena calidad.
¿Hacia dónde se dirige la seguridad?
En el nivel más básico, la seguridad de TI comienza con el conocimiento, en todo momento, de lo que está conectado a la red y/o contiene los datos. Obtener este nivel de conocimiento implica la categorización automática de dispositivos, sistemas operativos, bases de datos, aplicaciones y hardware que se extienden a través de entornos locales, puestos de trabajo, nube y dispositivos móviles, IoT, etc.
Aunque la complejidad de la TI ha aumentado, todavía es posible obtener visibilidad instantánea de todos los activos de TI, desde los dispositivos locales hasta los activos en nubes y puestos de trabajo remotos. Al emplear una monitorización continua de todos estos activos y orquestar las respuestas correctas, todos podemos mejorar la manera en que respondemos a las amenazas potenciales con el tiempo.
Tenemos que abordar este importante problema en torno al conocimiento de los activos de TI, que consiste en no saber realmente lo que está conectado a nuestras redes. Es una complicación antigua para nosotros como individuos, por lo que no debería ser una sorpresa que este problema siga existiendo en los sistemas informáticos modernos. Sin embargo, la verdad es que no se puede asegurar lo que no se puede ver y lo que no se conoce.
Raúl Benito,
Territory Account Manager para España y Portugal de Qualys
«Al emplear una monitorización continua de todos estos activos y orquestar las respuestas correctas, todos podemos mejorar la manera en que respondemos a las amenazas potenciales con el tiempo»
