Los equipos de tecnología y seguridad de las organizaciones en general están enfrentando grandes retos con la evolución de las tecnologías y la transformación digital para eficientar e innovar los procesos de negocio, proyectos de migración a la nube, la operación híbrida que ha dejado la pandemia y la integración de dispositivos de tecnologías de operación (OT) y tecnologías del internet de las cosas (IOT). Todo este crecimiento y evolución que ha sido disruptivo en los últimos años lleva a incrementar los riesgos de la organización en la exposición de sus activos tecnológicos, dejando una gran inquietud que es: ¿Dónde está ahora el perímetro en mi organización? Hace unos años atrás, el proteger la organización o mitigar los riesgos tecnológicos se basaba mucho en el concepto de perímetro, pero ahora este concepto se ha ido difuminando, exponiendo a la organización a riesgos mucho más grandes, esto aunado al incremento de las amenazas, a los actores de amenaza que han venido en constante evolución y al aparecimiento de nuevos grupos cibercriminales, que son bandas sumamente organizadas que utilizan no solo nuevas tácticas, técnicas y procedimientos, sino también han evolucionado sus tecnologías. De todo lo anterior, surge la interrogante ¿Dónde se encuentra el límite entre lo seguro y lo inseguro? En un entorno donde los ataques son más avanzados y la superficie de ataque más amplia, las organizaciones deben romper el paradigma de la gestión de la ciberseguridad y evolucionar a la operación de la ciberseguridad bajo un esquema de adaptabilidad. En el ámbito de la ciberseguridad se define a la adaptación como una condición de relevancia cuando los riesgos cambian de manera constante. Es así como la seguridad adaptativa considera la implementación de arquitecturas de seguridad que se adaptan a su entorno, con el fin de conocer comportamientos y eventos que permitan anticiparse a las amenazas. Sí, claramente estamos hablando de no manejar solo controles como lo establecen la mayoría de marcos de referencia, sino el subir un nivel y generar capacidades e integrar herramientas que permitan el desarrollo de estas capacidades para visualizar los comportamientos y los eventos que suceden en la red, en los activos y en toda la infraestructura de la organización para reducir las amenazas. Esto quiere decir que la ciberseguridad adaptativa es un modelo o enfoque de seguridad en tiempo real, que investiga continuamente comportamientos y eventos para protegerse contra las amenazas y adaptarse a ellas, un nuevo modelo de ciberseguridad cuyos objetivos son: “crear un ciclo de retroalimentación de visibilidad, detección y prevención de amenazas, así como capacidad de respuesta y predicción”, para proteger a las organizaciones. Este modelo tiene 4 pilares en su infraestructura que son: Prevención, Detección, Respuesta y Predicción; este es un modelo que tiene muchos años de existir, sin embargo hace unos años se lanzó el modelo CARTA (Continous Adaptative Risk and Trust Assessment o en español evaluación adaptativa continua del riesgo y la confianza) y junto a este se vio un estudio que indica que el 85% de las organizaciones se encuentran en el pilar de la prevención, basando su seguridad en soluciones y productos como son el Firewall, Antivirus, Antimalware, Web Application Firewall, Sistemas de prevención de intrusiones (IPS) entre otros, dispositivos que en su mayoría utilizan Indicadores de compromiso conocidos (IoCs) o librerías de estos y de técnicas, tácticas y procedimientos conocidos (TTPs), pero ¿Qué sucede si soy víctima de un tipo de un incidente o amenaza no conocida o basada en nuevas TTPs que han sido evolucionadas ocultándose atrás de procesos normales de la organización?. Es acá donde soluciones y capacidades, que me permitan detectar y responder con base a comportamientos y correlación de eventos identificando así comportamiento o actividades maliciosas que puedan estar poniendo en riesgo la organización, se vuelven fundamentales. Respecto al pilar de la predicción, es llevar a los equipos de TI y seguridad a estar informados sobre eventos externos, a monitorizar las actividades de los atacantes; este nivel permite anticiparse a nuevos tipos de ataques y brinda información que mejora aún más las capas de prevención y detección. Estos cuatro pilares constituyen un ciclo de madurez y mejora continua que está en constante evolución. |
Ahora bien el modelo de ciberseguridad adaptativa trata el riesgo, la confianza y la seguridad como un proceso continuo que se anticipa y mitiga las amenazas cibernéticas en constante evolución. Para iniciar con un modelo de ciberseguridad adaptativa debemos de iniciar desde dos puntos fundamentales, el primero la confianza: uno de los puntos fundamentales es actuar y tratar la ciberseguridad desde la desconfianza (acá todos son culpables hasta que se demuestre lo contrario), por eso se deben de implementar modelos de cero confianza (zero trust) en nuestros activos y redes. El segundo elemento es la visibilidad, no podemos proteger aquello que no podemos ver. Las acciones que debe iniciar este modelo en una organización parten de la visibilidad e instaurar controles, políticas, procedimientos y soluciones que permitan esta visibilidad de los activos, las redes, la infraestructura y las comunicaciones, así como implementar posturas de cero confianza y gestionar estas posturas de manera eficiente y eficaz para prevenir los riesgos y amenazas que evolucionan. Necesitamos una seguridad que se adapte en todas partes, para aprovechar la oportunidad y gestionar los riesgos que vienen con este nuevo mundo digital, brindando seguridad que se mueve a la velocidad de los negocios digitales. El modelo de ciberseguridad adaptativa permite: 1. 100 % de visibilidad del dispositivo y un control automatizado del mismo.. 2. Supervisión continua, evaluación y corrección del riesgo cibernético y operativo. 3. Microsegmentación para contener brechas y limitar el movimiento/daño lateral. 4. Tecnologías y productos de múltiples proveedores. 5. Nuevos niveles de orquestación de múltiples proveedores y automatización de procesos/respuestas. 6. Descubrimiento, evaluación de postura y remediación/control de dispositivos físicos y virtuales, así como infraestructura y cargas de trabajo en la nube. 7. Gestión eficaz de la seguridad de dispositivos IoT y sistemas OT. |
En la Seguridad adaptativa permanecen quienes mejor se adaptan: en un ambiente de riesgos dinámicos, sobreviven los más aptos, los que consiguen adaptarse mejor al entorno.
SPC Internacional puede ayudarle a alinear las estrategias de ciberseguridad acorde a sus necesidades, para mayor información: https://spcinternacional.com/contactenos/