La práctica de proteger los sistemas de TI contra los ataques es tanto un reto técnico como un problema de gestión. 

No nos gusta admitirlo, pero el riesgo aceptable y la transferencia del riesgo son los problemas que impulsan la industria de la seguridad hoy en día. En lugar de la protección perfecta en el perímetro que era posible en el pasado, la TI actual es demasiado compleja para ser protegida sin fisuras. En lugar de eso, es mejor ver dónde focalizar los esfuerzos. Para aquellos que planean la estrategia de seguridad de una organización, lo mejor es que piensen en esta cuestión en el sentido más literal: ¿Qué tienes que perder?

El entorno de TI empresarial contemporáneo está poblado por una amplia gama de dispositivos. Hoy en día, los dispositivos en red están en todas partes: desde dispositivos estándar como ordenadores portátiles y servidores, teléfonos y tabletas hasta routers e impresoras, pasando por máquinas de café y otros dispositivos de IoT. Este universo digital tiene que ser catalogado y gestionado a lo largo del tiempo. Sin una lista precisa y actualizada, la seguridad se vuelve imposible.

El problema es obtener la lista completa cuando los dispositivos pueden conectarse y desconectarse de la red en casi cualquier momento. Y algo que complica aún más el proceso es el conjunto diverso de aplicaciones utilizadas. Además de los paquetes adquiridos que se ejecutan localmente en una estación de trabajo, las empresas confían cada vez más en las aplicaciones basadas en la nube y en el Software as a Service (SaaS) para llevar a cabo sus negocios. Para los profesionales de seguridad, TI y cumplimiento de normativas que tienen la tarea de mantenerse al día con todos estos activos, esto presenta un problema enorme, ya que es bastante posible que los equipos adquieran aplicaciones o activos de forma autónoma, a menudo sin tener que buscar la aprobación del departamento de TI.

Esto se denomina ‘Shadow IT’, y se refiere a las aplicaciones y dispositivos utilizados por los empleados para llevar a cabo su trabajo diario que no son gestionados o ni siquiera conocidos por la organización. Esto puede incluir una mezcla de teléfonos personales u ordenadores, departamentos que compran hardware adicional, servicios en la nube y aplicaciones.

Para que los equipos de seguridad de TI puedan manejar esto de manera efectiva, el viejo enfoque de simplemente impedir que la gente trabaje de forma colaborativa eliminando el acceso a estas aplicaciones o dispositivos no será efectivo. El único enfoque válido consiste en realizar un seguimiento eficaz de los activos nuevos o vulnerables. 

Es vital que las partes interesadas sientan que pueden discutir las herramientas que utilizan sin temor a represalias o castigos, mientras que los equipos de TI tienen que ser capaces de descubrir nuevos activos o software de TI rápidamente cuando se incorporan a la red. Al fomentar estas conversaciones abiertas en torno a la TI con una mayor visibilidad de los problemas potenciales, los equipos de seguridad de TI pueden gestionar los niveles de riesgo de forma más eficaz.

¿Sabes lo que podría ser vulnerable?

En El arte de la guerra, Sun Tzu escribió: “Si conoces al enemigo y te conoces a ti mismo, no debes temer el resultado de cien batallas. Si te conoces a ti mismo pero no al enemigo, por cada victoria obtenida también sufrirás una derrota. Si no conoces ni al enemigo ni a ti mismo, sucumbirás en cada batalla”.

El conocimiento es poder. Para los profesionales de la seguridad informática, el primer paso es conocer los activos del propio universo. Después de esto, puede priorizar lo que debe evaluar, proteger, defender, asegurar y arreglar.

Es útil adoptar un enfoque basado en los datos, en ver lo que existe dentro de la red y en qué estado se encuentra. Usando esta lista de activos y software, se puede priorizar los problemas de manera más efectiva y ser sensato sobre a dónde se dirigen los recursos. Para ello, es necesario contemplar qué amenazas y vulnerabilidades necesitan solución inmediata, y cuáles pueden esperar, ya sea porque no son demasiado graves o porque su explotación es tan difícil que el riesgo pasa del ámbito de lo práctico al mundo de lo teórico. 

Mediante una combinación de gestión de vulnerabilidades e inventario de activos de TI, es posible determinar qué activos deben trabajarse y cuándo. Hoy en día, hay soluciones que permiten ver todos los dispositivos que una empresa puede tener dondequiera que se encuentren. Las correcciones o actualizaciones necesarias pueden ser orquestadas en el flujo de trabajo para que ocurran en ventanas de tiempo convenientes para la instalación en lugar de tener que esperar a que los usuarios las permitan.

Priorizar sus esfuerzos

Para las empresas de hoy en día, la seguridad implica tener en cuenta las condiciones del mundo real y cualquier posible interrupción de la continuidad del negocio causada por la resolución de un problema. No se trata de una cuestión en blanco o negro, sino que la gestión del riesgo implica comprender lo que se tiene, las amenazas que existen y, a continuación, la mejor manera de utilizar los recursos.

About Author

Raúl Benito

Territory Account Manager de Qualys para España y Portugal

Deja un comentario