cisco

DICIEMBRE 4, 2013

Oscar Gutierrez

Por Oscar Gutierrez, Gerente de Desarrollo de Negocios de Enterprise Networking y Seguridad Cisco México

Hay varias tendencias que están confluyendo para cambiar de manera importante la forma cómo – a través de la red-  nos conectamos entre personas y con distintos dispositivos. Una creciente movilidad, la adopción de dispositivos móviles, la creciente adopción de aplicaciones en la nube, el crecimiento de tráfico relacionado con video son algunas de estas tendencias. Pero la qué más impacto tendrá es lo que conocemos como el Internet de Todo que consiste en conectar lo que antes no estaba conectado como cámaras de video vigilancia, sistemas de control de edificios, la red eléctrica, autos, transporte público, televisores, entre otros.

Estas tendencias están generando ganancias importantes en eficiencia y están habilitando nuevos modelos de negocio que pueden también generar ahorros en costos y aumento en productividad significativos, sin embargo, esta oportunidad tiene que ser reforzada en términos de seguridad para que los riesgos potenciales que surgen con estas tendencias no se vuelvan un inhibidor y al mismo tiempo la seguridad sea vista como un habilitador no como un gasto.

En este mundo cada vez más interconectado no solo las empresas y sus empleados ven oportunidades. Existen individuos y organizaciones criminales, entre otros,  que buscan aprovechar los puntos débiles o la falta de conciencia de los usuarios y las organizaciones con respecto de la seguridad para hacer daño: El robo de propiedad intelectual, la estafa, el uso no autorizado de recursos, el sabotaje y el espionaje están entre sus objetivos. Una instancia de estas amenazas se ve en lo que se denomina como un APT (Amenaza Avanzada Persistente por sus siglas en inglés) en la cual un grupo apunta a un objetivo particular, una empresa o un gobierno, para vulnerarlo de manera metódica y utilizando varias técnicas de ataque de forma coordinada.

Claramente este entorno representa un reto nuevo en varios sentidos y tenemos que aceptar que el cambio es y será constante por lo que lo único “normal” hoy en día es que el día no sea “normal” y para enfrentar este ambiente cambiante un enfoque tecnológico quizá se quede corto o sea insuficiente por lo que tenemos que abordar el problema con un enfoque más metodológico.

La manera en la que en Cisco vemos este enfoque es sencilla, y por lo tanto fácil de adaptar a la realidad de cada empresa; la metodología se basa en que todo ataque existe un Antes, un Durante y un Después.

El Antes se refiere a las defensas que las empresas construyen para evitar que los atacantes se infiltren desde el exterior. En esta etapa normalmente las empresas se enfocan en la seguridad “perimetral”, es decir, asegurar que nadie entre por la salida a Internet, pero rara vez se voltea a ver hacia adentro de la organización. Los equipos que típicamente forman esta defensa perimetral son Firewalls, IPS, Filtros de Contenido, Anti Spam, etcétera.

El Durante es la etapa dónde estamos bajo un ataque y por supuesto todo debe comenzar por que tengamos las herramientas para poder detectar esta situación al mismo tiempo que debemos poder identificarlo, aislarlo y detenerlo. Claramente la llegada de más dispositivos a la red de la empresa, principalmente dispositivos móviles hoy, pero de otros tipos mañana, generan la necesidad de tener una gran capacidad de visibilidad de lo que pasa en la red y por lo tanto requiere enfoques innovadores.

Por último, las APTs y la sofisticación del malware actual que se replica a gran velocidad y a veces no es detectado por los antivirus tradicionales nos obliga a tener herramientas que nos permitan detectar el origen de una infección o ataque, esta etapa es el Después.

Pero si bien una buena estrategia es importante también lo es el evitar cometer algunos errores que nuestra experiencia nos ha mostrado son los más comunes.

Aquí algunos de estos errores en ningún orden en particular.

Error 1: La seguridad cómo una meta y no cómo un habilitador

Sí, por supuesto que tenemos que aspirar a tener un nivel de seguridad aceptable para la operación de la organización, pero eso es una cosa y otra muy distinta es pensar que se puede estar 100% seguro. Incluso, podemos proponer que aspirar a esto no es una meta que se pueda alcanzar en la realidad ni es económicamente sensato para la mayoría de las organizaciones. Lo primero sucede porque, como ya vimos, el cambio es constante, el día que uno piensa que la empresa está 100% segura es el día que algo cambia y difícilmente podremos mantener el ritmo de cambio. Lo segundo se puede explicar con esta historia: Un día un director de una empresa se acerco con su gerente de TI y le preguntó cómo podían tener un “sistema” 100% seguro, el gerente de TI contestó muy calmado: “Simple, desconectemos todas las PCs de la red y no dejamos que los usuarios las toquen”. Si esta idea se llevará a cabo la red sería bastante segura pero difícilmente habría empresa que proteger en poco tiempo.

Error 2: Primero la tecnología, luego el análisis de riesgo

Ciertamente entender los aspectos más técnicos de la seguridad cibernética requieren una base de conocimiento que probablemente pocos colaboradores en una empresa posean. Para agravar esta situación se suma a que vivimos en un entorno donde proliferan historias de ataques y las experiencias personales que refuerzan la sensación de incertidumbre por lo que es fácil caer presa del miedo y reaccionar buscando solucionar un problema aparentemente tecnológico solamente invirtiendo en tecnología.

Esta es una estrategia común que no nos garantiza tener mayor seguridad y puede terminar en inversiones cuyo retorno será difícil o imposible de medir. El enfoque adecuado comienza con una decisión estratégica dónde la organización entiende de manera consciente cuáles son los riesgos más importantes para la operación y la supervivencia de la misma, así como cuáles son aquellas cosas que si bien son importantes quizá no son vitales. Otra manera de analizar este punto es bajo la lupa del “core” vs “context” que el Teórico Organizacional Geofrey Moore propone en su libro “Dealing with Darwing”, una organización debe entender cuáles son los riesgos inherentes a aquellos procesos que son “core” o fundamentales para la organización y cuáles son “contexto”, es decir, habrá un nivel de riesgo entendido y aceptado por la organización haciendo un balance siempre por proteger lo vital y hacer lo mejor posible por lo que no es vital. Por supuesto, la estrategia de seguridad adecuada se encargará de proteger los procesos que son parte esencial de la operación del negocio y hará su mejor esfuerzo por proteger el contexto pero no se desgastará buscando proteger el 100% de la organización el 100% del tiempo, ya que como vimos anteriormente esto no es alcanzable ni económicamente factible.

Por la naturaleza de este proceso cada organización tendrá una definición distinta del nivel de riesgo que puede aceptar, pero teniendo un conocimiento claro de este nivel será más fácil tomar decisiones sobre cuál es la mejor tecnología que soporte ese nivel de riesgo y el retorno de la inversión en la misma será más fácil de medir ya que se podrán definir métricas no solo técnicas como por ejemplo la disponibilidad de los procesos de negocio que la tecnología de seguridad está protegiendo.

Error 3: “Los mejores productos del mercado me dan la mejor seguridad del mercado”

Este punto está íntimamente ligado con el anterior pero merece un comentario aparte ya que es un pensamiento común entre muchos profesionales de la seguridad quienes consideran que  la mejor “caja” o software existentes en el mercado y donde no se explica  la definición de mejor, es la que me dará la mayor seguridad. Con base a lo señalado en el punto anterior está claro que el nivel de riesgo que la organización defina como aceptable no se va a lograr con una caja ya que este nivel de riesgo, y el cómo se mide, serán únicos  y diferentes para cada organización y no necesariamente lo que un programador o ingeniero diseñen estará 100% alineado con este nivel particular por más que la tecnología empleada sea de “clase mundial”.

Un mejor enfoque es abstraerse de los componentes discretos de la seguridad, por ejemplo, software de AV, firewall, IPS entre otros y pensar en qué servicios de seguridad la red y el software deben ofrecer;  con base en estos servicios definir cuál debe ser la arquitectura que va a llevar a la organización a manejar el nivel de riesgo adecuado, independientemente de qué cajas o software utilice.

Error 4: Enfocarse en el Ahora y no en el Durante y en el Después

La arquitectura prevaleciente hasta ahora en términos de seguridad mandaba como mínimo tener firewalls e IPS en el perímetro de la red, protegiendo principalmente la salida a Internet ya que de alguna manera el resto se cuidaba sólo. Como ya lo explicamos, hoy más que nunca el “enemigo” – entiéndase, un dispositivo infectado o cuya seguridad ha sido vulnerada- puede estar dentro de la organización en la forma de un dispositivo móvil u otro dispositivo conectado a la red, es decir que las amenazas pueden, literalmente, “entrar caminando” a la empresa esquivando toda nuestra seguridad perimetral. Esto nos obliga a que, sin descuidar el Antes, comencemos a ver con más detalle el Durante y Después. Para lograrlo, lo primero que hay que hacer es implementar medidas que nos den una mejor visibilidad de lo que pasa en la red. Cabe destacar que los elementos de la red como switches, controladores WLAN, ruteadores, APs y concentradores de VPNs nos pueden dar mucho del contexto necesario para tener esta visibilidad y, salvo los ambientes más extremos, no es necesario poner una red sobrepuesta a la red existente para lograr niveles de visibilidad y de respuesta no existentes anteriormente.

Error 5: La seguridad tiene que ver todo con TI y nada con el resto de la organización

Cómo ya vimos la tecnología de seguridad cibernética nos puede ayudar a manejar un nivel de riesgo adecuado para la organización pero no necesariamente es una solución en si misma ya que los atacantes tampoco se basan 100% en herramientas tecnológicas para lograr sus cometidos. Técnicas de “ingeniería social” y de vulnerabilidad de la seguridad física pueden ser utilizadas en las etapas iniciales de un ataque o de un APT, es por esto que crear una conciencia en toda la organización de cómo funcionan estas amenazas y qué riesgo representan es fundamental pero no debe considerarse como la solución única ya que junto con esta información es necesario que toda la organización tenga claras las políticas y las acciones a tomar cuando sospechan o enfrentan un ataque no basado en tecnología, por ejemplo, tener un número telefónico o un correo electrónico disponible para toda la organización donde se puedan reportar estos incidentes y claro con personas a cargo de esta línea o correo que tengan capacidad de respuesta.

Ciertamente la seguridad es un tema que debe incumbir a toda la organización ya que conforme los procesos de negocio dependen cada vez más y más de la disponibilidad de la red es importante que todos los integrantes de la misma sean parte de la respuesta y no se piense en la seguridad cibernética como un problema exclusivo de TI.

Cisco cuenta con ofertas de servicios avanzados que pueden ayudar a definir la arquitectura adecuada de seguridad, así como la oferta tecnológica de seguridad más amplia del mercado y con el liderazgo tecnológico que permite enfrentar el mayor número de amenazas desde distintos puntos de vista.

Para más información sobre la oferta de seguridad de Cisco y sus beneficios le invitamos a visitar www.cisco.com/go/security