Una zambullida a las mejores prácticas de seguridad digital
Observando el avance aparentemente desenfrenado del cibercrimen y amenazas cada vez más sofisticadas, nos preguntamos: ¿qué diferencia una empresa de otra o un sector de otro en la defensa de sus activos e información contra la ofensiva digital? ¿Por qué una organización funciona mejor que otra en la recuperación de incidentes de ciberseguridad? Sabemos que las respuestas no son sencillas, y precisamente por eso estas preguntas han guiado la segunda edición del informe Cisco Security Outcomes, que trae los resultados de una investigación de campo aplicada a más de 5.100 profesionales de TI y seguridad, en 27 países.
El estudio es una continuación de la primera edición de Cisco Security Outcomes, que mapea las prácticas más eficientes en la respuesta a incidentes de ciberseguridad. Esta vez, bajamos algunos niveles y medimos lo más importante en la gestión de esta política. Las 25 prácticas generales mapeadas fueron probadas y correlacionadas a la obtención de 11 resultados, siendo que cinco de ellos llaman la atención, porque se mostraron efectivos para la mayoría de las organizaciones entrevistadas.
Un punto para destacar es que el sector financiero sigue siendo el principal objetivo de los ciberataques y, como consecuencia, presenta un alto grado de madurez en ciberseguridad. Recientemente, se observó una intensificación de las amenazas en todos los sectores económicos, especialmente en las áreas de salud y educación, siendo salud uno de los más atacados. Nunca está de más recordar que el interés aquí es el valor de los registros médicos.
Volviendo a las estrategias exitosas en la gestión de ciberseguridad, los «cinco principales» indicadores de éxito son:
1) Actualización tecnológica proactiva;
2) Tecnología bien integrada;
3) Respuesta adecuada a incidentes;
4) Recuperación inmediata de desastres;
5) Detección precisa de amenazas.
La actualización tecnológica diferencia a las empresas por ser una práctica aún en desventaja en las estrategias corporativas. Para hacerse una idea, de las tecnologías de seguridad utilizadas por las empresas, 39% son consideradas obsoletas y casi 13% de los entrevistados afirman que al menos 8 de cada 10 herramientas de seguridad presentan signos de desgaste. Un hecho que, por sí solo, puede ayudar a explicar muchos de los beneficios de una estrategia de actualización tecnológica proactiva. Al parecer, las últimas tecnologías aportan capacidades avanzadas para hacer frente a una horda de amenazas cibernéticas en constante evolución. Y destaco aquí que el 81,6% de las organizaciones con arquitecturas basadas en la nube relatan sólidas capacidades de actualización tecnológica.
Sobre el indicador de la integración, es decir, tecnologías y procesos integrados, los entrevistados afirman que esta práctica mejora la eficiencia del monitoreo y de la auditoría. También es importante reforzar la relevancia de la interoperabilidad y de la integración no solo de la tecnología, sino de los procesos corporativos, para llegar a un estándar considerado ideal en ciberseguridad.
Muchos proveedores afirman, con todas las letras, que sus productos se integran con soluciones de los competidores, pero vemos que esto sucede poco en la práctica. No es raro encontrarnos con empresas con dificultad de uso de una solución, porque el esfuerzo y el costo técnico de hacerla funcionar integrada a las demás herramientas imposibilitan la estrategia. Y aquí un aviso al mercado: más de 3/4 de las organizaciones preferirían comprar soluciones integradas a construirlas y más del 41% de las empresas con sistemas altamente integrados para la identificación de recursos y riesgos importantes presentan capacidades de detección de amenazas mucho más robustas. Entonces, en un sentido real, la lucha contra los enemigos y contra la fragmentación van de la mano.
En lo que respecta a la respuesta a incidentes, vemos que casi todas (aproximadamente 92%) las organizaciones con personas, procesos y tecnología sólida logran anticipar amenazas con capacidades de detección y respuesta. Aquí una curiosidad: el estudio identificó que, a pesar de la tendencia al outsourcing, equipos internos presentan mejor desempeño y son más productivos en el área de ciberseguridad que profesionales o empresas tercerizadas.
Una de las métricas más objetivas para esta comparación es el tiempo medio de respuesta (MTTR) o el tiempo medio de corrección o contención de un incidente de seguridad. En el estudio, las empresas con equipos internos disfrutan de un MTTR un 50% menor que los modelos tercerizados (unos 6 días frente a 13 días). Aquellas que operan con modelos de personal híbridos alcanzan desempeño mediano (cerca de 8 días), con MTTRs que no son tan rápidos como los de los equipos internos, pero responden mucho más rápido que los tercerizados.
Puede que se pregunten si hay una vuelta al pasado aquí. Y eso es todo. Después de permanecer en segundo plano en las violaciones de datos y en el espionaje cibernético durante varios años, el tema de la continuidad de los negocios y la recuperación de desastres (BCDR) vuelve al centro de atención. La razón de esto es la creciente actuación de ransomware. Las interrupciones de los principales proveedores de hosting y así sucesivamente forzaron grandes cambios en las estrategias para garantizar la resiliencia ante amenazas implacables.
El Security Outcomes Study clasificó la recuperación de desastres inmediata como el cuarto contribuyente más importante para la creación de programas exitosos de seguridad cibernética. Y mostró correlaciones importantes en los 11 resultados, excepto uno (cultura de seguridad). Por otro lado, menos de tres de cada diez empresas afirman que las funciones de recuperación de desastres cubren al menos el 80% de los sistemas esenciales. La mitad está en el rango del 50% al 79% y algo menos del 20% admiten tasas de cobertura inferiores a esa.
A primera vista, no parece tan malo. Después de todo, la mayoría de los sistemas esenciales de la mayoría de las empresas tienen cobertura. Pero, desafortunadamente, este hecho ignora la molesta tendencia de que los desastres ocurren en lugares inesperados y nuestros datos sugieren que esto sucede con más frecuencia de lo que nos gustaría admitir.
Un indicativo que se ha demostrado muy eficaz es la repetición de los ensayos de recuperación de desastres, algo similar a lo que hacen las brigadas de bomberos en los edificios, por ejemplo. Hay muchas maneras diferentes de probar los recursos, incluyendo tutoriales de plan, ejercicios teóricos, pruebas en vivo, pruebas paralelas y pruebas de producción completa. Preguntamos a los encuestados sobre la frecuencia con que sus empresas realizan estos ejercicios y comparamos esto con la probabilidad de mantener la continuidad de los negocios.
La pregunta que surgió fue: ¿Debemos desencadenar el caos? En el tema de la prueba de estrés del plan de recuperación de desastres, vamos a maximizar el «estrés». Estamos hablando de la ingeniería del caos, en el que los sistemas se interrumpen (de manera intencional) periódicamente para probar la capacidad de soportar condiciones y eventos inesperados. ¿Quiere saber si lanzar una llave inglesa a los sistemas de TI y seguridad puede ayudar a que la empresa sea más resistente? Preguntamos a los encuestados hasta qué punto las empresas participan en la ingeniería del caos y descubrimos que esto es más común de lo que esperábamos. Es importante darse cuenta de que existe una relación entre esta práctica y la integración tecnológica. Más de la mitad de las empresas para las que la ingeniería del caos es la práctica estándar informa de tecnologías altamente integradas que apoyan los recursos de recuperación.
No está claro, sin embargo, si la integración exige o viabiliza la ingeniería del caos. Al igual que con muchos aspectos en este campo, probablemente es un poco de ambos. La certeza es que hay que vigilar esta nueva disciplina, especialmente si usted va a responder por un ambiente complejo de TI. Las empresas que adoptan la práctica estándar de ingeniería del caos son dos veces más propensas a alcanzar altos niveles de éxito que aquellas que no la utilizan. Y no eres el único que está en desacuerdo con ese resultado. La buena noticia es que podemos poner en peligro la situación antes de que nos impacte de nuevo, haciendo que trabaje a su favor a través de la práctica de la ingeniería del caos.
