La hora dorada, una ventana de oportunidad para los incidentes de seguridad

Por Edgar Vasquez 

Imaginemos por un momento el panorama que deja un ciclón después de azotar las costas de un país: muchas casas dañadas; población sin electricidad ni agua potable, porque no hay energía para hacer funcionar las bombas; hospitales que apenas y funcionan; escasez de alimentos y sobre todo la posibilidad de que muchas personas, sobre todo niños, puedan enfermarse gravemente.
Ahora —continuando con el ejercicio de imaginación— vemos a un equipo de expertos que arriban a la zona afectada por el ciclón y que instalan un campamento para sólo estudiar cómo ocurrió el fenómeno natural, de dónde vino, a qué hora comenzó, cuál era la velocidad del viento, cuántas casas fueron dañadas y cuántas personas necesitan ayuda, ¡en vez de comenzar, al mismo tiempo, a atender a la población afectada y en riesgo de enfermar!
El escenario anterior es parecido a lo que ocurre en muchas empresas después de un ataque informático dirigido: profesionales de TI dedicados a recolectar información y con el desafío de atender y reparar los daños cuanto antes para mantener la operación normal.

Un estudio para afrontar incidentes de seguridad
Un panorama parecido al descrito anteriormente es revelado por un estudio hecho por la firma Enterprise Strategic Group para Intel Security, llamado “Tackling Attack Detection and Incident Response” (Afrontando la detección de ataques y la respuesta a incidentes). La investigación fue hecha entre 700 profesionales de TI y de seguridad en empresas medianas (500 a 999 empleados) y grandes (más de 1000) en Asia, América del Norte, EMEA (Europa, Medio Oriente y África) y América del Sur.
El propósito de la encuesta es entender mejor los retos de seguridad que las empresas encaran actualmente y se extiende sobre un concepto que denominaron como la "hora dorada", la breve ventana de 60 minutos en la cual la detección y respuesta a las amenazas pueden reducir en gran medida el impacto definitivo de un ataque.
Adicionalmente, los datos del estudio revelan que 28 por ciento de las 78 investigaciones por incidentes de seguridad realizadas en 2014 por los entrevistados, estuvieron relacionadas con ataques dirigidos, cual significa que los profesionales en seguridad están permanentemente ocupados y enfrentando los retos causados por este tipo de ataques.
Los profesionales de la seguridad enfrentan un combate desigual ya que los atacantes engañan a los usuarios con una mezcla de tácticas de ingeniería social combinadas con servicios de redes sociales disponibles para el público y malware sigiloso, con la cual logran burlar los controles de seguridad y ponen en peligro a los sistemas.
Aunque esas tácticas de los atacantes sean muy sencillas, la defensa de seguridad digital es desordenada, en el mejor de los casos. Asimismo, los profesionales de seguridad frecuentemente tienen un conocimiento limitado sobre las últimas técnicas de hacking, herramientas adecuadas y procedimientos.
Aunado a estos problemas, la detección y respuesta a incidentes se ven frenados por una serie de tareas que consumen tiempo por procesos manuales e ineficiencias que causan el alargamiento del tiempo de respuesta necesario para controlar el daño y realizar la limpieza. Por si esto fuera poco, las herramientas utilizadas por los encuestados para supervisar la seguridad cuentan con una visibilidad limitada de los usuarios y las tecnologías, en tanto que las herramientas de seguridad en el punto terminal no tienen la integración necesaria para coordinar y monitorear las defensas de seguridad en toda la red.
Otro de los puntos destacables del estudio es que los profesionales de la seguridad entrevistados compartieron muchas sugerencias que ayudan a mejorar las defensas de seguridad cibernética, la detección de incidentes y la eficiencia de la respuesta.
De los profesionales encuestados, más del 50% resaltaron que necesitan mejores herramientas de seguridad para detectar incidentes y realizar análisis de seguridad, en tanto que alrededor del 40% recomiendan proporcionar más formación a los profesionales de la seguridad cibernética y el equipo SOC (Security Operations Center por sus siglas en inglés).
Asimismo, 80 por ciento de las organizaciones participantes en el estudio consideran que sus procesos de detección/respuesta a incidentes se enfrentan a obstáculos debido a la falta de integración de los diferentes componentes de la tecnología de seguridad, por esta razón, muchos profesionales de esta área consideran que sus organizaciones se beneficiarían si contaran con una arquitectura de seguridad empresarial de punto a punto, con componentes estrechamente integrados. En conjunto, los avances de seguridad cibernética se necesitan para toda la gente, procesos y tecnología.

Acciones principales a realizar en la hora dorada 
Para enfrentar los incidentes en la “hora dorada”, el plazo más importante después de la infección, las empresas deben cambiar su estrategia de seguridad. He aquí las cinco tareas clave de las que, los entrevistados en el estudio consideran, dependen la detección de incidentes y de los procesos de respuesta y que, además, consumen un mayor tiempo:
●    Determinar el impacto / alcance de un incidente de seguridad.
●    Adoptar medidas para minimizar el impacto de un ataque.
●    Analizar la inteligencia de seguridad para detectar los incidentes.
●    Determinar cuáles activos siguen siendo vulnerables a un tipo similar de ataque.
●    Realizar análisis forenses para determinar la causa de los problemas.

Finalmente, si bien después de un ciclón deben evaluarse los daños y aprender de la experiencia para evitar que se repita, al tiempo que se atiende a la población, en los incidentes de seguridad digital, causados por ataques dirigidos, es necesario acelerar drásticamente las tareas destinadas a mejorar la detección de incidentes y los procesos de respuesta para pasar de la mera recolección de datos al análisis de los mismos, al tiempo que se reparan los daños y se mantiene la continuidad de las operaciones, para aprovechar la ventana de oportunidad de la “hora dorada”, es decir los 320 segundos fundamentales para reducir el impacto final de un ataque en la empresa.
 

Version Digital

Solo para suscriptores
Dale Click a la portada

 


Recibe las noticias mas relevantes de marketing y negocios
gota a gota