¿Hay certeza en la seguridad?


¿Hay certeza en la seguridad?

La elección entre Protección + Prevención frente a Detección + Respuesta es una ilusión. Como profesionales de seguridad, todos aprendimos que la defensa en profundidad era clave. Sin embargo, nos enfocamos demasiado en la defensa como solo una pared o línea que nos protegería. Este tipo de pensamiento ha demostrado ser insuficiente una y otra vez. Primero, pusimos firewalls y pensamos que estábamos a salvo. Luego nos dimos cuenta de que necesitábamos IDs y eventualmente IPs. Los SIEM y otras herramientas fueron los siguientes. Estos cumplen con partes de la ecuación, pero no con todas.  Una vez que sus defensas son estáticas y no evolucionan en función de la retroalimentación de lo que realmente está sucediendo, se pueden solucionar. Al alinearse con solo una de Protección + Prevención o Detección + Respuesta se dejarán huecos.

Si las amenazas modernas nos han enseñado algo, es que ninguna solución resolverá todos los problemas.  Necesitamos enfoques combinados que implementen herramientas para proteger nuestros perímetros, y también otras herramientas y sistemas que puedan detectar tráfico anómalo y sintonizar redes para responder.

Ningún estándar significativo de Seguridad de la Información, ya sea ISO 27001, el Marco de Seguridad Cibernética NIST, Webtrust u otros, tiene solo un aspecto de la seguridad. La clave es mantenerlos equilibrados y alimentados con herramientas, recursos y fondos para mejorar las capacidades en todos los ámbitos.

Muchas empresas piensan que una vez que tienen algunas herramientas implementadas para controlar su perímetro, ya están listas.  Pero, ¿qué tan efectivas son estas herramientas que han desplegado?  El hecho de que las herramientas no detecten nada no significa que no haya nada allí.   Para cada herramienta que se implementa, las empresas deben pensar en cómo van a medir su eficacia. ¿Cómo se veía el tráfico antes de desplegarse? ¿Cómo se ve después? ¿Qué aspecto tendría si no funcionara? ¿Qué podría faltar?

Comprender las limitaciones de las herramientas que se implementan es clave para comprender qué más se debe supervisar y poder incluir esto en sus procesos de Gestión de Riesgo para pronosticar las próximas herramientas que debe implementar. Reaccionar después de un ataque es demasiado tarde. El daño está hecho.

No se trata de Protección + Prevención o Detección + Respuesta, es más una cuestión de Protección + Prevención + Detección + Respuesta. La esperanza sería que si está monitoreando sus herramientas actuales, detectará lagunas antes de que sean un problema y la respuesta será una actualización o implementación planeada en lugar de una investigación de incidentes.

Por David Broad, Responsable de Auditoría y Seguridad de la Información, Echoworx