FlagViernes, 16 Noviembre 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

rep ciber 65 01

Es común encontrar canales conformados por una o dos personas, quienes lidian con la búsqueda de proyectos mientras se mantienen vigentes en su know-how. Esto los lleva a ser bastante selectivos respecto a cómo emplear las horas de su jornada laboral y tener dentro de su labor las que se consideran como las mejores prácticas en el ramo.

 

rep ciber 65 02En México, existen varias regulaciones, las cuales podríamos suponer son una primera aproximación respecto a lo que el canal debería de acoplar a su proceso para estar en cumplimiento; y de hecho, cambian ligeramente dependiendo de la industria. “Por ejemplo, en el sector Financiero, mediante la CNBV, existen leyes relacionadas con la protección de la información (Capítulo 7) y con la información de tarjetas de crédito (PCI)”, relató Ramón Salas, Director Regional de Forcepoint para México y Centroamérica. En términos generales, el director enunció tres leyes importantes a considerar:

• Ley Federal del Trabajo y su retención de evidencia electrónica.

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) con medidas técnicas, físicas y administrativas.

• Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita y sus lineamientos de integridad de información.

Cabe mencionar que en términos de la seguridad informática no existe como tal una línea global ya que existen diferentes normativas que rigen un país o un continente completo, como sucede en el caso de Europa con GDPR (General Data Protection Regulation). El caso es interesante en sí mismo, porque está marcando una tendencia respecto a cómo se protege la información de los ciudadanos con multas cuyo importe máximo posible es el 4% de la facturación global (ingresos/ventas) o $20 millones de euros, la cifra que resulte más elevada. Otra regulación a consultar es HIPAA (Health Insurance Portability and Accountability Act) sobre la confidencialidad de la información médica.

No obstante en la práctica, el compliance aparece distal a la protección contra ciberataques que observan las empresas en sus infraestructuras. “Es uno de los problemas principales cuando sólo se enfoca en cumplimiento; porque en la praxis está más próximo al “miento” que al “cumplo” del término. En lo regional, existió una Estrategia de Ciberseguridad Nacional que finalizó en una discusión política y el diagnóstico a la fecha no ha resultado suficiente. Es decir, nos orientamos mucho en la planeación y poco en la ejecución”, esgrimió Carlos Ayala, Gerente de Respuesta a Incidentes para FireEye Latam.

“En ese contexto, una encuesta hecha por Deloitte arroja que el 58% de los entrevistados dijo que su organización cuenta con los recursos internos necesarios para cumplir con la ley, sin embargo, cumplimiento no es lo mismo que tener ciberseguridad”, agregó Forcepoint. De hecho, parece repetitivo escuchar en la industria que se llega a una costumbre de llenar checkboxes y entregar el reporte que arroja la herramienta sin mayor tratamiento, considerando que los modelos teóricos son aplicados en un esquema ideal. Pero como bien señala Carlos Ayala, los atacantes reconocen los puntos débiles y la operación habitual. “Esto no significa que la normativa peque de estar equivocada; el real problema yace en cómo la interpretamos y su posterior aplicación. Por ello existe un problema de ejecución e instrumentación”, agregó.

No es de sorprender luego entonces que las empresas vean a las herramientas de seguridad informática como un gasto obligatorio: procesos obsoletos o intrascendentes para la seguridad informática, reportes de 500 hojas sin interpretación, que se suman al “gap en profesionales” estimado en una falta de 1,800,000 especialistas en este sector para 2022 a nivel mundial. La conclusión es un Commodity de la ciberseguridad, visto desde la perspectiva del C-Level y cuando hablamos del canal, una oportunidad comercial extendida.

Así que para salir al paso, “normalmente los canales optan por una certificación, a invitación del fabricante o mayorista. Pero les dan un ‘One Week Booth Camp’, les entregan un papel que los acredita en “N” tecnología, y a los 3 días ya olvidaron el entrenamiento porque no hay una estructura de conocimiento detrás”, agregó a la ecuación del perfecto desastre Leonard Wadewitz, Director Business Development CompTIA para America Latina y el Caribe.

Valor, un adjetivo clave en la consultoría

Los voceros hicieron eco al describir que si un directivo necesitara un listado de artículos, bien podría hacer la investigación y a manera de e-commerce, surtirse con lo necesario en términos tecnológicos. Así que no buscan una combinación de hardware y software, sino preparar su negocio a las nuevas reglas que caracterizan la carretera del Internet actual; y de un canal habilitado para conversar a nivel de negocio, quien traduzca la parte técnica en valor tangible.

rep ciber 65 03“Sabemos que las empresas de Latinoamérica tienen más de 600 mil puestos en ciberseguridad que esperan cubrir y la expectativa es que crezca esa cifra. Tomar una certificación del fabricante podría tomar hasta 3 años, son costosas y terminan con un enfoque en ese producto. CompTIA se basa en las mejores prácticas de la industria porque recopilamos lo que se hace en la práctica, con constantes actualizaciones y fundamentos en los estándares como por ejemplo el caso de IPV6. Al final del día todos los puertos son similares así que al terminar el path de conocimientos, pueden entablar conversaciones con el fabricante de su elección”, agregó Leonard Wadewitz de CompTIA.

Uno de ellos es el path para canales de ciberseguridad, el cual considera tópicos clave como políticas a implementar, reportes, insights, para que puedan ejecutar correctamente su ejercicio de consultoría; asimismo las mejores prácticas para dar soporte al personal de un SOC o de un NOC por igual.

Importante a señalar, al respecto de la metodología, es que se trata de una jornada de aplicación sólida. “Te preparas, tomas un momento, lo digieres, aprendes y después regresas con las dudas que surgieron para volver a reforzar lo adquirido. Es similar a dominar un lenguaje extranjero, tomas las pruebas, los entrenamientos, desarrollas competencias, obtienes habilidades. Por eso nuestros exámenes no son de opción múltiple donde probablemente adivinas la respuesta y pasas el examen con el mínimo requerido. Aquí se trata de demostrar que sabes hacerlo, y en donde resulten áreas a reforzar, ayudamos a entender lo necesario”, describió sobre su propuesta Kirk Smallwood, Vicepresident Business Development CompTIA Americas.

FireEye por su parte, estipuló que trabajan con los canales comprometidos e innovadores que tengan como principio el aportar un valor estratégico que subsane la problemática de seguridad informática de raíz. Por ello pueden desarrollar en conjunto una demostración en tiempo real como es el Penetration Testing (Pentest) que separa diametralmente a los canales que entregan reportes sin interpretación. “No sólo se trata de pruebas, sino de emular desde todos lo ángulos posibles un real ataque para reconocer la anatomía del mismo, y posteriormente el cómo frenarlo”, agregó Carlos Ayala de FireEye.

Describió que el propósito es entender el marco de la gobernabilidad de la información; esto es, los lineamientos base para postular una defensiva óptima en vez de continuar con una práctica tan socorrida que se ha hecho costumbre en Latinoamérica; esto es reaccionar una vez sucedido el evento de ciberseguridad. Al respecto, dijo que como fabricante tienen la métrica, de que las empresas en promedio tardan 155 días en reconocer una amenaza filtrada en sus sistemas y se puede extender hasta los dos años lo cual habla de la capacidad de respuesta al irrumpir el ciclo del atacante. En contraste con grupos Nación-Estado como el denominado APT38 de Asia, vemos que las empresas enfrentan ciberatacantes motivados y comprometidos. “Un DDoS resulta hasta trivial de ejecutar; los hackers avanzan y evolucionan a diario, colaboran y comparten entre ellos, además son persistentes. Todavía no hay simetría con quienes defienden”, acotó.

Aunque no existe un ente mexicano que regule y por ley obligue a las empresas a declarar que fueron atacados, “es un hecho que los clientes mismos obligan a las empresas a estar en cumplimiento. Como empresa de ciberseguridad tenemos una solución a manera de tablero que les ayuda a los operadores a saber si están en cumplimiento con cierta regulación o ISO, como la ISO 27000 1, Cobit o ITIL. Los módulos automatizan la tarea para entregar visibilidad en una fracción de tiempo. El resultado es que, en caso de auditoría, tengan un marco sólido para respaldarse; por otro lado, se trata de liberar ese tiempo a los especialistas y entonces enfocarse en la estrategia que gestione la privacidad, seguridad y operación del negocio a través de la TI”, comentó Miguel Hernández y López, Director de Ingeniería de Check Point México.

rep ciber 65 04Explicó que este tipo de herramientas son vitales porque los proyectos que atienden los canales pueden caer inclusive en la categoría donde no se sabe con certeza cuál es el proceso que corre un servidor o en qué sección habita la información sensible, quiénes tienen acceso o cuál es la capacidad permitida de extraer los datos propiedad de la empresa. “En la seguridad informática actual no hay un perímetro y vemos que los canales lidian con la Generación V de ataques, caracterizado por ser multi-factoriales, enfocados en atacar el Edge y la Nube. Entonces los mecanismos deben consolidar en la práctica una visibilidad amplia que responda a las preguntas del negocio como son dónde acceso un usuario, cómo y cuándo”, agregó el directivo de Check Point.

Una realidad es que los canales no tienen tiempo, su empresa está constituída por pocos elementos, hacen todas las funciones, o siempre están buscando nuevos deals. La industria propone empezar inclusive con lo básico como es Project Manager, la cual es una certificación de 6 horas que resulta fácil de cubrir. Posteriormente existen elementos como PenTest+ que considera las herramientas de saneamientos tecnológico para desarrollar demostraciones de Ethical Hacking donde el cliente verá por sí mismo el estado que guarda su infraestructura. Otro caso es CySA para quien está interesado en el análisis de la seguridad basada en diagnósticos, y CASP que es un elemento avanzado y a profundidad respecto a las mejores prácticas (con respuesta a los qués y para qué).

Alcanzar la cima al ritmo del negocio

Carlos Ayala de FireEye comentó que pese lo abrumador que puede resultar una aproximación inicial a la ciberseguridad efectiva, en realidad es regresar a lo que dicta el sentido común. Prevenir, detectar y responder como una constante en la gestión de seguridad es un primer paso para reducir la superficie de ataque.

Dijo que en muchas de las ocasiones un ataque se da simplemente porque hay una carencia de metodología sobre cómo responder cuando algo suceda. Por ello resulta capital tener visibilidad completa de la infraestructura como primer punto, ello evita los puntos ciegos ya que casi siempre la red manifiesta los síntomas de un código malicioso incrustrado aunque no indica dónde se encuentra o bien, la detección se vuelve imprecisa; y es cuando se cae en la trivialidad del cumplimiento.

“Las oportunidades de mejora de pronto son instantáneas al poner en práctica ejercicios básicos. Cuando las empresas tienen inventarios actualizados, saben quién tiene una cuenta con privilegios de administrador, corren un proceso típico de vulnerabilidades y parchan los equipos con regularidad, hacer caso al sentido común”, recomendó FireEye.

rep ciber 65 05Posteriormente entra en juego la solución para ganar tiempo contra los atacantes. “La ideología es proteger los activos de la compañía, saber dónde empezó un ataque, quién tuvo acceso a los datos, si realizó un movimiento lateral. Las organizaciones se preocupan por el perímetro, inicialmente, pero como consultor deben de considerar a los dispositivos móviles, principalmente al crear políticas por perfiles porque resulta más funcional entender que hay un evento relacionado con un recurso humano, que la dirección IP de un dispositivo porque con este último podría arrojar que no hay un rostro a quien responsabilizar. La visibilidad también es una cuestión de tiempo y aquí se trata de evitar exfiltren información. Para que lleguen hasta ese último punto, deben recorren antes un largo camino y el canal que sea un consultor de valor podrá rastrearlos y dejar al atacante con las manos vacías”, agregó Miguel Hernández de Check Point.