La migración masiva para trabajar desde casa que ocurrió casi de la noche a la mañana al inicio de la pandemia en 2020 se combinó con un regreso parcial a la oficina para muchas personas y resultó en un modelo de trabajo híbrido en 2021. El resultado es una carga de trabajo significativamente mayor para un Muchos equipos de seguridad de TI buscan proteger una fuerza de trabajo cada vez más distribuida y navegar por las continuas incertidumbres y cambios de políticas.
Para evitar la interrupción de las operaciones comerciales, los empleados deben acceder a los sistemas y recursos clave desde cualquier lugar, potencialmente en cualquier dispositivo. La TI en la sombra también es una consideración mucho más importante en el entorno actual, ya que las personas buscan soluciones rápidas sin el equipo de TI disponible para aprobar el uso de un nuevo software, servicios, aplicaciones o dispositivos, o incorporarlos a los procesos y tecnologías de gobernanza y control. .
Esto ha creado un riesgo mayor en sí mismo; también se da en un contexto de innovación continua por parte de los delincuentes, deseosos de aprovechar la situación actual. El resultado neto es un mandato amplio, y casi imposible, para el equipo de seguridad.
Teniendo esto en cuenta, lo más importante a partir de 2021 es que los recursos y la energía deben centrarse en integrar las herramientas y los datos disponibles para identificar dónde están los riesgos. Esto hace que sea fundamental que cada organización comprenda realmente su propio panorama, las amenazas específicas que enfrenta, de dónde provienen y las vulnerabilidades que se están atacando. También es esencial que los equipos trabajen juntos para poner en común recursos y conocimientos, en lugar de actuar en silos. Cuanta más información tenga a mano, mejor para hacer frente a las amenazas actuales.
Investigaciones para identificar el riesgo
Los equipos de seguridad deben utilizar todos los datos a su disposición para comprender su postura de riesgo. Una base de datos de administración de configuración (CMDB) utilizada con detección y respuesta extendidas (XDR) de próxima generación para proporcionar detalles de quién está iniciando sesión y desde dónde y qué aplicaciones, listas de vulnerabilidades presentes en el patrimonio, informes sobre qué tan bien se están ejecutando los controles, etc, son todos útiles. Sin embargo, para determinar la probabilidad de que ocurra una amenaza es necesario combinarlos y aplicarlos al riesgo en cuestión.
La agrupación de datos en indicadores clave de riesgo e indicadores clave de rendimiento a menudo puede mostrar un riesgo emergente, o si es un problema, lo que permite abordarlo de manera proactiva, en lugar de que se requiera la extinción de incendios en una fecha posterior para abordarlo. Los sistemas deben integrarse en SIEM, o soluciones SOAR que utilizan múltiples fuentes, para proporcionar una vista enriquecida de datos de los indicadores de compromiso (IoC). Las ofertas como XDR, como se mencionó anteriormente, integradas con el monitoreo de aplicaciones, conducen a una mejor respuesta a las amenazas o intentos de violación que si se confiara en una sola fuente de datos.
Vincular sus activos de TI a su registro de riesgos permitirá a una empresa identificar los sistemas que son más críticos para sus operaciones comerciales y garantizar que reciban la mayor atención.
Un enfoque integrado de la seguridad
Ubicarse en los puntos críticos de riesgo también requiere una integración completa de los sistemas y un enfoque holístico en toda la organización. La seguridad cibernética abarca una amplia gama de elementos, todos los cuales deben funcionar correctamente y en conjunto para administrar las amenazas de manera efectiva. Por ejemplo:
1. Control de acceso al sistema
La prevención del acceso no autorizado al sistema requiere la implementación de una sólida administración de identidad y acceso (IDAM) respaldada por controles de nivel de red. La gestión de acceso privilegiado (PAM) en toda la empresa es un elemento clave para proteger las propiedades y uno de los puntos ciegos que los atacantes intentarán utilizar. La implementación de estos programas ayuda a evitar que las puertas traseras se dejen abiertas inadvertidamente para los malos actores, por ejemplo, al otorgar temporalmente acceso de administrador local o acceso de administrador de dominio para completar una tarea, pero luego no eliminarla.
2. Control de nivel de red
Con más empleados trabajando desde casa y muchas organizaciones adoptando una estrategia de “nube primero”, es tentador pasar por alto la red central de la organización. La mayoría de las empresas seguirán teniendo volúmenes importantes de datos y aplicaciones a los que solo se puede acceder a través de la red, que debe protegerse. Se deben adoptar principios de confianza cero siempre que sea posible para aislar los recursos: un empleado con acceso a la red no necesita tener acceso a toda ella. Deben existir mecanismos de autenticación y autorización para interrogar, verificar y alertar al tráfico de la red para garantizar que sea válido y no malintencionado.
3. Interceptar intrusos
Las capacidades de detección y respuesta integradas con un sólido centro de operaciones de seguridad (SOC) pueden patrullar la red en busca de cualquier actividad maliciosa. También se debe implementar una sólida administración de vulnerabilidades en todas las áreas para cerrar esos agujeros fáciles de romper dentro de las defensas.
4. La seguridad no es un “complemento”
La seguridad debe estar diseñada en todos los proyectos de TI desde el primer día (un enfoque seguro por diseño). Esto asegura que no sea una ocurrencia tardía, lo que crea un riesgo para la organización, así como dolores de cabeza resultantes de la integración tardía de la seguridad de las aplicaciones.
5. El ‘cortafuegos humano’
La tecnología es solo una parte de la ecuación de la seguridad cibernética: un componente clave para proteger la empresa son las personas involucradas, y la importancia del “firewall humano” no debe subestimarse. Incluso una organización fortalecida con las últimas herramientas de seguridad cibernética todavía está en riesgo de sufrir ataques de ingeniería social, que utilizan manipulación psicológica y contenido persuasivo para engañar a los usuarios para que proporcionen información confidencial a los piratas informáticos o les permitan acceder al sistema.
Esto resalta la importancia de la capacitación en concientización sobre seguridad para todos los usuarios con el fin de fomentar una mentalidad que sea consciente y cuestione todo. La educación debe ser un ciclo continuo de desarrollo, capacitación y prueba para mantenerse al día con las últimas tendencias y técnicas que utilizan los actores malintencionados y se llevan a cabo en toda la organización.
En conclusión…
No existe una fórmula mágica que asegure los activos críticos de una organización, pero un enfoque integrado de la seguridad que aborde los problemas anteriores de manera conjunta es una postura sólida que proporciona una defensa sólida contra los atacantes.