Cuando se comienza a leer el informe de FireEye sobre el escenario actual de amenazas y cómo responder a ellas, uno espera otra enumeración de recomendaciones técnicas orientas a la promoción de productos, pero como resumen se puede concluir que en este estudio la empresa se ocupa de dar a conocer algunas claves para prevenir brechas de seguridad que abarcan la organización y control, para de esta forma poder construir un ecosistema de defensa completo dentro de la infraestructura de una organización.
Según explicó Robert Freeman, vicepresidente para Latinoamérica de FireEye, de acuerdo con el estudio de su empresa, el 96% de las implementaciones de defensa fueron violadas en los más variados segmentos corporativos, el 27% de las infecciones correspondieron a malwares avanzados, lo que hace que las organizaciones de seguridad concentren más recursos en la construcción de sus defensas y en el desarrollo de un plan de respuesta para contrarrestar a los atacantes que ignoran estos factores. “Ante ese panorama, nosotros recomendamos visualizar que un escenario de amenaza necesita desarrollar una estrategia detallada de respuesta a incidentes, la cual requiere tres pasos fundamentales: detección, respuesta (propia) y experiencia para la ejecución”.
Para FireEye, una vez que se define el plan de respuesta, la organización necesita tener la certeza de que posee las tecnologías de seguridad y los conocimientos adecuados para llevarlo a cabo, lo cual comprende la visión completa de los recursos de IT, las capacidades de detección precisas y el tiempo de reacción. “Estos recursos son combinados con la práctica constante del equipo de trabajo, que también debe aplicar métricas múltiples para medir el grado de funcionamiento. A partir de esta visibilidad, se realizan los ajustes para que se tenga más éxito en el próximo incidente, y en el próximo, y en el siguiente, y así hacia adelante”, agregó Freeman.
Al observar muchos casos, FireEye ha concluido que aun cuando las organizaciones tengan definido, en papel, un excelente plan de respuesta a incidentes, lamentablemente no lo aplican en la realidad. “Este plan no puede ser tan solo un manual guardado en un cajón, al contrario, es una estrategia acordada por todos la cual puede y debe evolucionar a lo largo del tiempo, así como debe ser ensayada con frecuencia y ser puesta inmediatamente en práctica al descubrir que hay un invasor en la red, con el propósito de minimizar los daños, no solo a la infraestructura sino a la marca y a los clientes”.
Para FireEye, un plan de respuesta bien ejecutado comprende seis componentes fundamentales dentro de una organización. Por eso, antes de ser puesto en práctica, estos aspectos deben ser evaluados y contemplados en el plan de respuesta:
- Gobernabilidad: La estructura organizacional debe estar alineada con la organización global de negocios y declarado en la misión. La política y la orientación de seguridad son claras y protegen los sistemas críticos, y debe compartirse la información entre entidades internas y externas.
- Comunicación: Mecanismos y procesos que promueven un comportamiento eficaz de informaciones entre las entidades externas.
- Visibilidad: Tecnologías y procesos que mantienen a las organizaciones conscientes de las actividades que ocurren en sus sistemas y redes, así como los métodos por los cuales el equipo de respuesta a incidentes informáticos (CIRT por sus siglas en inglés) continúa siendo consciente de la amenaza y utiliza esa comprensión para defender la infraestructura crítica.
- Inteligencia: Las capacidades de inteligencia de amenazas cibernéticas permiten una comprensión detallada del adversario, como capacidades técnicas e intensión. Informa y mejora el plan de seguridad, gestión de vulnerabilidades y respuesta de incidentes.
- Respuesta: Proceso y tecnologías que el equipo de respuesta a incidentes informáticos usa para identificar, categorizar, investigar y remediar los eventos adversos de seguridad.
- Métricas: Medidas objetivas de eficiencia de las personas, procesos y tecnología a utilizar, un sistema que puede ser fácilmente rastreado y automatizado. Estas métricas focalizadas en respuesta a incidentes están ligadas a las metas globales del negocio y seguridad. Los objetivos implican la conducción de la mejora continua.
“Este guion que proponemos establece cuáles mejoras son necesarias con base a lo que traerá mejor retorno e impactará menos la postura de seguridad de la compañía. Al final, reconocer que las violaciones de seguridad son inevitables no significa que deba desistir de la lucha. Esto significa que es necesario adoptar una pronta respuesta que evite futuros daños y permita la continuidad normal de los negocios”, concluyó Freeman.
CLAVES PARA EL CANAL
Este es otro estudio en el que se pone en claro que la solución tecnológica es sólo el 50% de la remediación de los problemas, el resto es cómo se implementa a partir de un ecosistema de organización y control. Es por esto que los Resellers que puedan brindar este tipo de servicios de consultoría junto con sus productos, tendrán la ventaja en el escenario actual.
