Por Ray Pompon, evangelista principal de Investigación de amenazas de F5 Labs y Sander Vinberg, evangelista de Investigación de Amenazas en F5 Labs
Como parte de la investigación que se realizó en el Informe de Protección de Aplicaciones 2018 de F5 Labs, encuestamos a profesionales de seguridad de la información. Entre los resultados más relevantes, nos encontramos con que 37% de los encuestados pertenecía a organizaciones con más de 5.000 personas.
A medida que las organizaciones crecen, todo cambia. Los sistemas de información se vuelven más complejos, su base de usuarios y casos de uso se multiplican, y las prioridades y los procesos de gestión se modifican.
A menudo, las prácticas de seguridad y la arquitectura que funcionaban hasta ahora, se vuelven cada vez más tensas a medida que las organizaciones intentan adaptarse a los escenarios lejos de su contexto original. Liderar con éxito un programa de seguridad en grandes empresas es una bestia completamente diferente.
Ecosistemas tecnológicos enormes
A primera vista, esta diferencia cualitativa es una sorpresa. “¡Mira qué grande es el presupuesto! ¡Mira cuánta experiencia tiene el equipo! Mira todo ese hardware, parpadeando obedientemente, esperando tu orden. ¿Cómo es posible que algo salga mal?”.
Nosotros —y muchos otros— hemos señalado que ejecutar un programa de seguridad tiene menos que ver con momentos de magia técnica y mucho más sobre el esmero minucioso, implacable y bien documentado, a través de los conceptos básicos: inventario, parches, control de acceso y medición.
Bueno, resulta que incluso hacer lo básico a la escala que necesita una gran organización es sorprendentemente difícil. Uno de los problemas es simplemente la inercia que viene con el tamaño.
A medida que crece el número de personas y estructuras, es cada vez más difícil obtener el cuórum que se requiere para tomar una decisión. Esto es válido para los sistemas técnicos, así como para las políticas internas. También se vuelve más difícil para que la retroalimentación llegue a los tomadores de decisiones, por lo que generaciones sucesivas de decisiones, errores pasados (o elecciones controvertidas o compromisos) pueden no solucionarse, sino que convertirse en la base de futuras determinaciones más equivocadas.
También es difícil saber con qué se está trabajando. Un inventario actualizado de activos es requisito previo para la seguridad adecuada. El descubrimiento de aplicaciones y activos digitales para proteger a gran escala es un problema no trivial, ya que la dificultad aumenta exponencialmente. Piense en una organización con cientos de LAN de oficina, docenas de centros de datos importantes, miles de implementaciones en la nube, decenas de miles de certificados TLS/SSL y petabits de datos. Se difunde con información confidencial, en forma de propiedad intelectual, PII del empleado y PII del cliente, tanto en forma física como digital, en oficinas en todo el mundo, con empleados sujetos a diferentes leyes y que hablan diferentes idiomas.
En resumen, la complejidad que viene con el tamaño y la dispersión geográfica significa que su superficie de monitoreo se parece más a un estanque fangoso que a un solo panel de vidrio. Los cambios de dirección son más parecidos a los elefantes que a los guepardos. Y, a menudo, las grandes organizaciones están más en la mira de los reguladores, por lo que esto también ralentiza las cosas. El resultado es que la carga supera con creces los presupuestos agregados y la tecnología sofisticada.
Cómo lo hacen las empresas grandes
¿Cuál es la lista de cosas por hacer que un director de seguridad de la información (CISO por sus siglas en inglés) tiene en una organización grande? Hemos identificado cinco principios que realmente aplican en todos los ámbitos, pero aún más a las organizaciones de mayor tamaño:
- Simplificar: El primer remedio para el aumento exponencial de la complejidad en las grandes organizaciones es simplificar lo más posible. Por supuesto, no es realista esperar que —por ejemplo— 50.000 usuarios en los tres continentes puedan usar el mismo puñado de aplicaciones, la misma política de seguridad detallada o estar bajo los mismos regímenes de cumplimiento. Sin embargo, es posible abarcar un principio de simplicidad y perseguirlo en el mayor grado posible, permitiéndole tomar diferentes formas en situaciones distintas.
La simplicidad depende de reconocer qué partes de lo que hay que hacer son decisiones estratégicas y controladas de mejor forma centralmente, y cuáles son tácticas, bajo control a nivel local. Cada vez más organizaciones se están moviendo hacia una política de seguridad de la información global que es corta, simple, de amplio alcance y de alto nivel. Esos documentos por lo general, establecen las líneas de base mínimas para configuraciones, tecnologías aceptables y matrices de responsabilidad.
- Segmento: Dada la complejidad de las grandes empresas hoy en día, es casi seguro que existe un ecosistema de malware y hosts comprometidos flotando en algún lugar. Sin embargo, una ruptura o una interrupción en algún lugar de la red no debe comprometer todo. Segmentar grandes sistemas de información puede reducir el impacto de un incidente desde una brecha catastrófica hasta una molestia local.
Hay muchas dimensiones por las cuales las redes pueden ser segmentadas. La geolocalización, la función empresarial y la clasificación de datos son las más comunes. Independientemente de los criterios, las grandes empresas deben usar cortafuegos, herramientas de prevención de pérdida de datos (DLP), sistemas de prevención de intrusos (IPS) y descifrado SSL/TLS para filtrar y monitorear el tráfico que se mueve entre segmentos. Si la segmentación se realiza con registro y monitoreo, estas herramientas también pueden ayudar en la detección de anomalías.
- Elegir controles flexibles e integrados: Uno de los desafíos en las grandes empresas es que puede ser sorprendentemente difícil predecir el futuro. Si bien una organización grande puede no cambiar rápidamente, el resto del mundo sí lo hace, lo que significa que los procesos de adquisición e implementación son paradójicamente caóticos y apresurados. Rara vez hay tiempo suficiente para una evaluación de riesgos adecuada o una arquitectura con visión de futuro. Por esta razón, las herramientas rígidas de un solo propósito son particularmente limitantes para las organizaciones más grandes. Las herramientas inflexibles tienen poca capacidad de recuperación frente a la evolución de los casos de uso y se vuelven prohibitivamente costosas de escalar en el contexto del cambio.
- Observar la manada: El CISO de la empresa debe permanecer en un estado constante de descubrimiento, verificación, prueba y escaneo. A cierta escala, la tarea de observación se acerca a la de un pintor de puentes: tan pronto como haya terminado, es hora de comenzar de nuevo.
En el lado positivo, los principios enumerados anteriormente apoyarán esta tarea. Un complejo simplificado y segmentado de sistemas con bordes endurecidos y herramientas flexibles, resistentes y escalables será mucho más fácil de monitorear que una red monolítica, caótica y rígida. Este trabajo también ayudará en gran medida a prepararse para una auditoría y reducirá la probabilidad de un descubrimiento desagradable en una evaluación de vulnerabilidad externa o prueba de penetración que ni siquiera sabía que existía.