Lograr una cultura de ciberseguridad requiere fomentar un enfoque proactivo que coloque la detección y respuesta de amenazas en tiempo real, en el centro de la estrategia de una organización.

julio 07, 2023

Lograr una cultura de ciberseguridad requiere fomentar un enfoque proactivo que coloque la detección y respuesta de amenazas en tiempo real, en el centro de la estrategia de una organización.

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

En la actualidad los ciberataques se han incrementado. Son cada vez más frecuentes y más letales. Y tal parece que todo el ecosistema de ciberseguridad no va a la misma velocidad a la que van los cibercriminales.

En este entorno complicado, ¿cómo pueden las organizaciones pasar de una mentalidad reactiva a una cultura proactiva de mejora continua en seguridad?

Hoy en día, uno de los conceptos erróneos más grandes sobre ciberseguridad es que el cumplimiento equivale a la seguridad total. Pero el cumplimiento confirma que tiene un plan, pero no previene el incidente.

Además, la creciente complejidad del panorama regulatorio de la ciberseguridad hace que confiar en un enfoque basado en el cumplimiento sea cada vez más precario. Las organizaciones pueden agotar los recursos para ejecutar auditorías anuales o trimestrales, pero una vez que termina la auditoría se establece la autocomplacencia, dejando desatendidas las nuevas vulnerabilidades hasta que comienza el siguiente ciclo de auditoría, con lo cual llegan nuevas brechas de seguridad que los ciberdelincuentes aprovechan rápidamente.

Por eso es fundamental que se fomente una cultura que priorice la mejora continua de las defensas y prácticas de ciberseguridad, en lugar de simplemente aprobar auditorías periódicas. Este cambio establecerá una postura de seguridad más robusta y adaptable.

¿Cómo pueden las organizaciones comenzar a construir una cultura efectiva de mejora continua en seguridad?

La interacción entre las prácticas de seguridad periódicas y en tiempo real es fundamental para una gestión eficaz de las vulnerabilidades. Dado que cada uno tiene su propia propuesta de valor única, una estrategia sólida de defensa cibernética debe combinar ambos tipos de prácticas en un enfoque unificado.

Las prácticas de seguridad en tiempo real son indispensables en un mundo donde las amenazas surgen y evolucionan en un abrir y cerrar de ojos. Por ejemplo, la detección de puntos finales y la detección de vulnerabilidades deben ser procesos continuos. Un lapso en las actividades en tiempo real puede significar un desastre: los recientes ataques de ransomware han demostrado que las vulnerabilidades se pueden explotar en solo unas horas y, a veces, menos. Un sistema de seguridad efectivo en tiempo real proporciona la ventana crucial necesaria para detectar y rectificar vulnerabilidades antes de que sean explotadas.

Por otro lado, las prácticas de seguridad periódicas, como las pruebas de penetración, brindan la oportunidad de probar el sistema y descubrir debilidades potenciales. Aún así, su aplicación debe ser limitada. Las pruebas de penetración no son una herramienta cotidiana: son más parecidas a las revisiones de desempeño, pues demuestran que hay un problema, pero es el monitoreo de seguridad constante lo que emite alertas en primer lugar.

Algunas organizaciones se basan mucho en las pruebas de penetración, confundiéndolas con una solución para sus problemas de ciberseguridad. Si bien las pruebas de penetración son valiosas, no están diseñadas para proporcionar datos en tiempo real sobre las amenazas que enfrenta una organización a diario, por lo que lograr un equilibrio es clave.

Las organizaciones deben gestionar una combinación de actividades en tiempo real, como monitorear el tráfico de la red, la búsqueda de amenazas y la detección de vulnerabilidades, con actividades periódicas, como pruebas de penetración, evaluaciones de riesgos y auditorías. Este enfoque garantiza una cobertura integral, aprovechando las fortalezas de cada práctica para crear una defensa resistente e interconectada contra las ciberamenazas. El objetivo es crear un sistema de seguridad que no solo sobreviva a las auditorías, sino que se mantenga activo frente a las amenazas del mundo real.

Para construir una cultura de mejora de seguridad, se debe fomentar una estrategia eficaz de gestión de vulnerabilidades con base en evaluar constantemente la exposición a amenazas potenciales y tomar medidas proactivas para mitigarlas. Este proceso requiere una combinación sofisticada de recopilación de datos, inteligencia de amenazas, evaluación de riesgos y respuesta rápida.

Una estrategia sólida de gestión de vulnerabilidades en tiempo real se basa en un monitoreo constante. Esto implica aprovechar los sistemas de gestión de eventos e información de seguridad y las plataformas de detección y respuesta de punto final para recopilar y analizar datos de seguridad en toda la red.

Estas herramientas están diseñadas para identificar patrones o comportamientos inusuales que podrían indicar un posible incidente de seguridad y proporcionan la base para un enfoque reactivo frente a las amenazas cibernéticas, lo que permite a las organizaciones responder rápidamente cuando se detecta una amenaza.

Estos sistemas se complementan con el uso de fuentes de inteligencia de amenazas, que proporcionan datos sobre las últimas amenazas y exploits conocidos. La integración de la inteligencia de amenazas con las herramientas mejora su eficacia, lo que permite una detección de amenazas más rápida y precisa.

Una vez que se detectan las amenazas, las organizaciones deben realizar evaluaciones de riesgos para priorizar su respuesta. No todas las vulnerabilidades conllevan el mismo nivel de riesgo, y los recursos deben asignarse en función del impacto potencial. Herramientas como el Common Vulnerability Scoring System (CVSS) proporcionan un método estandarizado para evaluar la gravedad de una vulnerabilidad. Esto permite a las organizaciones centrar sus esfuerzos en abordar primero las vulnerabilidades de alto riesgo, reduciendo su exposición general al riesgo cibernético.

Más allá de CVSS, las organizaciones deben asegurarse de contar con procesos para una respuesta rápida y reparación de las vulnerabilidades detectadas. Esto puede implicar sistemas de administración de parches para implementar actualizaciones rápidamente o equipos de respuesta a incidentes para administrar amenazas más complejas.

Lograr una cultura de mejora cibernética continua exige una inversión en estas capacidades técnicas avanzadas. Requiere ir más allá de la mentalidad tradicional centrada en el cumplimiento y fomentar un enfoque proactivo que coloque la detección y respuesta de amenazas en tiempo real en el centro de la estrategia cibernética de una organización.

Para más información, visite: https://www.silikn.com/