Marvin G. Soto| Especialista en Ciberseguridad, Cybercom CR| [email protected]

A finales de enero del 2018, escribí sobre el retorno del modelo de confianza cero como una disrupción obligada en el camino único, para mantenerse al día con las complejidades digitales de hoy.

Vemos una marcada tendencia en las empresas a hacer inversiones en transformaciones digitales, incluso hemos acuñado términos para referirnos a estas disrupciones y a esta búsqueda de nuevos caminos para separarnos de las formas antiguas, tan manuales y anticuadas de gestión de la tecnología y cambiar a nuevas formas de pensar saldrán ganando.

El enfoque basado en la aplicación de políticas o en reglas, es hoy día un enfoque obsoleto que obstaculiza los esfuerzos para crear negocios más eficientes y ágiles. Hemos cumplido más de dos décadas, en que las normas que aplican la política de seguridad de datos, han sido la norma.

Lograr que los conjuntos de reglas o de políticas funcionen correctamente, fue parte ciencia, parte arte y parte presupuesto, porque se necesitaron equipos de profesionales audaces, para coordinarlos y optimizarlos. Esto se debe a que, esencialmente, las reglas no son escalables, son estáticas y además entre más se amplía el bosque de este estas en los sistemas, es más complejo gestionarlas y como resultado, todo cambio nos duele.

La construcción de tales conjuntos de reglas es la forma en que la industria gestiona hasta nuestros días los sistemas de detección de intrusiones, firewalls, endpoint anti-malware, seguridad de aplicaciones web, protección contra fugas de datos y más. Como resultado, las reglas están en todas partes.

A medida que los sistemas se vuelven más complejos y la cantidad de aplicaciones y de datos crecen, se convierten en un ejercicio inútil, porque hoy en día, hay infinitas combinaciones de escenarios potenciales que deben tenerse en cuenta y es demasiado complicado predecir cada combinación posible, para que las reglas funcionen de manera efectiva.

Los desafíos asociados a las reglas son más que una pequeña molestia. El gran volumen de alertas que se generan y los errores que producen abruman a los analistas de seguridad, que deben lidiar con ola tras ola de falsos positivos.

Hoy día tenemos sistemas que automatizan el análisis de eventos. Los expertos en seguridad tratan de darles sentido a todas las alertas que se generan y se incorporarán a su información de seguridad y sistemas de gestión de eventos, para tratar de determinar de dónde pueden fluir los datos, de dónde no deberían, identificando compromisos e intentando detectar patrones y anomalías.

En un ambiente imposible de censar con eficiencia, nuestros expertos en ciberseguridad, en un intento de detener la inundación de alertas basadas en políticas, ajustarán los umbrales del sistema a niveles ridículamente bajos. O bien, apagarán las alertas por completo y pondrán el sistema en modo monitor, lo que deja a los sistemas y datos innecesariamente expuestos a riesgos y los atacantes entonces podrían deslizarse a través del ruido.

El modelado y la gestión de la seguridad, así como las posibles acciones de atacantes o personas malintencionadas o negligentes son demasiado complejos para tratar de expresarse en las reglas. Hay demasiadas variables involucradas, demasiadas condiciones cambiantes y es materialmente imposible mantenerse al día, sin importar cuán talentosos e inteligentes sean los analistas de ciberseguridad. Aún más en tiempos donde el perímetro ha cambiado.

Enfrentamos un cambio, las reglas deben auto-gestionarse de manera más inteligentes, más predictiva y con una mentalidad y un enfoque que se centre en los datos y no en las reglas que los rigen… eso sí, sin confiar en nadie.

Este nuevo paradigma de próxima generación cambia el énfasis de clasificación de datos, basándose en que todos los datos son importantes y supone que no confiamos en nadie.

Funciona a nivel de los datos, rastreando y monitoreando toda la actividad de estos y marcando anomalías, mientras mantiene copias de todos los archivos, como mecanismo de rápida recuperación y análisis proactivo.

Como consecuencia ante la detección de anomalías, los analistas de ciberseguridad investigarían más a fondo y su trabajo dejaría de ser la parafernalia sujeta a falsos positivos que es hoy día.

IMPORTANTE: Las opiniones expresadas en este artículo son exclusivamente las de los autores y no necesariamente representan la opinión de la Cámara de Tecnologías de Información y Comunicación (CAMTIC) o sus afiliados.