La apuesta de las TI por los servicios de seguridad gestionada

Las organizaciones se enfrentan a una cantidad cada vez mayor de amenazas a la seguridad que afectan a sus entornos, ponen en peligro el cumplimiento de políticas y normativas, y representan un riesgo muy serio para toda la empresa. Los directores y administradores de TI necesitan contar con las herramientas y con la información necesarias para permitirles valorar su seguridad y desarrollar un plan coherente para gestionar su seguridad, ante las amenazas permanentes.

Los riesgos informáticos y los ataques han aumentado significativamente a lo largo de los dos últimos años según el Informe de Symantec de 2009 sobre la Seguridad Gestionada en la Empresa (Managed Security in the Enterprise Report), y se espera que esta tendencia continúe durante al alza. De hecho, según este informe, los ataques informáticos han sido valorados como el riesgo más importante para las empresas, más del doble que los delitos tradicionales, y más del cuádruple que los ataques terroristas.

Este incremento de riesgos y ataques aparecen en un momento en el que las TI avisan de la dificultad para ocuparse de estos problemas, debido a los presupuestos insuficientes, las mayores presiones normativas y los problemas derivados de la dificultad para encontrar profesionales especializados en seguridad informática empresarial. En este sentido, dos de cada cinco organizaciones afirman que tienen una plantilla notablemente o incluso muy insuficiente, debido principalmente a la dificultad para encontrar especialistas cualificados, a los despidos y a la falta de financiación provocada por la situación económica actual. Además, para acrecentar el problema, los conocimientos del personal existente son muy limitados y resulta muy difícil retener a los buenos profesionales especializados en seguridad.

Servicios de seguridad gestionada
En este contexto, la implementación de un modelo eficaz de gestión de la seguridad ayuda no sólo a mantener la integridad de los activos empresariales, sino que también permite respetar las normativas vigentes, contribuyendo así a fortalecer la confianza en la propia marca. Este modelo requiere una combinación de tecnología, personal con competencias elevadas, procesos y, sobre todo, fuentes de Inteligencia en Seguridad, de los que pocas empresas pueden presumir actualmente.

En un primero momento, algunas organizaciones adoptaron un modelo de gestión de la seguridad interno (In-House), pero han tenido que enfrentarse a innumerables problemas, sobre todo en la identificación de las incidencias de seguridad. Específicamente, el reto consiste en la eliminación del lapso de tiempo necesario para identificar los activos en riesgo, el consecuente impacto y la prioridad que hay que atribuir al suceso en los procesos de gestión de incidencias.
Pero el enorme volumen de información producida por las diferentes tecnologías de seguridad (cortafuegos, detección y prevención de intrusiones, entre otros), aumenta aún más la complejidad de este reto. Como resultado, muchas organizaciones que actualmente gestionan la seguridad in-house están buscando alternativas para superar dichos obstáculos, y esta situación las lleva a valorar la posibilidad de recurrir a un Managed Security Service Provider (MSSP, proveedor de servicios de seguridad gestionada), que hace de la monitorización de la seguridad en tiempo real su propio core business.

Según el estudio anteriormente citado, son muchas las compañías que han llegado a esta conclusión, puesto que uno de los resultados de este informe es que a día de hoy el 77% de las organizaciones ya considera o utiliza la externalización porque se genera una cobertura permanente, supone menos costes generales, permite el acceso a la experiencia en seguridad y reduce los riesgos.
Los MSSP ofrecen servicios de monitorización y de gestión de los dispositivos de seguridad, respaldados por un Centro de operaciones de seguridad, cuya alta disponibilidad ayuda a reducir el número de especialistas de seguridad que una empresa debe contratar y formar.

Dar pasos hacia la seguridad operacional
En todo este nuevo ecosistema, cobra fuerza la idea de que la seguridad tal y como la entendíamos ya no es suficiente. Hoy día hay que combinar de una manera eficaz los procesos existentes, automatizar las tareas repetitivas que consumen la mayoría del  tiempo de los profesionales y además creemos que es posible ser más proactivos y actuar impulsados por las políticas.

Podemos hablar de evolucionar a un modelo basado en riesgo, centrado en la información e impulsado por el flujo de trabajo.

•    Basado en riesgo con un marco general de trabajo con la empresa sobre las políticas más relevantes, basándose en los riesgos establecidos para cada una de ellas.
•    Centrado en la información, donde se protege tanto la información como la infraestructura, y teniendo en cuenta que uno de los aspectos de la virtualización y de la tecnología de cloud computing es que la información se encuentra cada vez más separada de los sistemas.
•    Receptivo y dinámico, permitiéndole adaptarse y responder con rapidez a las situaciones, con soluciones en tiempo real y reducción de latencia para, de esta forma, agilizar los procesos de reconocimiento, respuesta y solución.
•    Impulsado por el flujo de trabajo – Donde se automatizan los procesos cotidianos y se establece un puente entre las diferencias existentes entre los diferentes departamentos y las personas, políticas y tecnologías.
Todas las empresas son vulnerables ante las amenazas y vulnerabilidades informáticas, aunque las empresas de mayor tamaño suelen estar más concienciadas sobre la necesidad de la gestión de su seguridad.

Asignar la protección de los datos a un MSSP
Los MSSP basan su actividad en una plataforma de correlación de las incidencias de seguridad que ayuda no sólo centralizar los archivos de registro procedentes de los dispositivos empresariales más diversos, sino que además se vale de un equipo de analistas capaces de configurar las reglas de correlación para incluso identificar las tipologías de ataque más recientes.

Cuando los archivos de registro llegan al Centro de Operación de la Seguridad, deberían someterse a las siguientes actividades:

• Normalización: dado que proceden de diferentes tipologías de dispositivos de seguridad, los datos contenidos en los archivos de registro se deben reconducir a una forma estándar, que sea independiente de la fuente, para que se puedan cargar en la plataforma de correlación.
• Correlación: a través de la utilización de las reglas apropiadas que el MSSP crea para su plataforma, se eliminan los falsos positivos más evidentes y se crean las incidencias de seguridad.
• Contextualización: mediante una correlación de la incidencia con los datos procedentes de la evaluación de riesgos y vulnerabilidades, se puede atribuir la gravedad correcta y validar así el suceso.

Al llegar a este punto, el analista de seguridad completa la contextualización con sus propias valoraciones y activa el procedimiento de escalada. El equipo que se ocupa de las actividades de respuesta ante incidentes, recibe la notificación y emprende las actividades necesarias para aminorar el impacto de la incidencia.
Por lo tanto, es evidente que la precisión de la notificación, junto con la tipología de la información que recibe el equipo de respuesta ante incidentes, es capaz de discriminar la calidad del Proveedor de Servicios de Seguridad Gestionados.

URL: http://www.datati.es/?p=1935

Escrito por Redaccion el ene 22 2010. Archivado bajo Actualidad, Newsletter. Puedes seguir las respuestas de esta entrada por RSS 2.0. Puedes dejar una respuesta o un trackback a esta entrada