Por: José Javier Orozco, Oficial de Seguridad de la Información de Banco Diners Club del Ecuador
Si bien es cierto que cada organización define su estrategia de seguridad de la información y ciberseguridad en función de los riesgos identificados y la inversión que implica implementar, mantener y monitorizar continuamente los mecanismos para proteger su información, existen controles mínimos que deben considerarse al momento de contratar servicios de seguridad gestionada.
Los controles mínimos como por ejemplo, firewall, antimalware, antispam, DLP-Data Loss Prevention, IPS-Intrusion Prevention System, WAF-Web Application Firewall, entre otros, se establecen de acuerdo con el nivel de protección que una organización requiera conseguir, más no respecto a la sofisticación que representa su configuración y mantenimiento, pues el objetivo fundamental de la gestión de seguridad de la información, ya sea con recursos internos o a través de servicios provistos por un tercero, es detectar las amenazas digitales que podrían afectar la operación y responder proactivamente ante ciberataques, en lugar de limitarse a aplicar acciones correctivas que no necesariamente conseguirán detener dichas acciones ofensivas y restablecer los servicios afectados conforme las necesidades del negocio.
Considerado que los riesgos de seguridad de la información y ciberseguridad evolucionan conforme los avances tecnológicos y las actividades propias que cada organización desarrolla para cumplir con sus objetivos estratégicos, los equipos de seguridad de la información y ciberseguridad, ya sea en relación de dependencia con la organización o asignados por un tercero para la prestación de servicios de seguridad gestionada, deben contar con los conocimientos y destrezas suficientes para interpretar, analizar y reaccionar ante eventos inusuales o comportamientos sospechosos que sean detectados por las herramientas de seguridad perimetral y aquellas que protegen a los dispositivos de usuario final.
La seguridad gestionada en las organizaciones
Los servicios de seguridad gestionada deben adaptarse a cada organización, de tal manera que los controles mínimos de seguridad de la información o ciberseguridad protejan los activos de información críticos de las amenazas existentes.
En los servicios de seguridad gestionada, tanto el componente humano como el tecnológico deben tomarse en cuenta al comparar las características del servicio que ofrecen los distintos proveedores, puesto que los controles se aplican siguiendo conceptos generales como por ejemplo: restricciones de flujo de tráfico a nivel de red, detección y bloqueo de tráfico malicioso a nivel de red y dispositivo de usuario final, inspección y redirección de tráfico legítimo a nivel de aplicación, etc., pero utilizando tecnología de distintos fabricantes, lo cual se traduce en un mayor o menor nivel de efectividad.
La decisión de contratar servicios de seguridad gestionada permite trasladar la gestión de riesgos de seguridad de la información y ciberseguridad a un tercero, el mismo que se encargará de prevenir, detectar y resolver posibles incidentes que afecten a la operación de la organización, entregando beneficios relacionados con la administración especializada de herramientas de seguridad y una reducción de costos. Por ello, se debe mantener una comunicación permanente con el proveedor, de modo que las acciones ejecutadas como parte del servicio le permitan a la organización enfocar sus esfuerzos en fortalecer controles esenciales y en consecuencia tomar decisiones informadas sin descuidar los riesgos de seguridad de la información o ciberseguridad propios de los procesos de negocio.
Independientemente de la periodicidad, con la cual el proveedor entregue los reportes sobre su gestión, debe asegurar que los dispositivos de seguridad perimetral registren las alertas oportunamente y los mecanismos de protección actúen correctamente.
Seguimiento y monitoreo de los servicios de seguridad gestionada
Durante las fases de diseño, puesta en marcha y estabilización de los servicios, la interacción entre el proveedor y la organización indudablemente será más frecuente, ya que es imprescindible verificar la integración entre los dispositivos a ser monitorizados y las herramientas destinadas para la protección de estos.
También es importante considerar que las configuraciones predeterminadas o también denominadas “por defecto” de los servicios de seguridad gestionada deben personalizarse según la normativa, estándares y mejores prácticas aplicables a cada organización y revisarlas periódicamente para actualizarlas según las recomendaciones de los fabricantes. Además, los servicios de seguridad gestionada se deben activar de acuerdo con el nivel de protección definido por cada organización.
Los proveedores deben proporcionar retroalimentación continua sobre los vectores de ataque utilizados con mayor frecuencia, así como los activos de información que han sido seleccionados por los ciberdelincuentes como sus objetivos principales, a fin de modificar la estrategia de seguridad de la información y ciberseguridad para tratar de reducir la probabilidad de éxito de las acciones ofensivas o en la medida de lo posible disminuir el impacto negativo que podría ocasionarse a la operación diaria.
Una vez que el periodo de estabilización concluya, las organizaciones deben verificar el cumplimiento estricto de los SLAs-Service Level Agreements (Acuerdos de Nivel de Servicio), cuestionar el desempeño de los proveedores e inclusive evaluar la necesidad de incorporar servicios de seguridad avanzados mediante los cuales se ponga a prueba la arquitectura de seguridad y de ser necesario implementar controles que mitiguen los nuevos riesgos identificados.
Evaluación de la eficacia y eficiencia de los servicios
Una vez identificada la necesidad, establecido el alcance, evaluados distintos proveedores y seleccionado aquel que satisfaga las condiciones de la organización, comienzan las tareas de seguimiento respecto a la calidad del servicio provisto.
El número de eventos detectados versus el número de eventos gestionados o en su defecto incidentes resueltos, no es un indicador del desempeño de los proveedores, pues las alertas generadas por los dispositivos de seguridad perimetral y herramientas de protección a nivel de usuario final deben reflejar la realidad de la organización y demostrar un alto grado de precisión al catalogarlos como acciones inusuales o sospechosas, es decir, reducir al mínimo tanto los falsos positivos como falsos negativos, para mejorar las capacidades de respuesta y utilizar los recursos eficientemente.
Una de las principales formas de argumentar la decisión de mantener o prescindir de la relación con un proveedor de servicios de seguridad gestionada es verificar que el tiempo de atención de casos, por ejemplo, el análisis de eventos o resolución de incidentes se cumpla según los SLAs establecidos en el contrato.
No es suficiente que todos los casos reportados, ya sea por la organización o como resultado del proceso de monitorización del proveedor, sean atendidos, también es necesario validar que la severidad (e.g. crítica, grave, media, baja) asignada concuerde con aquello establecido en los Procesos para Gestión de Incidentes de Seguridad de la Información, pues la afectación que podría producirse en los activos de información críticos indudablemente tendría mayor impacto en el negocio que aquella ocasionada en activos de información que no son imprescindibles para la continuidad de las operaciones.
Considerando que cada proceso tiene un objetivo principal y por ende un resultado esperado, existen métricas estándar con las cuales se verifica su efectividad. Es así, que al contratar el servicio de seguridad gestionada denominado control de accesos, una organización podría analizar las mediciones de la cantidad de colaboradores desvinculados versus el bloqueo o eliminación de la cuenta de usuario asociada en el sistema de control de acceso a la red o en los sistemas de información que utilizaba.
Asimismo, para el servicio de seguridad en las comunicaciones se podría contabilizar la cantidad de aplicaciones cuyo acceso está restringido a servicios seguros (HTTPS-Hypertext Transport Protocol Secure, SFTP-Secure File Transfer Protocol, etc.) y aquellas que utilizan puertos susceptibles a fuga de información o infección por malware (HTTP, FTP, etc.) o las reglas que permiten interconexiones internas o externas mediante puertos seguros únicamente (22-SSH, 636-LDAPS, etc.) a diferencia de las que utilizan puertos inseguros (TELNET, LDAP, etc.). En el caso del servicio de gestión de vulnerabilidades técnicas, los valores a comparar serían la cantidad de vulnerabilidades críticas detectadas contra el número de vulnerabilidades críticas mitigadas.
En definitiva, las métricas de los servicios están asociadas al objetivo de control y pueden ser tan exigentes como lo defina la estrategia de seguridad de la información y ciberseguridad de la organización, que a su vez debe estar alineada con los objetivos corporativos.