Cyber Kill Chain: gestionando la seguridad con un enfoque militar (parte III)

La gestión de la seguridad de la información es una tarea cada vez más relevante dentro de las actividades que realizan las empresas. Existen múltiples enfoques para lograr una gestión exitosa. En We Live Security en Español hemos discutido sobre la gestión de la seguridad con un enfoque militar, el cual puede amoldarse a cualquier estándar que queramos implementar.

En este sentido planteamos el concepto de Cyber Kill Chain, una serie de pasos que describen cómo se lleva a cabo un ataque y por lo tanto nos da la visión de donde deberíamos enfocarnos para proteger nuestra información. Luego discutimos sobre lo que deberíamos conocer acerca de dónde se pueden llevar a cabo los ataques para lograr sacarle ventaja a los ciberdelincuentes. Lo último que nos queda por definir para cerrar este enfoque de gestión son los pasos que deberíamos seguir para llevarlo a la práctica.

seguridad-militar

La inteligencia militar a nuestro servicio

La gestión de la seguridad de la información en una empresa por lo general está guiada por algún estándar o algún modelo tales como ISO 27001, COBIT, Magerit entre muchos otros. Si nos detenemos a comparar las características de cada uno, nos vamos a encontrar con que todos en el fondo plantean un ciclo de gestión similar, el cual coincide precisamente con el ciclo de inteligencia militar que ha sido perfeccionado desde hace un par de milenios.

El proceso de inteligencia consta de cinco pasos:

  1. Planificación y dirección: Los datos se recogen para un propósito específico, por ejemplo, para identificar cómo un atacante puede llegar a comprometer la información.Por lo general no es necesario observar todos los sistemas que componen nuestra infraestructura, el punto de partida debe centrarse en las áreas clave a través de las cuales se puede acceder a la información sensible e importante.
  2. Recopilación: Este es el proceso de recopilación de información específica de las diferentes fuentes que se están monitoreando. De esta forma se puede tener a la mano la información necesaria para tomar decisiones.
  3. Análisis y producción: Los datos recolectados deben ser analizados y correlacionados para convertirlos en información útil, lo cual es más importante que la misma recolección. Para esto se necesita el conocimiento del negocio y de los activos de información que componen todo el sistema de gestión.
  4. Difusión e integración: Una vez analizados los datos, la inteligencia debe ser difundida a los que pueden utilizarla e integrarla al funcionamiento del sistema.
  5. Evaluación y retroalimentación: Quizás el paso más importante en el proceso es evaluar el grado en que la planificación, la recopilación, el análisis y la difusión aumentaron el éxito de la gestión de nuestro sistema. Si una inversión significativa en la recolección de inteligencia está proporcionando sólo mejoras de seguridad mediocres, es el momento de re-pensar el enfoque.

En última instancia vemos que este proceso, no es más que el Ciclo de Mejora Continua o PHVA que en el ambiente de la gestión es el paradigma principal para garantizar que las actividades se realizan de una forma adecuada.

Actuar rápido para mantener la ventaja

Ahora que conocemos la relación de este enfoque militar de la gestión con los principales estándares que tenemos a disposición, solamente nos queda adoptar una característica adicional relacionada con la capacidad de actuar rápido. En el campo militar es primordial encontrar formas de mejorar la velocidad para tomar buenas decisiones y que las acciones apropiadas se puedan ejecutar.

En el campo de la gestión de la seguridad de la información esto no es más que como para tener éxito hay que desarrollar una velocidad de respuesta más rápida que la de los atacantes. Para esto se debe contar con capacidad de observación de los sistemas en tiempo real y poder actuar rápidamente sobre la base de esas observaciones sin comprometer la precisión.

Por ejemplo, teniendo en cuenta recomendaciones como la de implementar una honeypot, de entrada se cuenta con una ventaja sobre el atacante al conocer qué tipo de ataques se están intentando realizar sin que él lo perciba. Por lo tanto, es necesario saber qué acción tomar, pues si se bloquea de inmediato podría intentar entrar de nuevo a la red a través de un medio que no sea observable.

Y es en este punto donde todo nuestro sistema de gestión se conecta con la respuesta a incidentes. Es decir: no se trata solamente de contar con los controles que eviten que nuestra información sea vulnerada, sino que también hay que incorporar los procedimientos para responder de forma eficaz cuando estos controles no funcionen como esperábamos.

Esta serie de post relacionados con la gestión de la seguridad de la información con un enfoque militar nos permite reflexionar acerca de los diferentes modelos y estándares que existen. Es cierto que cada uno tiene características particulares para cada tipo de industria, pero en el fondo todos estos estándares se basan en los mismos principios y es esto lo que deberíamos entender para garantizar una gestión exitosa más allá de la norma aplicada.

Créditos imagen: © The U.S. Army/Flickr

Autor , ESET

Síguenos