El dinamismo de los riesgos, como resultado de la aparición de nuevas amenazas y la continua identificación de vulnerabilidades, así como la mayor adopción de tecnologías, han determinado que los modelos de seguridad en las organizaciones deban adaptarse a los cambios continuos.

En la actualidad, los enfoques de prevención y detección, tradicionalmente utilizados en el ámbito de la ciberseguridad, deben ser complementados con nuevas maneras de afrontar los riesgos, particularmente con actividades de predicción y respuesta.

Esta perspectiva, denominada seguridad adaptativa, considera que solo es cuestión de tiempo para que los sistemas sean comprometidos, por lo que deben ser monitoreados y remediados permanentemente, sin dejar de lado el trabajo constante de minimizar los riesgos a través de reducir su impacto o probabilidad de ocurrencia.

Seguridad adaptativa: permanecen quienes mejor se adaptan

Como en la naturaleza, las especies que sobreviven no son las más fuertes, ni las más rápidas, ni las más grandes, sino aquellas que se adaptan mejor a los cambios; en un ambiente de riesgos dinámicos, sobreviven los más aptos, los que consiguen adaptarse mejor al entorno.

Esta idea aplicada al ámbito de la ciberseguridad define a la adaptación como una condición de relevancia cuando los riesgos cambian de manera constante. En este sentido, aquellas organizaciones que mejor se adecuan a los cambios son las que logran alcanzar sus objetivos. La seguridad adaptativa considera la implementación de arquitecturas de seguridad que se adaptan a su entorno con el fin de conocer comportamientos y eventos que permitan anticiparse a las amenazas.

Quizás te interese: Macro malware en Latinoamérica: la amenaza que se esconde en documentos de ofimática

Según este enfoque, incluso si la prevención se llevó adelante de manera perfecta, la misma no es funcional, por lo que es necesario diseñar una infraestructura de seguridad adaptable, con el supuesto de que dicha infraestructura será comprometida. Por lo tanto, todos los sistemas y dispositivos deben considerarse potencialmente comprometidos y sus comportamientos deben ser evaluados continuamente para determinar su riesgo y confianza.

El modelo fue definido por Gartner Adaptive Security Architecture, y está compuesto por cuatro fases: predicción, prevención, detección y respuesta; tiene como base la toma de decisiones en tiempo real a partir de evaluaciones de riesgo y de confianza. Entre otros, su propósito es el de reducir el daño que pueda causar una amenaza tanto interna como externa, minimizar las pérdidas, así como minimizar el tiempo de detección y de respuesta cuando se presenta un incidente.

Cada una de las fases define directrices dentro de un ciclo que parte de implementar, monitorear y ajustar la postura de seguridad, de acuerdo con la información recopilada.

  • Predicción: Se refiere a la capacidad de anticiparse a las amenazas y ataques, principalmente mediante actividades de inteligencia (identificación temprana de amenazas). Para llevar a cabo esta fase se debe definir la postura de seguridad, la exposición de la organización y la evaluación de riesgos priorizados.

Algunas consideraciones en esta fase están relacionadas con otras actividades, como el descubrimiento de tendencias de ciberseguridad, la investigación y la identificación de incidentes que hayan padecido organizaciones (en el ámbito local, regional o global). La tarea es pasar de una postura de seguridad reactiva a una proactiva, adelantarse a las amenazas y ataques.

  • Prevención: Con base en la información recopilada previamente, se deben implementar o mejorar las medidas de seguridad, incluso la adquisición de tecnologías de protección. Como en cualquier ámbito de la seguridad, la fase de prevención tiene como objetivo evitar ataques.

En esta etapa se considera el fortalecimiento o aislamiento de los sistemas (según las necesidades), la aplicación de políticas, procesos, procedimientos, y en general, de controles de seguridad (técnicos, administrativos o físicos) que reducen la probabilidad de ocurrencia o impacto de los riesgos identificados.

  • Detección: La tercera fase hace referencia a tecnologías complementarias que tienen como principal objetivo identificar comportamientos sospechosos o anormales, así como reconocer ataques o amenazas que lograron evadir las medidas de prevención.

Existen condiciones previas a considerar en esta fase. Por ejemplo, la definición de lo que representa un incidente de seguridad, ya que de esta forma se busca la contención, que es otro de los puntos estratégicos considerados en esta etapa. También son considerados aspectos como la confirmación y priorización de los riesgos.

  • Respuesta: La última fase hace referencia a la respuesta a incidentes, considerando principalmente la remediación, así como la investigación en torno a los sucesos y el análisis retrospectivo de lo ocurrido. El principal propósito es erradicar las condiciones que permitieron la materialización del riesgo. Como resultado, se deben llevar a cabo las acciones necesarias para subsanar, las cuales implican cambios, así como lecciones aprendidas.

Mediante esta propuesta de arquitectura de seguridad se busca hacer frente a los riesgos actuales, a través del ajuste constante de las condiciones dentro de las organizaciones, basado en más y mejor información, evaluaciones de riesgo y de confianza. Finalmente, la seguridad de la información se trata de tomar decisiones y adaptarse continuamente a los cambios.

Lee también: