¿Me va a creer usted a mí o a sus propios ojos? El dilema de la seguridad gestionada

martes, 15 de septiembre de 2015

Las organizaciones se enfrentan a un contexto de amenazas informáticas cada día más complejo que pone en riesgo el normal desarrollo de los procesos productivos. Nos referimos a ataques avanzados persistentes, amenazas de día cero, espionaje industrial, hacktivismo… y al mismo tiempo la necesidad de cumplir con «las reglas del juego» (legislación y regulaciones) en materia de seguridad.

El reto para las organizaciones es equilibrar las exigentes demandas de los procesos productivos y la gestión de la creciente complejidad de las amenazas, haciéndolo con la inteligencia y escala requerida en cada caso. Esto obliga no sólo al despliegue de herramientas que permitan gestionar estas amenazas, sino también a disponer de profesionales expertos en seguridad o bien externalizar este servicio a terceros especializados, que dispongan del personal capacitado y las herramientas adecuadas para la gestión de su seguridad. El problema en este caso es que la organización pierde visibilidad y control sobre su propia seguridad.

En ElevenPaths consideramos que es posible ir un paso más allá en este eterno juego del gato y el ratón. La gestión “tradicional” de la seguridad externalizada se basa en la operación de herramientas de seguridad como cortafuegos, antivirus, detectores de intrusiones, etc. y de un SIEM como herramienta de recolección y correlación de los eventos que generan esas herramientas de seguridad. El SIEM detecta y avisa al operador cuando se produce algún incidente de seguridad, pero la organización pierde visibilidad de su propia seguridad e inmediatez a la hora de responder.

El nuevo enfoque de la gestión externalizada de la seguridad debería permitir a la organización tener un conocimiento inmediato de los incidentes, así como una visión unificada de su seguridad, que permita una respuesta también inmediata y a la escala de la amenaza, que minimice el impacto en el negocio. Esta solución además debería integrar tanto la información obtenida de todas las herramientas desplegadas en la propia organización, como la información externa a la misma. Así mismo, la organización debería beneficiarse de un conocimiento global y colectivo que le permita anticipar incidentes que ya le están ocurriendo o le han ocurrido a otros.

El primer paso es mejorar la detección de incidentes que realizan los SIEMs. SandaS procesa la información que reciben los SIEMs con un conjunto de algoritmos propios que permiten detectar actividades que pueden pasar desapercibidas para estos.

El portal de última generación permite a la organización la visualización en tiempo real de la información relevante de su seguridad, y hacer un seguimiento minuto a minuto del estado de su seguridad y de cómo se está gestionando la misma.

No es suficiente con detectar un incidente, sino que es necesario categorizarlo de una forma homogénea y asignarle una criticidad. SandaS permite personalizar el nivel de criticidad según el contexto específico de la organización y los elementos a los que afecta. Además, notifica de forma automática a los actores relevantes en ese contexto, para un tratamiento y resolución más ágil y eficiente. Incluso puede ejecutar automáticamente acciones de resolución o remediación, lo que permite optimizar recursos.

SandaS se apoya en múltiples componentes de la plataforma de seguridad de ElevenPaths, como es el framework de procesamiento Big Data Sinfonier que le permite la integración de fuentes internas y externas, como eventos externos detectados por otros servicios de ciberseguridad. Esto permite detectar más rápidamente, y de forma más ajustada al contexto de la organización, posibles incidentes y prevenir o reducir su impacto.

Además, la cualidad más innovadora de SandaS es su enfoque colaborativo. Gracias a su escala global y el gran volumen de datos que maneja de muy diversas fuentes, obtiene un conocimiento global de indicios sospechosos en toda su red de actuación. Esta inteligencia le permite inferir amenazas potenciales, detectar inmediatamente incidentes que ya están ocurriendo y, sobre todo, prevenir que estos incidentes ocurran en aquellas organizaciones donde aún no se han materializado.

Para completar esta visión de la gestión de la seguridad sería necesario vincularla al negocio. Es necesario valorar el riesgo que suponen amenazas y vulnerabilidades para el negocio, así como ser capaces de gestionar el cumplimiento de las múltiples regulaciones, normativas y políticas. Esto nos permite tomar mejores decisiones sobre la gestión de los incidentes y la definición de procesos, procedimientos y políticas para prevenir y gestionar incidentes.

Por ello, recientemente hemos ampliado nuestra solución con capacidades de GRC (Governance, Risk and Compliance) a través de la adquisición de la plataforma GesConsultor, que se integra en nuestra familia de productos como SandaS GRC.

Echa un vistazo al vídeo y descubre más sobre la herramienta:




En próximas entradas daremos más detalles de las funcionalidades que ofrecen los diversos componentes de SandaS y SandaS GRC, que se ofrecen a través de los servicios de Seguridad Gestionada de Telefónica. 

No hay comentarios:

Publicar un comentario