Cómo elegir herramientas de ciberseguridad para no ser despedido
Ya has oído el viejo dicho: «No lleves un cuchillo a un tiroteo». Por supuesto, eso puede aplicarse a muchas situaciones, pero es increíblemente apropiado para los profesionales de la ciberseguridad. Los delincuentes a los que te enfrentas disponen de armamento avanzado. Necesitas tener el mismo nivel de herramientas o unas aún mejores si quieres defender y proteger proactivamente a tu empresa.
En este artículo, te ayudaré a prepararte para la interminable batalla cuesta arriba a la que se enfrenta todo responsable de seguridad, ofreciéndote una visión general de los tipos de herramientas de seguridad existentes en el mercado y cómo decidir cuáles son las mejores para tus necesidades. También hablaré de cómo verificar y validar el valor y las afirmaciones de las herramientas antes de incorporarlas a tu entorno de TI.
¿Qué tipo de herramientas de seguridad puedes poner en tu arsenal?
A veces puedes necesitar un arma como una flecha para dar en la diana; otras veces, puedes necesitar la potencia de un tanque para arrollar al enemigo y sacarlo de tu sistema. Con los miles de herramientas de seguridad disponibles en el mercado es preciso decidir entre herramientas singulares o polivalentes. Recuerda que muchos vendedores afirman que su herramienta es «polivalente», pero a menudo tienden a adoptar un enfoque de «aprendiz de todo, maestro de nada», así que ten cuidado, ya que ningún vendedor tiene toda la atención para crear herramientas que satisfagan todas las necesidades.
En general, las herramientas se clasifican por propósito, vector o tipo, y cada una tiene subcategorías únicas.
Herramientas por finalidad
Entre las herramientas de prevención se encuentran las soluciones antivirus, las gateways web seguras y los firewall, que funcionan bien para supervisar y prevenir las amenazas de tipo comercial. Las herramientas de detección supervisan las redes en busca de violaciones de las políticas o actividades maliciosas, como el malware, los ataques DoS o los escaneos de puertos, y envían alertas cuando se identifican patrones sospechosos en los paquetes entrantes. Las herramientas de endurecimiento reducen las vulnerabilidades en las aplicaciones, la infraestructura y los sistemas, entre otros, para eliminar los posibles vectores de ataque y condensar las superficies de ataque.
Los desarrolladores de software o firmware publican parches que, una vez instalados, corrigen los fallos identificados que, de otro modo, podrían explotarse. Las herramientas de auditoría de seguridad facilitan la ejecución, la estandarización y la comunicación de las estrategias de auditoría, la visualización de posibles vulnerabilidades y el seguimiento del rendimiento histórico. Las herramientas de simulación permiten simular de forma segura un ataque real para ver cómo responden los sistemas y los equipos y así poder optimizar las políticas y los procedimientos.
Herramientas por vector
Los atacantes pueden acceder o penetrar en los sistemas a través de diferentes vectores de ataque o vías de explotación. Los profesionales de la seguridad deben asegurarse de que su conjunto de herramientas protege toda la superficie de ataque. Esto incluye dispositivos, aplicaciones, end points, bases de datos, redes internas y externas, infraestructura y almacenamiento en la nube, programas SaaS, etc., además de puntos de vulneración como contraseñas débiles, correos electrónicos de phishing, métodos de ingeniería social, configuraciones erróneas, software sin parches, etc.
Herramientas por tipos
Por último, las herramientas de seguridad pueden calificarse por tipos, como cortafuegos (FW), cortafuegos de aplicaciones web (WAF) o gestión de identidades y accesos (IAM). La mayoría de los equipos de seguridad también tienen en cuenta las soluciones avanzadas, como las plataformas de protección de end points (EPP) o la detección y respuesta a amenazas en end points (EDR).
Cómo elegir las mejores armas (de seguridad)
Seleccionar la herramienta adecuada para el trabajo adecuado no es una tarea fácil, pero si te planteas algunas preguntas clave, podrás enmarcar la lucha y a tu enemigo bajo la luz adecuada, lo que te llevará a la elección óptima. Déjame aclarar esto con algunos ejemplos.
Pregúntate a ti mismo: ¿Cuál es mi objetivo?
Esta pregunta te ayudará a elegir una herramienta con un objetivo concreto. Supongamos que respondes que necesitas pasar una auditoría de seguridad. En ese caso, querrás encontrar una herramienta fiable y de buena reputación de una empresa especializada en herramientas de auditoría. Ésta comprobará la mayoría, si no todas, las casillas de tu auditoría. La misma solución puede ofrecer también otros tipos de defensas; deberías considerar su uso con la advertencia de saber que podrían no estar a la altura de los mejores estándares.
Pregúntate a ti mismo: ¿Cuáles son mis activos?
La respuesta a esta pregunta te indicará la categoría de herramientas por tipo. Si tu empresa es como muchas otras y has implementado políticas de trabajo desde casa (WFH) y de traer tu propio dispositivo (BYOD), considera invertir en un EPP en lugar de en protección de red.
Recuerde que, aunque estas preguntas son excelentes puntos de partida para priorizar la selección de herramientas de seguridad, definir un único objetivo o activo no ofrecerá una seguridad integral. Es necesario utilizar múltiples herramientas de seguridad y tener en cuenta que el enemigo está siempre presente y en constante evolución. Un enfoque único no será suficiente. La seguridad se encuentra en un espectro que debe ser revisado y supervisado continuamente.
Considera diferentes metodologías, herramientas y utilidades para comprender mejor la amplitud y el alcance de las herramientas que necesitas para defender todo tu entorno de TI. He aquí algunos recursos que te permitirán avanzar en el camino correcto:
- Instituto Nacional de Normas y Tecnología
- VECTR – una herramienta de código abierto para las evaluaciones de los equipos morados
- MITRE ATT&CK – una base de conocimiento global de TTPs de adversarios basada en observaciones del mundo real
- Controles COBIT y CIS
Prueba antes de comprar
A veces, desde fuera, una herramienta parece que va a resolver todos tus problemas. Sin embargo, cuando se profundiza, el arma supuestamente bien construida comienza a desmoronarse o, como mínimo, a no funcionar como se esperaba. No te dejes engañar por el bombo y platillo de los sitios web. Es fundamental tomar medidas adicionales para validar que la herramienta de seguridad hará lo que necesitas, funcionará como esperas y trabajará al unísono con todas tus otras herramientas, tecnologías y sistemas.
Estos son mis consejos para garantizar que se toman las decisiones correctas:
- Comprueba cómo se clasifica entre los expertos del sector: Consulta el Cuadrante Mágico de Gartner
- Lee las reseñas: busca hilos de discusión en Reddit y reseñas de usuarios en Gartner
- Comprueba si se ajusta a tus políticas organizativas
- Asegúrate de que no entra en conflicto con las herramientas de defensa actuales
- Para probar un EDR, conviene consultar a un hacker o a un especialista en hacking de end points y hacer pruebas en el entorno adecuado.
- Confirma que el proveedor utiliza los estándares de la industria y cumple con las regulaciones y medidas de seguridad
- Comprueba el acuerdo SLA y asegúrate de que el proveedor puede salvaguardar tus datos y responder a los incidentes
- Verifica que el proveedor cuenta con una sólida comunidad de usuarios
- Comprueba que puede realizar los cambios necesarios o que, al menos, dispone de una API o de capacidades de plugin
- Asegúrate de que tiene visibilidad para la respuesta a incidentes (IR) y la supervisión
- Garantiza que se pueda trabajar con la herramienta o contratar a un experto para que la asista o la gestione
- Comprueba que se ajusta a las necesidades de la empresa en cuanto a precios y escalabilidad
Ahí lo tienes. Si sigues mis consejos, estarás en camino de elegir las herramientas de seguridad que llevar a la batalla y que te darán la mejor oportunidad de ganar cada combate.
Te dejo con una última reflexión: con demasiada frecuencia, veo a las empresas desembolsar enormes pagos por herramientas que realmente no necesitan, herramientas que no saben cómo manejar y herramientas que no encajan en su entorno. Dicha herramienta suele comprarse por el furor del sector, pero el hecho de que sea la herramienta perfecta para una empresa no significa que lo sea para la suya.
Piensa en tus necesidades y compra las herramientas que te convertirán en un ganador.