El ciclo vital de la seguridad informática radica hoy día en dos etapas principales. Una primera, en la que la empresa se protege frente a las amenazas conocidas (virus, malware, etc). Este primer nivel de seguridad ha sido adoptado ya por la práctica totalidad de las empresas, llegando incluso a convertirse en una commodity generalizada. En un segundo momento, la empresa se esfuerza en identificar y protegerse en tiempo real contra las amenazas desconocidas, como por ejemplo utilizando tecnologías como el aislamiento de procesos o sandboxing. Estas sirven para, en un entorno controlado, ejecutar programas con seguridad y de manera separada. A menudo se utiliza para ejecutar código nuevo, o software de dudosa confiabilidad proveniente de terceros, afín de comprobar si es malicioso o legítimo. Esta es una tecnología con la que muchas empresas están empezando a equiparse ya. Pero hoy en día ya no nos preguntamos sólo si vamos a ser atacados, sino cuándo y cómo nos van a atacar. Por ello, a nadie le debería sorprender que ya estas dos primeras etapas no sean suficientes para garantizarnos una protección realmente eficaz…
Una tercera etapa consiste en evaluar el impacto que la amenaza que hemos detectado haya podido tener sobre la infraestructura y cómo recuperarse. Las tecnologías existentes hoy no nos ofrecen más que una visión parcial, mientras que las empresas necesitan disponer de una visibilidad completa y exacta de todo lo que está sucediendo en sus redes.
Un ejemplo nos ayudará a comprender mejor de lo que estamos hablamos. Un policía llega a la escena del crimen. No cuenta con ningún testigo que haya visto lo sucedido. Una de las primeras cosas que hace es ver si en las cercanías hay alguna cámara de video vigilancia que pueda haber grabado los hechos. Si la encuentra, podrá visionar la escena del crimen y acumular pruebas que le ayuden a identificar al autor o autores del crimen.
Es exactamente eso lo que necesitan las empresas en materia de seguridad informática: grabar el tráfico que transita por sus redes para poder identificar el camino seguido por la amenaza que acaban de identificar y poder tomar las medidas necesarias.
Más allá de la capacidad de revisar escenas anteriores, que sería lo que llamaríamos “seguridad analítica”, el sistema permite de forma paralela confirmar la conformidad de nuestro sistema de información existente. Por ejemplo, la empresa está obligada legalmente a no sólo a tratar de impedir la “fuga” de números de tarjetas de crédito, por ejemplo, sino que también debe saber si esa fuga ha tenido lugar y de poder realizar este tipo de análisis a posteriori.
Pero la recolección y el almacenamiento de un importante volumen de datos no es algo sencillo. La empresa debe, en un primer momento determinar, las reglas que deben definir el modo de recolectar los datos y su conservación, para después analizar esos volúmenes enormes de datos y poder entender que es lo que ha sucedido, reconstruyendo las sesiones de trabajo y los posibles ficheros afectados en cualquier momento del problema. La dificultad consiste también en ser capaces y saber cómo hacerlo, de analizar esos gigantescos volúmenes de datos recolectados.
La empresa no sólo tiene necesidad de coordinar fuentes de información muy distintas, tanto internas como externas, pero sobre todo, debe saber qué preguntas debe hacerse.
Aunque no sea un fin en sí mismo, el Big Data va a ayudar a las empresas a reforzar sus tres niveles de protección. Su integración en la arquitectura global de seguridad va a permitir no solamente llegar hasta el origen de la amenaza y de trabajar de modo que no pueda suponer un nuevo riesgo, sino también acercar y coordinar a los diferentes equipos encargados de los tres niveles de protección de los que hablábamos anteriormente, aportando de este modo una visión global de los riesgos a los que la empresa se enfrenta.
Las empresas han empezado a tomar conciencia de que, independientemente de las tecnologías que utilicen y del grado de sofisticación de cada una de ellas, tarde o temprano serán objeto de ataques de algún tipo. Son también conscientes de que la seguridad no debe ser un freno sino un acelerador a su productividad. Más que evitar a cualquier coste este tipo de ataques, levantando barreras genéricas que al final perturban su actividad, las empresas deberían invertir en un sistema que les permita entender cómo han sido atacadas y qué les ha sido robado. Esta tecnología ya está disponible hoy día, permite capturar el tráfico, almacenar los datos, analizarlos a continuación y luego reconstruir las sesiones como se estaban desarrollando en el momento del ataque, y todo ello partiendo de una simple pregunta, como por ejemplo, ¿quién ha utilizado tal o cuál archivo?
Ninguna empresa puede sentirse protegida o completamente inmune contra los ataques de terceros, así que la seguridad analítica debe ser algo crítico para ellas. Pero esta seguridad no será plenamente eficaz salvo que esté integrada con soluciones que aseguren ya los dos primeros niveles de protección. Es fundamental que puedan comunicarse entre ellas afín de enriquecerse mutuamente.