Cuando se habla de ciberseguridad es común que organizaciones e instituciones gubernamentales asuman que basta con implementar políticas y soluciones de protección de la red para garantizar la ciberseguridad.
Por: Juan Alejandro Aguirre, director de Soluciones de Ingeniería
para América Latina en SonicWall
Unido a esto, la mayoría de las organizaciones busca contratar profesionales para realizar múltiples tareas, desde la gestión de firewalls, endpoints e IPS, hasta intentar realizar análisis de amenazas y dar respuesta a incidentes.
Esta práctica no solo es errónea, sino que deja ver la falta de entendimiento que existe respecto a la complejidad que implica la ciberseguridad, pues si bien, es necesario contar con soluciones de seguridad de la red que estén bien configurados, esto resulta insuficiente cuando las empresas están bajo ataque.
Pero ¿por qué un administrador de seguridad no es el perfil adecuado para enfrentar un ciberataque? En este caso, lo primero que hay que aclarar es que la ciberseguridad se divide en dos mundos: la parte de gestión y la de operaciones.
En la Gestión de Ciberseguridad se encuentran los especialistas responsables de establecer políticas de firewall, IPS o endpoint. Son quienes configuran los controles para cifrar comunicaciones, bloquear accesos a sitios peligrosos o restringir conexiones IP con ciertos países. Su trabajo es esencial para definir los requerimientos mínimos de seguridad con los que una organización puede trabajar.
En el equipo de Operaciones de Ciberseguridad se ubican los profesionales entrenados para actuar cuando un atacante logra evadir las políticas establecidas (por los administradores de seguridad). El equipo de operaciones es experto en investigar indicadores de compromiso, firmas de malware y artefactos maliciosos, dominan marcos como MITRE ATT&CK y saben reconstruir la línea de tiempo de un ciberataque para contenerlo y erradicarlo.
Entonces, cuando un hacker logra superar las políticas de seguridad, en ese momento el administrador de seguridad ya no puede apoyar, debido a que ya cumplió su función de configurar las políticas de los dispositivos. Lo que sigue es librar una batalla donde se requiere identificar al intruso, contenerlo y expulsarlo y, al mismo tiempo es necesario analizar la información para detectar las amenazas y responder con un plan de acción para minimizar el impacto. Para esto se necesitan los especialistas en operaciones de ciberseguridad, perfiles que piensan como hackers y conocen sus métodos.
Ahora bien, es importante señalar que los perfiles altamente especializados requeridos para integrar equipos de Operaciones de Ciberseguridad son escasos, no solo en Colombia, sino a nivel mundial. Además, se trata de profesionales que suelen percibir ingresos elevados, lo que dificulta que muchas organizaciones e instituciones puedan incorporarlos de manera directa en sus nóminas de personal.
No obstante, la escasez de talento no significa que las organizaciones estén condenadas a permanecer vulnerables. Una alternativa viable es la contratación de servicios de un Managed Security Service Provider (MSSP), con la capacidad de ofrecer detección y respuesta extendida ante amenazas como servicio (MXDR), permitiendo así acceder a conocimiento especializado sin necesidad de conformar equipos internos.
En este sentido, SonicWall ha trabajado en los últimos años para impulsar la creación de nuevos MSSP alrededor del mundo potencializándolos con SonicSentry MXDR para entregar operaciones de ciberseguridad (monitoreo, detección y respuesta 24/7) a sus clientes en toda la superficie de ataque. De esta forma, las organizaciones pueden contratar servicios especializados bajo un esquema de pago mensual, lo cual los vuelve más accesibles para organizaciones de todos los tamaños e instituciones gubernamentales.
En conclusión, un administrador de seguridad no resulta suficiente para enfrentar un ciberataque; la opción adecuada es contar con especialistas en Operaciones de Ciberseguridad, capaces de investigar y contener incidentes avanzados. Y para aquellas organizaciones que no disponen de los recursos necesarios para integrarlos a su equipo local, la alternativa es recurrir a un MSSP que ofrezca servicios gestionados de detección y respuesta ante amenazas.
