Automatización de la seguridad

Ing. Raúl Morales
CEH, Security+ Certified

¿el fin de los profesionales de InfoSec?

Miedo, uno de los impulsores más poderosos de todos los tiempos. Películas, novelas, compañías, incluso tuve la desafortunada oportunidad de escuchar la siguiente frase dirigida a un compañero de trabajo: “Puedo reemplazarlo con un guión y ahorraré dinero“.

Automatización es la nueva palabra pegadiza en el entorno industrial, lo vemos en todas partes: en fábricas de automóviles, minas de carbón, bancos, incluso en los aeropuertos donde las tareas relacionadas con la seguridad se transfieren a los cajeros automáticos. Pero, ¿es esto adecuado para todos los entornos comerciales?, la respuesta es parcial.

Los seres humanos son valiosos (no costosos como a algunos ejecutivos les gusta verlos) por sus capacidades de toma de decisiones y se ha estado produciendo un nuevo proceso de evolución en todo el mundo, pensando que las personas están siendo contratadas y las personas mecánicas están siendo desplazadas.

¿Es viable la automatización en seguridad?

Sí, pero de manera parcial, los piratas informáticos de todo el mundo eluden los controles de seguridad diseñados y mantenidos por otros seres humanos, los sistemas automatizados son predecibles (lo cual es una palabra terrible en el negocio), podemos automatizar herramientas y monitores, pero ¿inteligencia de seguridad? Eso no es automatizable .

No importa cuán complejo sea el algoritmo (proceso informático), el hecho de que todas las rutas posibles estén programadas significa que habrá mil formas de evitarlo, el ingenio humano y la lógica son primordiales para detener a los ciberdelincuentes.

No me malinterpreten, todas las empresas deberían invertir en medios y herramientas de seguridad para ayudar al proceso y es necesaria cierta automatización para analizar las decenas de miles de transacciones que la empresa promedio realiza a diario, pero cada máquina, cada analizador en el mercado dependerá en los patrones de búsqueda y cada patrón de búsqueda provocará una situación conocida por los profesionales de la seguridad: falsos positivos y negativos.

Un falso positivo es un evento que activa una alarma pero no es una situación digna de ello, como un empleado común que hace clic en un archivo para el que no está autorizado y no tiene acceso.

Un falso negativo es una situación en la que se debe activar la alarma, pero no es como si el empleado en cuestión obtuviera acceso al archivo que no ha sido autorizado para leer / cambiar / eliminar.

Estos factores son parte del trabajo diario de un ingeniero cibersec y gran parte de nuestro entrenamiento, los instintos humanos se convierten en el diferenciador para detectar el comportamiento anómalo.

Entonces, ¿qué puede hacer la automatización?

Para detectar estos factores que nos permiten identificar las posibles intrusiones, tendríamos que verificar manualmente todos los servidores bajo nuestra supervisión. lo que aumentaría severamente la cantidad de personas involucradas, en cambio, las herramientas de orquestación de seguridad nos permiten ver la actividad en varios frentes, incluso de forma gráfica, lo que permite una cobertura importante de nuestras tareas.

En palabras de Eran Barak, CEO y cofundador, Hexadite: “Todas estas tecnologías de automatización de seguridad liberan recursos de seguridad sobrecargados, permitiendo que los equipos de seguridad se centren menos en tareas mundanas, pero esenciales, y más centradas en iniciativas estratégicas que hacer que su organización sea más segura. [1]

La automatización debe verse como una herramienta y, como cualquier herramienta, solo es buena para la persona capacitada para usarla, no podemos esperar recibir a alguien capacitado para ser un técnico de redes y ciberseg de adquisición sin más que un manual.


Fuentes:
https://www.securityweek.com/five-steps-security-automation

https://www.dflabs.com/blog/security-automation-vs-security-orchestration-whats-the-difference/

https://www.darkreading.com/operations/the-best-and-worst-tasks-for-security-automation/d/d-id/1332074

https://www.helpnetsecurity.com/2019/04/16/it-security-automation-skills/

https://www.information-age.com/staff-skill-shortages-security-study-123473231/

[1] Explicando la automatización de seguridad y sus definiciones en evolución, Network World, septiembre de 2016.

https://www.networkworld.com/article/3121275/explaining-security-automation-and-its-evolving-


El Ing. Raúl Morales Víquez es consultor en informática e Instructor, certificado en Seguridad Informática, Graduado en la Universidad Latina de Costa Rica con más de 10 años de experiencia en diversas áreas de cultura organizacional en empresas multinacionales. email:raul.morales.víquez@hotmail.com