Con organizaciones que utilizan hasta 100 herramientas de seguridad, lograr que funcionen bien juntas es una batalla constante. Estos son los escollos más comunes de la integración de herramientas de seguridad.
Las empresas implementan con frecuencia nuevas herramientas y servicios de seguridad para abordar necesidades y amenazas.
Una consideración clave es cómo integrar estas diversas ofertas – en muchos casos proporcionadas por diferentes proveedores – en la infraestructura existente para respaldar una estrategia de ciberseguridad cohesiva.
El cambio a la nube ha facilitado un poco este proceso de integración pero aún puede ser un obstáculo importante para las organizaciones que intentan crear una protección sólida contra las amenazas más recientes.
Estos son algunos de los desafíos que podrían enfrentar y cómo pueden abordarlos de manera efectiva.
1.- Demasiadas herramientas de ciberseguridad
Un problema común de integración de la seguridad surge de algo que están haciendo muchas organizaciones: implementar demasiados productos y servicios de resguardo.
“El gran volumen de herramientas de ciberseguridad dispares y la falta de interoperabilidad nativa entre ellas es uno de los mayores desafíos que enfrentan las operaciones de seguridad cibernética en la actualidad”, dice Chris Meenan, vicepresidente de gestión de productos de IBM Security.
Destaca que cada nueva herramienta debe integrarse con docenas de otras, creando una cantidad compuesta de integraciones personalizadas que deben administrarse entre cada una.
“Esto está creciendo a una escala que se ha vuelto inviable”, asegura.
Kelly Bissell, directora general global de Accenture Security asegura que miles de herramientas de ciberseguridad están en el mercado hoy en día.
“[Todas] con una mezcla de diferentes características y capacidades. Cualquier líder de seguridad, independientemente de su nivel de experiencia, puede sentirse abrumado fácilmente al intentar tomar las decisiones de seguridad ‘correctas’ para una empresa”, explicó.
El resultado suele ser una infraestructura de seguridad corporativa con 50 o, incluso, 100 herramientas diferentes improvisadas, dice Bissell.
“Cuando se introducen nuevas herramientas pero no se pueden comunicar con otras plataformas o herramientas de seguridad, se vuelve aún más difícil obtener una visión útil del verdadero panorama de amenazas”, asegura.
Para ella, las organizaciones necesitan hacer una ‘limpieza de primavera’ y racionalizar o consolidar sus herramientas de ciberseguridad.
“También deben seleccionar algunos proveedores principales y reducir la escala de otros para maximizar el valor de sus relaciones con los proveedores principales. Esto ahorrará costos en licencias e integración mientras simplifica su huella”, puntualizó.
2.- Falta de interoperabilidad entre herramientas de ciberseguridad
Según Meenan, muchas herramientas de seguridad disponibles en la actualidad utilizan interfaces propietarias y lenguajes de intercambio de datos.
Destaca que, si bien muchos ahora ofrecen interfaces de programación de aplicaciones (API) abiertas, estas no se basan, necesariamente, en los mismos estándares, por lo que aún se requiere un código personalizado específico para integrar el producto A con el producto B.
“Además, el lenguaje para intercambiar datos no está estandarizado”, lamentó.
Explicó que se están realizando esfuerzos entre múltiples comunidades de seguridad para abordar este problema de interoperabilidad centrados en:
- Desarrollar modelos de datos más comunes
- Estándares y herramientas de código abierto wue se pueden usar entre proveedores
- Yconjuntos de herramientas
“Al confiar en API y modelos de datos comunes, los equipos de seguridad podrán cambiar una herramienta por otra más fácilmente, lo que en última instancia facilitará la adición de nuevas herramientas y reducirá el bloqueo del proveedor”, estima.
Un buen ejemplo de dónde se está arraigando este tipo de trabajo comunitario es la Open Cybersecurity Alliance (OCA), según Meenan. Este es un grupo intersectorial de:
- Proveedores
- Consumidores
- Y organizaciones sin fines de lucro
- Bajo un gobierno abierto
… que se dedican a aprovechar el código y los estándares abiertos para mejorar la interoperabilidad de la seguridad cibernética.
Meenan afirma que Organizaciones como Open Cybersecurity Alliance se dedican a reunir jugadores de toda la comunidad de ciberseguridad, en general, para:
- Ayudar a definir estos estándares de una manera abierta y transparente
- Con desarrollo
- Revisión
- Y comentarios de la comunidad
“Las empresas pueden comenzar a buscar software basado en estándares y herramientas de código abierto para reducir la carga de las integraciones de seguridad, tanto ahora como en el futuro”, explicó.
3.- Funcionalidad rota
Eric Cole, fundador y director ejecutivo de Secure Anchor Consulting, y experto en seguridad cibernética recuerda que, a menudo, las herramientas de seguridad requieren cierto acceso a los sistemas o al tráfico de la red para ejecutarse.
Para él, agregar nuevas herramientas podría hacer que las existentes, simplemente, dejen de funcionar.
Explica que esto se debe a la premisa de que, cuando se instalan nuevas herramientas, a menudo realizan cambios como eliminar o cargar:
- Archivos
- Controladores
- Y claves de registro
Esas configuraciones suelen ser utilizadas por herramientas instaladas previamente, según explica el especialista.
“Este problema prevalece, principalmente, con las herramientas de seguridad de punto final o las herramientas que deben instalarse directamente en un sistema”, afirmó Cole.
Para él, con dispositivos o aparatos de red, esto es un problema menor.
La solución a eso son tools basadas en host o servidores que deben instalarse localmente.
“Las organizaciones deben ceñirse a una suite o soluciones de un solo proveedor para minimizar la contaminación entre proveedores”, dice.
4.- Visibilidad limitada de la red de ciberseguridad
Cole asegura que las herramientas de seguridad más nuevas se enfocan en construir modelos de comportamiento para comprender mejor tanto el del tráfico como el de la red y, así, usar esta información para detectar actividad anómala.
En opinión de Cole, para que estos modelos sean efectivos deben examinar y analizar todo el tráfico de la red.
“Si las herramientas solo ven un subconjunto, los modelos no serán precisos ni efectivos. Esto es principalmente un problema con los dispositivos de red, pero si se instala un nuevo dispositivo de red frente a la tecnología existente, podría bloquear el tráfico y limitar la visibilidad de los sistemas existentes”, explicó.
Asegura que, si el nuevo dispositivo se instala detrás de los dispositivos existentes, tendría información limitada y no sería efectivo.
Explicó que la solución es implementar herramientas de red por área local, virtual o por segmento de red, de modo que una sola herramienta tenga visibilidad completa de la parte de la red que está protegiendo.
5.- Incremento de falsas alarmas
El fundador y director ejecutivo de Secure Anchor Consulting afirma que las nuevas herramientas de seguridad también tienden a centrarse más en afirmar que pueden detectar ataques en lugar de proporcionar información precisa y confiable.
“Por lo tanto, a medida que instala más herramientas, aumentan las alertas y aumenta la cantidad total de falsos positivos. La solución es utilizar un [sistema] de gestión tanto de incidentes como de eventos de seguridad, correlacionar los datos de múltiples fuentes y solo alertar sobre la actividad que dispara constantemente a través de múltiples herramientas”, dice Cole.
6.- No establecer las expectativas adecuadamente
Los proveedores de seguridad pueden, ocasionalmente, mejorar las capacidades de integración de sus productos o no mencionar todos los requisitos previos adicionales que deben existir para lograr los resultados establecidos, explicó Brian Wrozek, CISO de la empresa de seguridad Optiv.
Esto, a su vez, puede llevar a que los líderes o equipos de seguridad establezcan expectativas para los usuarios comerciales que no se pueden cumplir.
“Los líderes empresariales están más familiarizados con las aplicaciones comerciales que con las aplicaciones de seguridad”, puntualiza Wrozek.
Apunta que los CIOs y otros entusiastas de líderes saben lo que obtienen con una aplicación como Salesforce o Zoom, pero no con una herramienta de corredor de seguridad de acceso a la nube (CASB).
“Por lo tanto, es imperativo que los vendedores les expliquen todas las limitaciones de la solución en lugar de centrarse exclusivamente en los beneficios”, insistió.
7.- Falta de habilidades
Cualquiera en el liderazgo de seguridad sabe cuán grave es el problema de la brecha de habilidades para las organizaciones.
La demanda es, simplemente, mucho mayor que la oferta para – 66 prácticamente – todos los aspectos de la ciberseguridad.
Eso incluye las habilidades necesarias para integrar varias herramientas y servicios de protección.
Para Bissell, la falta de personal capacitado que pueda administrar la integración de herramientas y determinar qué acciones deben tomarse es un desafío clave hoy en día.
“Cuantas más herramientas tenga, requerirá más tiempo y experiencia. Y [eso], a menudo, crea una pérdida significativa de recursos”, reconoció.