La Ciberseguridad y su comportamiento

Los comportamientos que se desvían de la actividad regular, pueden ser considerados maliciosos, esto no necesariamente es así. Su detección puede ser resultado de la incorporación de procesos que al ser implementados y no contar con una estadística previa (histórico), se etiquetan como una “anomalía”. Para determinarlo, se requiere de una evaluación que permita resolver si es malicioso o no, estos procesos se detectan con el apoyo de herramientas que cuentan con la capacidad necesaria para evaluar y precisar en tiempo real el comportamiento, “sin la oportunidad, esto carece de valor al detectar la actividad”, con los suficientes elementos se podrá determinar si es malicioso, por lo tanto, anómalo.

Los procesos de evaluación deben de ser tanto internos como externos con las actividades que se consideren anómalas, tomando como base la información histórica. La IA (inteligencia artificial), a través de modelos predictivos y de detección, realiza un análisis del evento y permite apoyarnos en la determinación de una acción. 

Existen una gran cantidad de operaciones, en las que debemos detectar el tipo de comportamiento, desde aquellas fuera de horas laborales o de programa, por el incremento de la frecuencia con la que se presentan las operaciones, el aumento en su valor, el manejo o cambio de privilegios en actividades o accesos a bases de datos, sobre todo aquellos que pueden ser críticos dentro de la organización, también el acceso desde ubicaciones diferentes a las habituales, la conexión de dispositivos a la red o accesos no autorizados a cuentas de usuarios, el copiado de datos a correos electrónicos, entre otros. 

La IA es un elemento fundamental para contener los ciberdelincuentes, ya que permite, de manera inmediata, prevenir, detectar, responder y recuperar la operación, misma situación que no sucede con sistemas tradicionales que no cuentan con los elementos necesarios de detección de ciberataques más complejos, estas características las comentaremos en otra publicación.

Sabemos que el eslabón más débil en los procesos Organizaciones donde se emplean procesos tecnológicos son las personas (empleados, clientes, proveedores). El factor humano juega un rol importante. De acuerdo a un estudio realizado por IBM, se establece que el 80 % de los incidentes de ciberseguridad en dichas operaciones se deben a fallas humanas.

Es necesario que los procesos y sus activos de la organización sean permanentemente evaluados y con esto determinar si están comprometidos, estos son los que se busca dañar, como consecuencia, afectan la reputación de la organización y su valor financiero. No necesariamente son eventos que suceden de manera inmediata, pueden desarrollarse en periodos muy largos de tiempo en los que se busca engañar con una baja recurrencia en la operación, estos activos pueden ser desde equipos centrales, cuentas de usuarios con algún tipo de privilegio en particular (D.B.A. u otro), los equipos de usuarios, ruteadores, firewalls, por mencionar algunos.

Como mencioné anteriormente, los usuarios, son una pieza fundamental, en estos, los denominados “Insiders”, los empleados de la organización que, por actitud, falta de conocimiento o intención, alteran la operación, afectando la reputación o economía. Se destaca en diferentes publicaciones que el robo de credenciales sigue creciendo, pasando de un 14 % en el 2020 a un 18 % en el 2022, generando fraudes o buscando que las empresas paguen por un rescate.

La información se puede considerar como uno de los activos más importantes dentro de la organización, su protección contra el abuso, la mala utilización y descuido es una parte crucial. Su resguardo, continuidad y veracidad son un factor primordial, para lograrlo, es necesario contar con un sistema integral contra el mal uso que incluya la  tecnología, sus procesos y las personas involucradas, en éste se debe contar con un análisis y mejora del grado de madurez, nivel de riesgo, el nivel de cumplimiento de normas, los procesos de auditoría interna, así como las posibles certificaciones necesarias de acuerdo a su industria o sector.

Los procesos de ciberseguridad no solamente se deben centrar en contar con herramientas de detección de anomalías, también deben incluir un ecosistema que incluya todos los elementos de la organización, tales como los equipos perimetrales, sistemas de detección y administración de intrusiones, infraestructura, entre otros. Las pruebas de penetración, brechas y seguimiento que permiten evaluar su desempeño y mejora. Las políticas, procesos y normas de seguridad de la información y ciberseguridad, la educación y concientización de prácticas de seguridad.

Se debe contar con un equipo de respuesta a incidentes de seguridad que permita detectar, contener y remediar posibles ataques cibernéticos, el contar con un plan de simulaciones que logre cuantificar y controlar los incidentes para mejorar los procesos, su detección y respuesta. 

Debemos incluir la oportuna actualización de los sistemas y aplicaciones, con el objeto de eliminar o en su caso, disminuir las vulnerabilidades dentro de la organización, los controles de acceso al entorno, a la información, contando con una clara definición y perfilamiento de los usuarios autorizados. Se deben de incluir los procesos de auditoría que promuevan la mejora en la madurez tecnológica y disminuir el nivel de riesgo de operación. La integración de los planes de recuperación en caso de desastre (DRP), así como los de continuidad de negocio (BCP) son también un proceso necesario para la disminución de los ciberataques.  Estos detalles se comentarán en otra publicación.

Nota importante: No hemos encontrado el nombre del autor intelectual en diferentes medios de la frase inicial de este artículo; sin embargo, la referencia fue comentada por personal de Darktrace /Elizabeth Lara.