Diálogo entre seguridad e ITOps y definición de procesos, las claves para securizar activos

Uno de los principales retos a los que se enfrentan las empresas en relación a la administración de sistemas y seguridad es la reducción de brechas que hay entre ambos departamentos. Hay una gran desconexión; los departamentos encargados de la seguridad identifican, día a día, vulnerabilidades, pero el paso a productivo, y esto es la remediación, la lleva a cabo ITOps. 

“Lo que sucede es que la gente de seguridad tiene sus propias soluciones y generalmente pasan información de vulnerabilidades detectadas a la gente de operaciones”, explica a CIO España Jorge Pascua, technical solutions engineer en Tanium. “No hay una agilidad en el proceso”, advierte, que consiste en identificar la vulnerabilidad, comunicarla a operaciones y aplicar la remediación. “Hemos visto que el tiempo medio de aplicación de parches de seguridad puede llegar hasta más de 100 días”.

¿A qué se debe esta desconexión? “No es sólo porque fallen los procesos internos, ni tiene que ver con no tener las herramientas adecuadas”, revela. “Tiene que ver con una definición de procesos deficiente”. En muchas ocasiones, sigue, encontrar una ventana de mantenimiento no es algo simple por falta de tiempo para validaciones en entornos de test o laboratorio. En otras, no hay una buena automatización del proceso de aplicación continua de parches.

La fórmula es sencilla. Se trata de pivotar desde la identificación a la remediación. Es una fórmula que ambos equipos, tanto Operaciones como Seguridad, ven con buenos ojos para reducir operativa y tiempos de procesos manuales a la vez que pueden seguir fácilmente el progreso y determinar en qué equipos se van a distribuir los parches de seguridad.

Para los CIO que flotan sobre estos departamentos los principales desafíos tienen que ver con la complejidad del entorno de TI. Es algo que ha cambiado mucho en los últimos dos años. “No todos los equipos están conectados a la red corporativa. Tenemos múltiples versiones y aplicativos desplegados y hacer una gestión integral de los mismos es complejo”, comenta. Además, hay una tendencia a adquirir e integrar soluciones que resuelven necesidades específicas y especializadas. El resultado es una amalgama de soluciones diferentes, diferentes fuentes de inventario, de visualización y de operativa, lo que complica enormemente la gestión. Además, las organizaciones no tienen toda la información de los activos que están gestionando y en muchas ocasiones no están bien clasificados.

Una plataforma unificada en evolución

La propuesta de Tanium frente a estos desafíos relacionados con la falta de definición de procesos en un entorno tan complejo y heterogéneo es una plataforma unificada. Su aproximación es la propuesta de “una racionalización de tecnología y agentes”, explica Pascua. “Reducimos la complejidad a nivel operativo y dotamos de una única fuente de información, de definición de procesos, de remediación y reporte”. Tener una visión desde una única fuente de inventario es un aspecto “crítico” para cualquier proceso de negocio, no sólo para el proceso de remediación del parcheo.

Desde la firma trabajan con las organizaciones en la identificación de los casos de uso y los principales puntos de dolor. En caso de que haya un problema de visualización -el experto habla de entre un 5% y un 15% de activos no controlados dentro de las empresas- se hace un análisis sobre los activos no controlados y se propone consolidar la parte de descubrimiento, hacer un inventario y comenzar con un análisis de riesgos y falta de parcheos críticos. “A partir de ahí es hablar de hasta dónde puedes llegar con soluciones actuales; son herramientas aisladas que no están interconectadas y que las empresas pueden plantearse si es algo que pueden consolidar a nivel de tecnología”.

Los assets no controlados pueden ser una puerta de entrada de muchos ataques. “Significa que no has tenido ningún tipo de higiene TI sobre estos equipos y no tener al día las actualizaciones te puede generar un gran problema”, explica. Un único activo mal parcheado e incontrolado puede generar un problema a la empresa.

Por esto es tan importante ser capaces de establecer procesos priorizados sobre los assets a remediar y definir procesos gracias al análisis a tiempo real y además, a escala. Tanium gestiona tamaños de empresa que van de miles de endpoints hasta millones.

La propuesta de Tanium es modular y las organizaciones pueden ir incorporando bloques en función de sus necesidades. Han ido creciendo del core, centrado en origen en el descubrimiento, inventariado y gestión de parcheos, para incorporar módulos adicionales como threathunting o compliance. “Hemos ido añadiendo funcionalidades que cubren las necesidades de un CIO y de un CISO”, explica.

Las herramientas tradicionales son insuficientes

La compañía recomienda tener los activos actualizados con parches, claro que la receta para estar protegidos no es tan sencilla y las herramientas tradicionales ya no son suficientes. Hoy es preciso automatizar el testeo de despliegue de paquetes críticos en los endpoints y definir diferentes anillos de actualización que reporten el progreso para identificar un problema antes de una distribución masiva.

¿Qué estrategias de ciberseguridad recomienda a los responsables de TI? “La tendencia ha sido adquirir soluciones muy específicas para cubrir necesidades puntuales. Se ha dejado de lado una parte básica, que es la visualización, la identificación, la clasificación de activos y su actualización, el parcheado”, reflexiona.

Empezar por plantearse si se tiene conocimiento de todos los activos e identificar qué porcentaje de actualización de los mismos cumple con la estrategia de parcheo y seguridad definida es el primer paso recomendado. Es importante preguntarse “si, por ejemplo, es posible utilizar soluciones y procedimientos existentes para identificar una vulnerabilidad y poder aplicar un parcheo a escala en las siguientes 48 horas, si así lo establece nuestra estrategia corporativa”.

Contenido ofrecido por Tanium