ISACA Journal
Volume 1, 2,017 

Translated Articles 

Fuente de ayuda 

Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP 

Q  He escuchado de proveedores que las tecnologías cognitivas como ser el aprendizaje automático pueden ayudar en mi gestión de riesgo y esfuerzos de seguridad. ¿Es este el caso? ¿Si es así, como mido y evalúo su rendimiento? ¿Existen estándares, herramientas o fuentes de información que puedan ayudar?

A  Un proceso de gestión de riesgo efectivo requiere una decisión de respuesta al riesgo que está basado en el conocimiento previo sobre la posibilidad de que vulnerabilidades serán explotadas dentro de los sistemas. Un proceso normal de gestión de riesgo identifica una amenaza y evalúa su relevancia a la organización. Basado en estos resultados de evaluación, la organización toma una decisión en cómo responder. Sin embargo, con la automatización de la gestión de la información, la velocidad del proceso de información está constantemente aumentando y la organización requiere respuestas más rápidas. El reto que el proceso de gestión de riesgo normal presenta a la organización hoy día, es la habilidad (o falta en esto) para cumplir con la necesidad de una detección a tiempo de la materialización del riesgo y responder a esos ítems de riesgo.

La detección de la materialización del riesgo actualmente se está haciendo utilizando un análisis de datos estructurado. Un buen ejemplo son las herramientas de incidentes de seguridad y gestión de eventos (SIEM) utilizadas para registrar análisis y determinar posible materialización del riesgo. Otro buen ejemplo es el de instituciones financieras utilizando herramientas de análisis de transacciones y análisis de datos no estructurados (texto) con capacidades analíticas para detectar posibles fraudes o ataques. Sin embargo, estas tecnologías sufren de alertas falsas positivas, o intervención humana es requerida para efectuar una decisión de respuesta. A la fecha, ha habido dos eras distintivas de ciber seguridad: controles perimetrales1 e inteligencia de seguridad. Estas sirven como bloques de construcción al entrar en la tercera era—seguridad cognitiva.

Sistemas cognitivos son sistemas de auto aprendizaje que utilizan data mining, aprendizaje de máquina, procesamiento de lenguaje natural e interacción computacional humana para copiar la manera en que el cerebro humano funciona. Si es utilizada para detectar la materialización del riesgo, estos sistemas pueden aprender de las decisiones tomadas por lo humanos y actualizar su motor de conocimiento.

Hay unos pocos productos que están siendo utilizados por el sector financiero para detectar posibles fraudes; sin embargo, estos productos no son lo suficiente maduros para ser utilizados en la gestión de riesgo en todos los sectores. Otro reto es que la revisión de nuevas amenazas y riesgos que forman la base para la gestión de riesgo aún no está lo suficiente madura para que las tecnologías cognitivas las adopten. Existen algunas herramientas disponibles que pueden entender la base de datos de riesgo actualizada y proveer cuadros de mando a la gerencia para revisión, pero la evaluación de riesgo, que es a juicio de humanos basado en la experiencia, tomara más tiempo para que esté disponible en sistemas de auto aprendizaje.

Hoy, el uso de tecnologías cognitivas en gestión del riesgo y seguridad está limitado a:

  • Analizar tendencias de seguridad y generando enormes volúmenes de datos estructurados y no estructurados en información y luego en conocimiento accionable para permitir mejoras continuas en seguridad y negocio2
  • El uso automatizado; tecnologías de seguridad basados en datos, técnicas y procesos que apoyan sistemas cognitivos con el más alto nivel de contexto y precisión3

En el futuro, sistemas cognitivos podrán analizar la interacción, su naturaleza y susceptibilidad, para desarrollar perfiles de riesgos para las organizaciones, acciones corporativas, entrenamiento y reeducación. Sistemas cognitivos también podrían usar procesamiento de lenguaje natural para encontrar y redactar datos sensitivos en una organización.

Q  ¿Que tan importante es la inteligencia de amenazas para mis esfuerzos de gestión de riesgo? ¿Es algo que debiésemos implementar? ¿Si fuese así, como lo hago?

A  Las organizaciones sufren ataques todos los días y son capaces de responder a la mayoría de estos con los conocimientos disponibles. Sin embargo, los adversarios siempre están adelantados y continúan desarrollando nuevos ataques utilizando nuevas técnicas. ¿El resultado? Organizaciones no identifican los ataques y llegan a saber de estos solo cuando el daño ya ocurrió. Ataques del día cero o amenazas persistentes avanzadas (APTs) son ejemplos conocidos. En otras palabras, las organizaciones están desprotegidos contra nuevos ataques.

La inteligencia de amenaza en palabras simples, es la información que una organización puede utilizar para mejorar sus capacidades de detección. Ayuda a detectar un ataque antes que se materialice. Ejemplos primitivos de inteligencia de amenazas pueden ser el análisis heurístico mediante herramientas antivirus, sistemas de prevención de intrusiones (IPS) o la actualización de firmas de virus proporcionada por el proveedor de antivirus. En otras palabras, la inteligencia de amenazas es una información que ayuda a las organizaciones a mejorar la capacidad de detectar, prevenir y/o investigar posibles ataques antes de que un ataque ocurra o en las primeras etapas de un ataque antes de que impacte al negocio.

Porque la detección temprana de un ataque ayuda a las organizaciones controlar el impacto del ataque y la inteligencia de amenazas apoya la detección temprana, las organizaciones serian sabias en considerar implementar inteligencia de amenazas. Sin embargo, también debiesen entender que implementar inteligencia de amenazas no es un proyecto de una sola vez. Es un esfuerzo continuo, ya que nuevas amenazas emergen constantemente. Para implementar la inteligencia de amenazas, estos pasos pueden ser considerados:

  • Construir un perfil de amenazas que incluya posibles perpetradores/atacantes. Esto se puede hacer construyendo posibles escenarios de riesgo (referirse a COBIT 5 para riesgos4 para escenarios genéricos de riesgo).
  • Colectar información, particularmente de incidentes pasados, dentro de las organizaciones e industrias; indicadores e incidentes de malware, protocolo de Internet (IP)/Reputación URL, informaciones de redes de comando y control, y más. Hay un sin número de fuentes de datos disponibles que puedan proveer de esta información.
  • Crea un grupo interno que analice información recibida de fuentes internas y externas relevantes para la organización.
  • Agregue y analice los datos recibidos, particularmente considerando el volumen e información duplicada, identifique los datos que puedan generar acciones como ser el actualizar controles existentes o implementar nuevos controles, e identificar posibles falsos positivos. La información publicada por posibles atacantes puede especialmente engañar sobre todo en la decisión de la respuesta.
  • Basado en el análisis de la información, identificar las áreas que requieren cambios, particularmente las políticas, procesos, reglas para monitorear los eventos (indicadores de riesgo/umbrales de riesgo), reglas del cortafuego, etc.
  • Validar las reglas e implementar procesos para la colección continua de información de inteligencia de amenazas y actualizar reglas y procesos.
  • Automatizar los procesos. Por ejemplo, en el caso de violación de datos, bloqueo o ataque del día cero, implemente bloqueos temporales automáticos en base a políticas predefinida. O si un dispositivo empieza a comportarse anormalmente, haga que automáticamente sea removido de la red para investigación.

El punto principal a tomar en cuenta es que implementar inteligencia de amenazas es una tarea gigantesca, por lo cual hay que efectuarlo en pasos pequeños.

Notas Finales

1 IBM, Cognitive Security White Paper, USA, 2016, http://cognitivesecuritywhitepaper.mybluemix.net/
2 Ibid.
3 Ibid.
4 ISACA, COBIT 5 for Risk, USA, 2013, www.isaca.org/COBIT/Pages/Risk-product-page.aspx

Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP
Ha trabajado en TI, gobierno de TI, auditoría de SI, seguridad de la información y gestión de riesgos de TI. Tiene 40 años de experiencia en diversas posiciones en diferentes industrias. Actualmente, es consultor independiente y miembro del profesorado visitante en el Instituto Nacional de Gestión de Bancos, India.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.