benedetti68 - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Entrevista ejecutiva: Brian Kelly, jefe de seguridad, Rackspace

El negocio de seguridad de TI es un juego de gato y ratón para frustrar los ataques, y la lucha armada determina a los hackers que adaptan su código hasta que tengan éxito, dice el CSO de Rackspace.

La seguridad de TI es como un juego de estrategia, según Brian Kelly, jefe de seguridad (CSO) de Rackspace.

Kelly primero se involucró en seguridad cibernética mientras trabajaba para el gobierno de EE.UU. a finales de los años 1980 y principios de 1990, tratando de entender la guerra de información.

"A pesar de que realmente no lo entendimos, el gobierno creó un centro de excelencia de la guerra de la información: un escuadrón de defensa, un escuadrón de caza y un escuadrón ofensivo", dice.

De su experiencia como un profesional de seguridad experimentado, en lugar de correr atemorizados, Kelly cree que es necesario participar con los hackers en el juego. Combatir el ataque del hacker es análogo a jugar un juego con un joystick o a un combate de lucha armada, dice.

"Te lanzarán un ataque. Con suerte, no tendrán éxito. Pero se irán por ocho, 10, 12 o 15 minutos, recompilarán su hack y volverán. Y así, tienes que defenderte de la siguiente ola de ataques. Si no tienen éxito, el hacker puede intentar el ataque por tercera vez. Así que obtienes esta percepción de que hay alguien al otro lado del mundo y sólo estás luchando con ellos".

Durante un ataque, dice, a menudo hay un "equipo A" y un "equipo B" de los hackers. "El equipo B hace el reconocimiento. Son ruidosos y descuidados. Están tratando de mapear la red. Luego hay una pausa y, dentro de una hora, el equipo A entrará para pelear con usted."

Algunas organizaciones tientan a los hackers con un honeypot, para atraparlos tratando de entrar en una red. Para Kelly, una estrategia razonable para frustrar en el ataque es atar al equipo B, posiblemente dejando unas cuantas "galletas" para que roben, y llevarlos a un lugar en la red corporativa donde sus actividades pueden ser monitoreadas fácilmente y donde el equipo de seguridad puede aprender sobre los vectores de ataque que se están intentando.

Pero luchar contra un determinado hacker del equipo A es difícil y las herramientas de seguridad de TI en las que confían los equipos de seguridad comenzarán a fallar, advierte Kelly. "¿Cuán adaptativas son las herramientas, dado que el ataque puede cambiar dentro de ocho, 10, 12 o 15 minutos?", cuestiona.

Poca seguridad en el trabajo

Mientras que luchar con los piratas informáticos puede parecer un juego, los oficiales de seguridad tienen la estancia en su puesto más corta que la de cualquier ejecutivo del nivel C. En promedio, tienden a durar alrededor de dos años en su rol.

Pero Kelly parece estar superando las probabilidades y ha estado en Rackspace durante más de dos años y medio. "Creo que la gente sigue siendo despedida por fallas de seguridad", dice. "El jefe de seguridad de la información es el clásico culpable. Pero me sería difícil presionar a cualquier individuo y decir que son, en última instancia, responsables. La seguridad es un asunto complicado".

Kelly considera que el trabajo de jefe de seguridad es dificultar lo más posible para un hacker el acceso al sistema corporativo de TI para robar datos o causar daños. "Necesitamos construir los planes correctos", dice. "Sea práctico y realista, pero un ataque va a suceder, y usted no puede confiar simplemente en una lista de comprobación cuando llega el momento."

Las listas de verificación no comprenden el punto

Entre sus molestias personales está la idea de la respuesta a incidentes, la cual detalla las acciones que la diversa gente necesita tomar en caso de una brecha de datos o un ataque incursivo. Experiencias de su trabajo anterior en el Departamento de Seguridad Nacional han convencido a Kelly de que ninguna lista de verificación puede cubrir todas las posibilidades.

"Estas cosas no siguen una lista de verificación", dice. “Solíamos entrenar a la gente para identificar el resultado deseado de un ataque y reconocer que hay múltiples maneras de obtener ese resultado." Desde la perspectiva de la continuidad del negocio, dice: "La parte más importante de la formación es saber lo que puede salir mal."

Por ejemplo, dice, incluso un procedimiento aparentemente sencillo, como restaurar una imagen del sistema, puede fallar y un buen investigador debe estar preparado para situaciones tales como si el disco de copia de seguridad en el que se almacena la imagen falla, o si se rompe la fuente de alimentación, o si la imagen misma está corrompida de alguna manera.

Kelly quisiera pensar que Rackspace tomaría una posición firme contra un ataque de ransomware.

Pero dice: "Hay casos en que las empresas han pagado porque sabían que habían sido capturadas. Las empresas pueden estar en un verdadero atasco. Los datos no han sido respaldados, son datos de alto valor, hay un sentido de urgencia y la única manera de recuperar los datos es pagar. Pero es un riesgo. También sabemos de casos en los que las empresas pagaron y los hackers no descifraron los datos. Así que no hay garantía de que obtendrá sus datos de vuelta. Cuanto más jugamos al juego y pagamos el rescate, mayor es la probabilidad de que lo hagan de nuevo".

Kelly exhorta a los CEOs a preguntar a los CSO sobre los peores escenarios que la organización enfrenta actualmente, lo que puede llevar a que los equipos de seguridad trabajen de manera diferente.

Como regla general, siente que la gestión de accesos es mal manejada. "Es fácil otorgar acceso y no ponemos el tiempo y esfuerzo en un acceso granular bien pensado", dice. "El acceso basado en roles es parte de esto, pero debemos preguntar si es realmente necesario requerir acceso para hacer su trabajo".

Kelly añade: "Todo el mundo de la gestión de la identidad y el acceso ha sido torpe y costoso. Es como implementar ERP [planificación de recursos empresariales] o CRM [gestión de relaciones con clientes]. Son paquetes de software muy complejos y multimillonarios. Tenemos que encontrar una forma mucho más efectiva de gestionar todo el acceso. Escuchamos todas las charlas sobre amenazas persistentes avanzadas y ataques con nombres locos, pero son los fundamentos los que realmente están llegando a la gente".

La mala percepción del phishing y los controles insuficientes en la gestión de accesos están entre las razones más comunes de las brechas de seguridad, dice Kelly. "¿Por qué la gente sigue ejecutando protocolos viejos y anticuados, tiene abiertos excesivos puertos de red y muchos sistemas sin parches? Tienes que prestar atención a la buena higiene de TI".

Mantenerlo simple

Kelly no es fan de la pila de cajas necesarias para asegurar un moderno centro de datos. "La complejidad es el enemigo de la seguridad", dice. "Si construimos sistemas independientes, estamos pidiendo problemas. ¿Existe un sistema de gestión único? En Rackspace hace dos años, los cuatro appliances más importantes en los racks eran los aparatos de seguridad. La pregunta es, ¿cómo manejar todo esto? Es insostenible. No se pueden administrar sistemas en los que cada componente realiza una tarea de seguridad. Tenemos que replantear en una hoja limpia cómo hacer la seguridad."

Kelly cree que la verdadera oportunidad es tener seguridad en la capa de aplicación y del usuario, que es la arquitectura utilizada por Google. "Hay pequeñas empresas que ahora están iniciando el uso de microservicios y solo te autentican para un servicio único", dice. "Esto cambiará el juego. La red está oscura para todos".

Kelly dice que los gobiernos deben seguir invirtiendo fuertemente en seguridad cibernética y trabajar con el sector privado.

Nuestra publicación hermana en el Reino Unido, Computer Weekly, habló con Kelly poco después del ataque terrorista de Manchester. Computer Weekly reportó después del ataque del Puente de Londres, que la primera ministra, Theresa May, está estudiando cómo regular la internet. Kelly es un fuerte creyente del cifrado fuerte.

"A menudo digo, si somos realmente honestos, muy poca seguridad ha funcionado confiablemente o efectivamente", dice. "Por eso terminamos con complejidad. La excepción es el cifrado, que ha funcionado de forma fiable. Es extremadamente importante y para ser eficaz, no se puede jugar con él, construir puertas traseras y hacer excepciones. La seguridad tiene que ver con la confianza. Una vez que la confianza se erosiona, ocurren cosas malas. Tenemos que ser más listos para atacar a los chicos malos".

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close