En un entorno como el actual, las organizaciones utilizan la transformación digital como aliado para acelerar y mantener su productividad. Esperan que el cloud les ayude a potenciar la innovación y mejore la eficiencia de sus procesos. Y, cada vez más, los responsables de TI sienten que necesitan una visibilidad completa de las infraestructuras para minimizar o mitigar el riesgo de brechas.
Y es que, si no existe una comprensión clara sobre dónde y cómo se encuentra la pila tecnológica en realidad, los objetivos de futuro resultarán inalcanzables. La gestión y protección de los activos en la nube se ha convertido en un quebradero de cabeza para los CIOs, pero al mismo tiempo representa una oportunidad para modernizar las defensas.
Gestión de activos: construyendo desde los cimientos
La gestión de activos es la base de la política de seguridad de la información de cualquier organización. Contar con un listado completo, preciso y oportuno de todos los activos de TI no es algo sencillo, pero lo cierto es que, si no se alcanza este nivel de detalle, el equipo de seguridad estará siempre un paso por detrás de las amenazas. Contar con un programa de gestión de activos (AM) será clave para el éxito; sin él, habrá dificultades para impulsar el impacto en el negocio que se espera de la tecnología, y el CIO tendrá que rendir cuentas.
Conseguir una comprensión global del estado de las TI de la organización permite tomar las medidas necesarias para mitigar las amenazas, identificando rápidamente configuraciones erróneas, vulnerabilidades y hardware obsoleto. También permite priorizar y liberar al personal para que se concentre en tareas más urgentes o estratégicas para la empresa.
Inventario y monitorización: mirando hacia adentro
La necesidad de establecer un inventario completo de los activos de la organización puede parecer una obviedad, pero diversos estudios muestran que el 69% de las empresas han sufrido ataques contra activos desconocidos o mal administrados.
Y es que, si no se conocen los activos de la red corporativa, no será posible protegerlos. Y, si el equipo no puede informar, no se podrá saber de manera efectiva como se están manejando los riesgos de seguridad. A través de una vista completa de los activos, la organización podrá descubrir “secretos ocultos” -por ejemplo, implementaciones Shadow IT o exploits de malware latente- que pueden haber estado ocurriendo durante años.
Una vez establecido el catálogo de activos, el siguiente paso será determinar cómo mantenerlo todo actualizado. Por ejemplo, categorizar los activos en función de su criticidad permitirá que cada uno de ellos reciba el nivel de atención adecuado. Por ejemplo, las vulnerabilidades comienzan casi siempre en los endpoints. Cuando estos dispositivos se utilizan con software antiguo o desactualizado, son un “caramelo” para los cibercriminales. Sin una visibilidad completa será casi imposible mantenerse al día sobre las amenazas: solo será posible mitigarlas una vez que se cuente con una imagen clara de unas infraestructuras que están en constante cambio.
Control sobre activos al final de su vida útil
A medida que el software y el hardware envejecen, muchas versiones antiguas pueden permanecer operativas. Estos componentes pueden representar importantes riesgos de seguridad, por lo que será necesario buscar una gestión proactiva para actualizarlos o reemplazarlos y reducir así la superficie de ataque.
Desgraciadamente, no existe un estándar para los ciclos de vida de los productos, o sobre cómo el fabricante debe informar sobre ellos. Pero sí existen herramientas que pueden mapear la información conocida sobre el ciclo de vida y centralizar la información.
Una vez generado el inventario y el sistema de monitorización, con una imagen precisa sobre el estado de las TI, se podrá mapear esa imagen junto con el ciclo de vida de cada activo para asegurar que tanto el hardware como el software continúan respaldados por el fabricante y que se administran de forma proactiva en cuanto a vulnerabilidades y parches.
Normalizar, categorizar y priorizar
Dentro de cualquier organización empresarial, es probable que haya decenas, cientos o incluso miles de activos que identificar y gestionar. Es ahí donde las herramientas de seguridad pueden ayudar al equipo a administrar y automatizar procesos a gran escala para reducir la intervención manual en tareas repetitivas. La combinación del inventario con esa información sobre final de la vida útil y final del servicio permitirá visualizar toda la información relevante dentro de un único panel en lugar de tener que buscar la información de manera manual.
La categorización previa es útil a medida que se crean conjuntos de reglas en torno a activos de bajo riesgo para aliviar la carga de trabajo del equipo mediante la automatización, lo que permitirá concentrarse en tareas de mayor valor.
Una visión integral
Como mencionábamos al principio, la gestión de activos puede ser compleja, ya que tiene que centrarse en los detalles. A medida que se amplía la infraestructura con nuevas plataformas para satisfacer las necesidades del negocio, es más difícil mantenerse al día con los riesgos.
Una solución AM eficaz escaneará en busca de dispositivos conectados a Internet ayudando a conocer lo que vería un atacante y, lo que es más importante, cómo podría aprovechar cualquier brecha. En definitiva, la gestión de la superficie de ataque de la organización es un aliado clave para el CIO, ya que puede ayudar a construir una imagen clara de los riesgos para el negocio, en unos términos que el equipo de dirección podrá entender, por lo que se podrá utilizar para justificar el trabajo que está realizando el equipo de TI.
Contar con una solución potente de Asset Management debería ser una prioridad principal para los CIOs porque, sin ella, siempre habrá un terreno irregular sobre el que construir en el futuro. Invertir en soluciones que permitan a la organización comprender, rastrear y proteger mejor sus activos será fundamental.
Sergio Pedroche, country manager de Qualys para España y Portugal
