Red Seguridad 091

red seguridad cuarto trimestre 2020 69 inteligencia opinión con el negocio esas reglas o indica- dores para que permitan cumplir con el objetivo: la detección. Todos somos conscientes de que el perímetro de seguridad tradicional ha muerto y de que ahora tene- mos tecnologías en apoyo al negocio que escapan a nuestro control. Sin embargo, hemos de ser conscientes de que, al igual que existe una nube de aplicaciones y datos "por ahí fuera", también existen actividades que estos actores hostiles realizan sobre la plantilla. Para eso necesita- mos cubrir ese hueco en el ámbito de las personas, que no son otras que ese ámbito dentro del cibe- respacio donde se comunican los humanos. Si no tenemos sistemas de alerta temprana en ese contexto, no podremos detectar qué acciones hostiles se pueden estar llevando a cabo contra nuestra compañía, nuestros empleados y contra la infor- mación que custodiamos. Los avatares virtuales están cobrando mucha fuerza en la actua- lidad. Muchas veces son el único medio de observación en el entorno cíber que podemos tener. Sin embar- go, la carencia de esos indicadores hace que no sepamos en qué nos tenemos que fijar para poder discer- nir qué está sucediendo. Esto es un problema, puesto que se convierten en una herramienta más que fun- ciona en modo reactivo y, además, muchas veces es costosa de man- tener para los resultados que ofrece. La inteligencia, o la ciberinteligen- cia en su definición como apoyo a la seguridad interna de la compañía, per- mite contar con ese plan estratégico realista y que no lleva a engaños; que define unos escenarios e indicadores de riesgo que permiten ser proactivos y, por supuesto, agregar la informa- ción para su valoración e interpreta- ción provenga de donde provenga. Animo al lector a profundizar más en la actualidad de los planes de detección de insiders , pero, sobre todo, le animo a profundizar en el ámbito de la inteligencia aplicada a la detección de amenazas internas y cómo sí es posible crear una política y estrategia que permita enfocar de manera proactiva estos temas. usada, o no, para obtener informa- ción, pero olvidamos por completo el quién, es decir, el verdadero protago- nista de esta historia. Por ello es importante entender que dentro de un planeamiento estratégico que permita enfrentar al ya famoso insider , se han de aplicar las medidas tanto reactivas como proactivas que permitan una antici- pación al problema. Luego ya vere- mos de qué mecanismos internos se dispone, pero, desde luego, la proactividad ha de ser el denomi- nador común de cualquier política corporativa que permita la detección de estas prácticas. Claves para detectarla Y el lector dirá: ¿y cómo podemos lograr esto? No hay ninguna repuesta fácil a lo que de por sí es ya complejo, pero desde luego habría una serie de claves. La primera es tratar de guiar la obtención de información en base al análisis. Sí, el análisis de inteligencia que construya unos indicadores en base a la experiencia y modelo inter- no de la compañía, puesto que nadie como la propia organización conoce qué es lo importante y verdaderamen- te diferenciador en lo que respecta a su know how . Por otra parte, se necesita y es vital contar con tecnologías apropia- das; no siempre lo más famoso es lo más adecuado. Tenemos que ver la tecnología como un lego, que nos permite construir cosas, pero hemos de ser nosotros quienes configure- mos de manera realista y alineada dad de acceder a ellas. Siguiendo la comparación, y si el lector me permi- te, pondré un ejemplo. Los controles en materia de ciber- seguridad pueden hacer que la infor- mación esté a buen recaudo, en una caja fuerte del siglo XXI; es decir, una infraestructura tecnológica debi- damente configurada y asegurada. Una caja fuerte está diseñada para eliminar o entorpecer el acceso a lo que ella contiene, siempre y cuando no tengamos la llave. Sin embargo, no está diseñada para discernir quién la está abriendo si es que ha logrado hacerse con la citada llave. Amenaza interna Por ello, actualmente en materia de amenazas internas o Insider Threat , es fundamental contar tanto con una capa cíber, que permita desplegar tecnología, como con otra capa más tradicional o clásica, que son los indicadores que permiten obtener una métrica y una valoración sobre las personas que son portadores de esas llaves. Otro error común es pensar que, una vez realizada la validación o ade- cuación de una persona que colabo- ra con la compañía, esta va a estar en ese mismo estado de manera perenne. La experiencia y la lógica nos dicta lo contrario, y frente a esto las compañías se ven cada vez más dependientes de tecnologías que sobre el papel prometen la detección inmediata de comportamientos al menos extraños. Focalizamos esfuer- zos en la herramienta que puede ser