Como parte de nuestra participación en el evento SEGURINFO 2015 en Argentina, tuve la oportunidad de asistir a la charla "Security Intelligence and Big Data", dictada por Santiago Cavanna y Facundo Jamardo, en la cual se trató este tema que en los últimos años se ha puesto muy de moda, con claros ejemplos de qué es lo que deberían tener en cuenta los equipos de seguridad para llevar al siguiente nivel su gestión en la empresa.

En la actualidad hay una realidad en materia de seguridad que es común a todas las empresas pero que, como claramente se mencionó durante la presentación, muchas empresas aún se niegan a reconocer porque siguen con el pensamiento "¿un incidente de seguridad? Eso a mí nunca me va a pasar". Es innegable la existencia de toda una economía que gira alrededor del cibercrimen y además el constante desarrollo de nuevas y mejoradas técnicas y herramientas por parte de los atacantes para tratar de vulnerar la seguridad de las organizaciones.

Esta realidad, sumada al enfoque poco proactivo con el que muchas empresas abordan la tarea de gestionar la seguridad, genera una brecha mucho más amplia que podría ser aprovechada por un atacante. Un ejemplo tratado durante la charla y que demuestra esta realidad es la forma en que las empresas manejan su información, toda agrupada en grandes silos aislados entre sí, y de los cuales no se aprovecha su contenido lo suficiente para tomar decisiones que aporten al negocio.

El desafío que plantea todo el ecosistema de inseguridad al que están expuestas las organizaciones va orientado a la necesidad de que las empresas tomen acciones proactivas para adelantarse a los incidentes que podrían presentarse. Por ejemplo, ¿puede mi empresa detectar y frenar una transacción fraudulenta o un acceso indebido a información sensible? Este tipo de preguntas deberían poder ser respondidas si en las empresas hay una adecuada gestión de la información. El objetivo final debe ser llegar a definir cuáles son los usos predecibles de los sistemas, para luego tener la capacidad de inferir cuando una actividad se sale de lo normal y tener las herramientas para poder detenerlas.

¿Cómo lograr adelantarse a los hechos?

Es precisamente en este contexto que aparecen el Big Data y Analytics como las dos técnicas que nos pueden ayudar a anticipar aquellos eventos que resulten predecibles. De manera muy simple y resumiendo un poco la presentación, cuando hablamos de Big Data nos referimos a las técnicas para recolectar e integrar grandes volúmenes de datos, incluyendo todo tipo de fuentes: bases de datos, videos, llamadas, correos electrónicos, redes sociales, es decir cualquier tipo de información estructurada o no estructurada. Y en el caso de Analytics son las técnicas que nos van a permitir correlacionar todas esta información en búsqueda de patrones que permitan tomar decisiones y anticiparse a los hechos.

Si bien no se va a lograr una total certeza en predecir lo que va a ocurrir en el futuro, sí se puede contar con la suficiente información que permita tomar las decisiones adecuadas, y si esto lo aplicamos a temas relacionados con seguridad, seguramente van a ser muchos los incidentes que se pueden prevenir.

De las técnicas a la práctica

Si bien las herramientas para aplicar las técnicas de Big Data y Analytics son muchas y muy variadas, es muy importante que en la empresa se cuente con un marco de trabajo que permita dirigir los esfuerzos y llegar a obtener resultados útiles para la empresa. Se puede dividir en cinco pasos:

  1. Información externa: relacionado con la incorporación de información de fuentes externas, como por ejemplo direcciones IP dedicadas a ataques de denegación de servicio (DoS), con el objetivo de tomar las medidas de control necesarias para enfrentar los riesgos que puedan surgir.
  2. Información interna: toda la que pueda surgir de todos los sistemas de la empresa.
  3. Normalizar: una vez que se tiene claro cuáles son todas las fuentes que resultan importantes para la empresa, debe ser normalizada para que pueda ser integrada.
  4. Enriquecer la información: está muy relacionado con la metadata, es decir la información que se puede obtener acerca de la información recolectada. Por ejemplo, de una captura de tráfico además del contenido puede resultar igualmente importante conocer la cantidad de paquetes, el origen y destino de la conexión o la fecha y hora en la que estas se realizaron.
  5. Fusión: tener toda la información integrada y normalizada se debe traducir en obtener las correlaciones necesarias para hacer algo que aporte al objetivo del negocio, lo cual se puede traducir en reglas, casos de uso, restricciones o activación de controles que aporten a las necesidades del negocio.

Claramente, estamos hablando de temas que son muy amplios y que van a demandar un trabajo arduo al momento de que se decida su implementación, para tal como concluye la charla, es momento de adoptar un enfoque holístico y pensar si queremos que nuestra gestión siga basada en corregir los incidentes del día a día que se siguen presentando todo el tiempo, o hacer inteligencia sobre la información y lograr estar un paso adelante para anticiparse a aquellos eventos predecibles.

Para seguir de cerca lo que sucede en SEGURINFO 2015, sigan nuestra cuenta de Twitter @ESETLA.