Calendario de EventosBiblioteca de RevistasBiblioteca de NewsletterBiblioteca de InfografíasGalería FotográficaVideoentrevistasColaboradoresEstadísticas

Inscríbase a la RevistaPolíticas de PrivacidadLa guía del ColaboradorContactoAnúnciate aquí






OK
ARTÍCULO DESTACADO
Imagen REPENSANDO LAS PRÁCTICAS DE  SEGURIDAD Y CONTROL

REPENSANDO LAS PRÁCTICAS DE SEGURIDAD Y CONTROL

Viernes 24 de Enero del 2020
Jeimy Cano

En el ejercicio de protección y aseguramiento de los sistemas de información de las empresas, y en las exigencias propias de la dinámica empresarial, la seguridad/ciberseguridad se configuran, no sólo como aspectos claves del cumplimiento normativo, sino como elementos fundamentales de la gestión de las organizaciones en un contexto digital y tecnológicamente modificado como el actual.

Frente a esta realidad, los ejecutivos de seguridad/ciberseguridad han venido desplegando y aplicando prácticas de protección, que han configurado una lectura base del desarrollo de su descripción de cargo. En este contexto, los estándares y buenas prácticas han mantenido un liderazgo en las decisiones de estos profesionales, como una forma de concretar la confianza digital requerida para motivar y avanzar en la exigente tarea de acompañar las diferentes iniciativas de negocio, que muchas veces, generan tensiones con los modelos tradicionales de control.

Si bien, las normas ISO (International Standarization Organization) asociadas con seguridad y control han cumplido una labor relevante para constituir una línea base de protección en las organizaciones, los cambios acelerados y la incorporación de nuevas tecnologías, hacen que su efectividad y relevancia comiencen a ceder terreno en escenarios donde la conectividad y las capacidades de los adversarios se hacen cada vez más inesperadas y novedosas, creando un entorno incierto, que demanda una vista distinta y una renovación acelerada de las prácticas vigentes.

Una de las propuestas frente a este nuevo contexto, es precisamente tratar de modelar al adversario y desde allí, de forma proactiva, intervenir y validar las medidas de seguridad y control establecidas por las organizaciones. De acuerdo con Biggio, Fumera & Roli (2014) modelar al adversario implica estudiar al menos cuatro características:

 

• Objetivo: se define en función de la violación de la seguridad deseada y de la especificidad del ataque.

• Conocimiento: puede dividirse en dos grupos denominados conocimiento restringido y conocimiento completo del escenario o contexto para generar el ataque.

• Capacidad: posibilidad de controlar o alterar variables del contexto del sistema o aplicación del objetivo.

• Estrategia de ataque: es el comportamiento específico que busca manipular los datos o variables identificadas para lograr sus objetivos de manera efectiva.

 

Cuando se complementa la vista de aseguramiento de un entorno o sistema de información, con estos cuatro elementos, se establece un marco de pruebas de mal uso, que permite tanto a los diseñadores como a los usuarios, comprender mejor las posibilidades que se pueden presentar y cómo abordar los posibles efectos adversos que esta dinámica puede traer al objeto o sistema que se quiere asegurar.

De esta manera, las prácticas vigentes de control de acceso y endurecimiento de los entornos de ejecución de las aplicaciones y sistemas de información, se someten al escrutinio de la vista del adversario, generando las tensiones necesarias y suficientes que permitan aumentar la confiabilidad de la solución planteada, y concretar ahora, una confianza digital más informada, donde es claro que siempre habrá espacios para que se materialice la inevitabilidad de la falla y que la organización muestre su capacidad para atender y superar un evento no previsto en su infraestructura.

Considerando estas dos vistas, la de los analistas de seguridad, así como la de los adversarios, se establecen de forma equivalente ejercicios de defensa más elaborados, no sólo basados en un marco general de controles conocidos, sino en una clasificación y reinvención de los mismos, sabiendo que el objetivo no es la prevención total del evento no deseado, sino aumentar el tiempo, la incertidumbre, la dificultad y el esfuerzo del adversario para concretar una acción no autorizada sobre una infraestructura.

 

MEDIDAS DISUASIVAS

En este sentido, se configuran un conjunto de controles o medidas disuasivas, que permitan concretar las cuatro variables enunciadas para los marcos de defensa. La clasificación de estas medidas se puede definir de la siguiente forma:

• Medidas proactivas: estrategias de desinformación que escondan información al adversario aumentando la incertidumbre sobre el conocimiento del sistema que quiere atacar. En concreto, crear respuestas aleatorias de los sistemas objetivo, respecto de sus parámetros y variables claves.

• Medidas reactivas: estrategias basada en recolección y análisis de datos de actividades maliciosas o no autorizadas, que permitan aprender de situaciones pasadas, para detener o atacar de forma previa las acciones del atacante antes de que tenga éxito. En particular, utilizar sistemas de honeypot para capturar muestras de los ataques, analizarlos y fundar las acciones de control correspondientes.

• Medidas anticipativas: estrategias basadas en patrones de comportamiento de los atacantes, sustentadas en soluciones con implementación de algoritmos de aprendizaje profundo (bien supervisado, no supervisado o de refuerzo) (Broussard, 2018), sin perjuicio de la explotación de esta misma tecnología por parte de los adversarios de forma ofensiva, es decir, como una herramienta para evadir sistemas de patrones de reconocimiento (Li, Zhao, Cai, Yu & Leung, 2018). De manera práctica, desarrollar y asegurar los datos de entrenamiento y sus etiquetas, para practicar, afinar y mejorar la sensibilidad del modelo de aprendizaje y así tomar las medidas y ajustes de los sistemas de control definidos de forma anticipada.

 

Implementar medidas de aseguramiento como las expuestas anteriormente, buscan ir al terreno mismo del atacante, para manejar el mismo incierto que él desea concretar en su oponente, aumentando el tiempo, la incertidumbre, la dificultad y el esfuerzo del adversario, generando condiciones que permitan crear un contexto de disuasión creíble, sustentado en una postura de seguridad/ciberseguridad dinámica y situada en la realidad misma del agresor.

De esta manera, no se advierte una posición pasiva o reactiva en la vista del analista de seguridad, sino una postura propositiva y dinámica que permite aumentar su nivel de aprendizaje y protección de su infraestructura, no desde la búsqueda de certezas, sino desde la comprensión de la inestabilidad que es natural a la forma como se generan y concretan los posibles ataques.

En este nuevo escenario de prácticas de seguridad y control, el atacante se vuelve parte fundamental de las revisiones y análisis de los especialistas de seguridad, creando no solamente una consciencia situacional propia de los entornos de guerra militares, sino una renovación permanente de la base conceptual y operacional de los controles de seguridad, que da cuenta de una capacidad emergente necesaria en un mundo volátil, incierto, complejo y ambiguo como lo es la resiliencia y de competencias claves para ver la realidad en perspectiva, como son el pensamiento crítico, la visión sistémica y la deconstrucción de los saberes previos.  

ARTÍCULO DESTACADO
Imagen Velocidad, rendimiento y desempeño para sus proyectos, Switches PoE TRENDnet

Velocidad, rendimiento y desempeño para sus proyectos, Switches PoE TRENDnet

Lunes 17 de Febrero del 2020
TRENDnet

La alimentación a través de Ethernet (o PoE) es una forma rentable de suministrar alimentación y datos a un dispositivo habilitado para PoE mediante un solo cable, sin necesidad de depender de las tomas de corriente disponibles. Las soluciones PoE de TRENDnet abarcan switchs PoE, inyectores, extensores, divisores, puntos de acceso, controladores de hardware, cámaras de red, NVR y adaptadores Powerline.

Imagen trackingsystems
Imagen


Logotipo Seguridad en america
VideovigilanciaControl De
acceso
Transporte
seguro
Contra
incendios
Ciberseguridad
y Ti
Seguridad
privada
Administración
de La Seguridad
Protección
ejecutiva
Seguridad
pública
El Profesional
opina
Especial
del Bimestre
Novedades
de La Industria





Cerrar