A veces, menos es más

Siguiente

Si eres responsable de brindar servicios de seguridad informática como Proveedor de Servicios Gestionados (MSP, por sus siglas en inglés), o estas a cargo de ellos en una organización de mayor tamaño, entonces sabes que tan solo un pequeño error puede costar caro. Irónicamente, es común cuando se está ante este tipo de presión gastar dinero en diversos productos de seguridad para armar un enorme muro de protección.

Aún con la intención de que sea impenetrable, esta solución puede tener consecuencias negativas en el desempeño del Sistema, la propuesta de valor y el retorno de la inversión. En este sentido, la ciberseguridad plantea un interrogante: si tomas pocas acciones, la seguridad está perdida. Si se toman de más, eres un gastador excesivo. Por eso, si bien una seguridad sostenible requiere ser abordada de manera activa, creemos que también se debe tener algo de tacto.

Para equilibrar los riesgos y cubrir múltiples amenazas, los usuarios han comenzado hace tiempo a ejecutar un grupo de productos independientes de modo paralelo, en un esfuerzo por combinar diversas funcionalidades de seguridad. Sin embargo, como veremos, a veces menos es más. Los avances en la industria de la ciberseguridad muestran que, desde que se lanzaron los primeros productos 30 años atrás, los proveedores líderes han seguido la tendencia de crear defensas cada vez más efectivas, y se han volcado hacia tecnologías en múltiples capas y funcionalidades para brindar productos de seguridad completos.

Independientemente de estos avances, el modelo DIY, “hazlo tú mismo”, persiste, reuniendo distintos productos con la esperanza de conseguir una solución de seguridad integrada y, dejando de lado el hecho de que los productos de manera individual “no funcionan bien en conjunto”. Estas prácticas también se oponen a los esfuerzos de la industria de crear productos para endpoint que dividan la tecnología en capas de manera complementaria para asegurar la protección, pero también de brindar valor con múltiples funcionalidades, bajo impacto en el sistema, y soporte
cruzado entre plataformas.

En ESET creemos que los mejores resultados al enfrentar a las más peligrosas amenazas se alcanzas implementando una solución para endpoint construida con tecnología en múltiples capas de forma disciplinada: manteniendo los sistemas emparchados y actualizados regularmente, persiguiendo el uso inteligente de la automatización y continuo entrenamiento para versiones vigentes o nuevas de una solución específica.

Sin embargo, si el nivel de actividad recurrente en foros tales como Reddit sirve de guía, entonces una comparación entre la protección ofrecida por un único producto endpoint en múltiples capas y aquella de un producto endpoint en múltiples capas combinado con varios otros productos auxiliares demuestra que la pregunta lejos está de haber hallado una respuesta. Desafortunadamente, quienes están a cargo, ya sean managers de MSP, Directores de seguridad de la información (CISO, por sus siglas en inglés), o miembros de la junta directiva de una PyME a las que se asignó la seguridad IT, enfrentarán, eventualmente, el mismo dilema.

Hora de decidir

Antes de tomar decisiones acerca de tus prioridades en seguridad, estrategia y solución, asegúrate de reunir información adecuada y confiable de analistas externos. Probablemente estarás realizando una búsqueda con términos como: “set de funcionalidades completo” o “tecnologías de detección de malware/ransomware efectivas”. Allí encontrarás cuadros y diagramas (abajo) que describen las características y las tecnologías de detección que suelen implementarse en endpoints.

Al examinar las capas de protección descriptas, el lector verá que la mayor parte de las amenazas atendidas por funcionalidades Anti-Spam y de bloqueo de URL; algo lógico si se tiene en cuenta que el origen de ellas suele llegar por correo electrónico o URL maliciosas. Con ESET Endpoint protection, estas capas tienen el respaldo de ESET LIVEGRID, Augur, nuestro motor de aprendizaje automático, y nuestra tecnología HIPS, que supervise la actividad del sistema y reconoce comportamientos sospechosos. Esto, puede activar mecanismos de defensa propia que prevengan al programa o proceso de ejecutar actividad maliciosa.
Sin embargo, detrás de las claras descripciones de las funcionalidades independientes, se encuentra un conjunto de tecnologías trabajando en conjunto que no siempre tienen límites claros. Divididas en capas de Continuidad, Pre-Ejecución y Pos-Ejecución, son éstas realmente las que analizan, protegen y, en algunos casos, defienden tu infraestructura IT. 

Debería también comprenderse que, la mayoría de los proveedores de productos endpoint, buscan atacar amenazas existentes de maneras comparables en cuanto al método, aunque con diferentes tecnologías, y en consecuencia podemos ver que cuando la última capa de una solución se activa, la gran mayoría de las amenazas ya han sido eliminadas.

En cuanto a porcentajes, esto se traduce en números que no alcanzan el 100% solo por unos centésimos del por ciento. En la escala de un MSP o una gran Enterprise, éstas fracciones de un porcentaje pueden resultar en la supervivencia de varios objetos malignos (en el ecosistema). Sin embargo, como ya hemos mencionado, intentar contrarrestar riesgos restantes con productos adicionales tiene una clara desventaja dado que las tecnologías detrás de las funcionalidades de la protección endpoint están altamente integradas, y, por lo tanto, no suelen manejarse bien con otros complementos.

Visto de esta manera, hacer uso de soluciones complementarias de alta tecnología para aumentar la protección mediante el uso de una capa paralela comienza a verse sospechoso, ya que esas capas de protección probablemente ya funcionen como deben de manera integrada.

Un buen ejemplo podrían ser los productos Next-gen, que aseguran “aumentar la seguridad drásticamente” mediante los avances en Inteligencia Artificial. El hecho es que, la mayoría de las soluciones para Endpoint ya aplican Aprendizaje Automático, además de otras tecnologías avanzadas, a sus múltiples capas de seguridad, y lo han hecho por años, si no décadas. Ahora, pregúntate a ti mismo sobre detectar esas fracciones de porcentaje restantes: ¿Qué tanto lo valen?

¿Valor agregado inversamente proporcional?

Como MSP, u otro “usuario avanzado”, los beneficios operacionales y la rentabilidad financiera alcanzable vendrán del menor uso de soluciones auxiliares, especialmente cuando una única solución es suficiente. Se reduce únicamente a tener una mayor confianza en menos o, idealmente, una única solución.

Deberías también tomar en consideración que, utilizar múltiples productos de seguridad, puede tener un impacto técnico en el desempeño de la red, principalmente, en la solución de seguridad primaria que has implementado, sin mencionar al equipo que la administra. Más específicamente, podemos imaginar fatiga del administrador, causada por el uso de interfaces de usuario múltiples y dispares, lo que puede aumentar la probabilidad de procesos rotos y el número de falsos positivos.

Sencillamente, tratar de gestionar múltiples tecnologías de seguridad requiere de mayor capacidad, es técnicamente complejo, aumenta costos y es improbable que añada valor en proporción a los pequeños (potenciales) incrementos en seguridad. Puede incluso hacer a los sistemas menos seguros debido a luchas internas por acceder a procesos de bajo nivel entre los productos de seguridad que compiten. En cambio, haz que tus equipos de seguridad se especialicen en la infraestructura y los procesos de seguridad elegidos, y fomenta una relación colaborativa con tu proveedor.

¿Están los MSP educando a sus clientes, usuarios y administradores de manera efectiva?

Ya que la mayoría de los incidentes de malware en cualquier red se originan de clientes que reciben el servicio, educar a los usuarios sobre el rol que los factores “humanos” tienen en la seguridad, es crítico. Esto también ayudará a la administración a entender que utilizar múltiples productos de seguridad a la vez no forman una solución completa. En cambio, la educación del usuario influye tanto en dar apoyo como en monitorear la implementación de mejores prácticas de seguridad, incluyendo buenas contraseñas y actualizaciones regulares en los sistemas operativos y software de tus PC, y familiarizar a los usuarios para identificar ataques de phishing e ingeniería social.

 El valor es tiempo adicional, capacidad adicional, y… seguridad adicional

Aunque suena simple, las prioridades aquí resaltadas, junto con un producto de seguridad en múltiples capas bien gestionado, son componentes claves para la seguridad y el valor por dinero. Un mayor conocimiento del cliente y usuario final permitirá un control más efectivo sobre sus sistemas, menos riesgos y ahorrará costos para todas las partes, excepto los atacantes.

Visto en términos de Retorno de la Inversión (ROI, por sus siglas en inglés), si un MSP es capaz de ahorrar tiempo y capacidad evitando usar múltiples productos, habrá más tiempo para enfocarse en gestionar la plataforma, llevar a cabo actualizaciones adecuadamente, y realizar ajustes necesarios, así como integración y automatización. Esta agrupación binaria, - tener prácticas de seguridad centrales disciplinadas y aplicar una lógica básica de negocio sólido – es lo que más ayudará al crecimiento de tu negocio y a sostener tus prácticas de seguridad en el espacio de negocio MSP.

Súmate al programa MSP