En artículos previos, hemos subrayado la importancia de la automatización en la ciberseguridad de las empresas. A pesar de mantener esta perspectiva, es imperativo reconocer que la automatización mal concebida puede ser perjudicial. La automatización tiene la ventaja de operar ininterrumpidamente, cumpliendo estrictamente con las reglas establecidas, sin sucumbir al agotamiento o distracción. Sin embargo, la eficacia de la automatización depende crucialmente de las «reglas» que la rigen. Si estas reglas están bien diseñadas, la automatización es invaluable. Si no lo están, puede convertirse en nuestro peor enemigo, un enemigo interno en nuestra organización.
Una máxima en el desarrollo de sistemas de información dice: «garbage in, garbage out» (basura entra, basura sale). En el contexto de la ciberseguridad, esto significa que reglas mal concebidas pueden multiplicar los errores en un efecto de bola de nieve, aumentando el riesgo y la exposición en lugar de mitigarlos.
Factores Potenciadores de una Mala Implementación
Uno de los principales potenciadores de una mala implementación de la automatización es la sobrecarga del personal de ciberseguridad. La falta de tiempo y la gran cantidad de responsabilidades pueden llevar al equipo a delegar tareas a la automatización, creando reglas amplias, no supervisadas ni probadas previamente, para acelerar el trabajo. Esto resulta en sistemas automatizados que operan sin la precisión necesaria, generando potencialmente más problemas de los que resuelven.
Otra causa común es una mala práctica cultural, donde se adquiere tecnología de ciberseguridad y se espera que funcione de manera óptima sin personalización o adaptación al entorno específico de la organización. Esta dependencia de la tecnología sin ajustes adecuados puede crear una falsa sensación de seguridad.
Ejemplo de una Mala Configuración de Reglas
Para ilustrar este punto, consideremos un sistema de automatización de ciberseguridad con una regla que indique: «Ante cualquier evento de seguridad, bloquear la dirección IP fuente y aislar el entorno de red afectado». Aunque esta regla puede parecer efectiva para prevenir la propagación de amenazas, su aplicación indiscriminada podría desconectar elementos críticos de la red, creando fallos de comunicación y reintentos de conexión. Estos eventos pueden ser interpretados como ataques adicionales, provocando más bloqueos y, eventualmente, la inoperatividad total de la red. La única solución sería un reinicio completo de la red, lo cual sería complicado si el sistema de automatización también estuviera bloqueado.
Recomendaciones para una Implementación Correcta
- Implementación en Ambientes de Prueba: Antes de aplicar cualquier regla de automatización en el entorno de producción, es crucial testearlas en un ambiente controlado para observar sus efectos y ajustar en consecuencia.
- Monitoreo y Ajuste: Un monitoreo estricto y ajustes continuos son esenciales para asegurar que las reglas funcionen como se espera sin causar interrupciones no deseadas.
- Diferenciación de Reglas: Las reglas deben ser aplicadas de manera diferenciada, adaptadas a los distintos objetivos y riesgos específicos de cada parte del sistema.
- Colaboración con Expertos: Si el personal interno está sobrecargado, es prudente recurrir a empresas proveedoras de servicios especializados en estas tecnologías para asegurar una implementación correcta.
Conclusión
La automatización es una herramienta poderosa en ciberseguridad, pero su eficacia depende de una implementación correcta. El análisis previo, la personalización de reglas, y el apoyo de expertos son claves para asegurar que la automatización trabaje a nuestro favor y no en nuestra contra. Evitemos la trampa de la dependencia ciega en la tecnología y enfoquémonos en crear sistemas robustos y bien diseñados que realmente protejan nuestra infraestructura.
Autor: José Luis Gomes de Faría.
Todo lo relacionado con WatchGuard, eScan, Paessler y nuestros comentarios acerca de Seguridad IT 