¿Cómo las empresas pueden capacitar a los analistas de seguridad?
A pesar de su obsolescencia prevista desde hace dos décadas, el Mainframe continúa siendo utilizado por compañías líderes para ejecutar sus principales aplicaciones de negocios. De hecho, el 59% de los ejecutivos reconoce el Mainframe como una plataforma que respalda su crecimiento. Esto tiene sentido, considerando cuán escalable y confiable es la plataforma para el procesamiento transaccional y para manejar los datos vitales y financieros más importantes de la mayoría de las empresas. Aun así, según la encuesta, el 84% de los encuestados brasileños dicen que ya han encontrado una posible falla en sus sistemas.
Por más que se reconozca su importancia para la arquitectura de TI, el Mainframe a menudo es ignorado por el CISO (Chief Information Security Officer), que etiqueta la plataforma como ‘heredada’ y decide priorizar las funciones de seguridad limitadas para su uso en los sistemas informáticos más comunes, como Windows y Linux. Las soluciones de Plataformas de Protección de Endpoint (EPP) y las soluciones de Detección y Respuesta de Endpoint (EDR) se consideran seguridad de línea de base para las computadoras portátiles con Windows, pero este software, en general, está críticamente ausente en el Mainframe, lo que deja un enorme fallo de seguridad. Los analistas de los Centros de Operaciones de Seguridad (SOC) simplemente no tienen las herramientas y la capacitación para monitorear y defender con éxito este componente crítico.
Para aplicar de manera efectiva las mejores prácticas de seguridad holística y reducir significativamente el riesgo, los equipos de seguridad deben adoptar una estrategia de seguridad integrada de Mainframe. Esto es imprescindible porque:
– La amenaza es real
Aunque el Mainframe haya sido conocido históricamente por su alto nivel de seguridad, ahora, debido al aumento de las inversiones en Amenazas Persistentes Avanzadas (APT), los investigadores de seguridad ofensivos pueden probar plataformas e identificar vulnerabilidades previamente desconocidas, por lo que es imperativo que una estrategia de seguridad empresarial extienda la EDR a todas las plataformas, incluido el Mainframe.
– La tecnología puede aumentar los recursos humanos
Las compañías con más consciencia cibernética confían en soluciones de seguridad para permitir que cada uno de sus analistas haga el trabajo de muchos. Las soluciones de EDR pueden acelerar las respuestas a incidentes mediante el desarrollo de cronogramas de acción de usuario automatizados que le informan a los analistas qué activó la alerta, permitiéndoles que vean rápidamente si una amenaza necesita ser escalada o si es un falso positivo. Sin automatización, un analista debe ordenar los datos y logs recopilados antes de determinar si un incidente fue malicioso. Desactualizada, la tecnología heredada que se basa en el trabajo manual para buscar en los logs no es suficiente en estos escenarios y conduce a una alerta de fatiga, lo que permite que los eventos críticos pasen desapercibidos.
La mayoría de los equipos de Mainframe usan SMF (System Management Facilities) para almacenar y administrar todos los mensajes de Mainframe. Originalmente creado para contabilidad, SMF no tiene la especificidad necesaria para detectar o analizar actividades maliciosas y raramente está conectado a un Sistema de Información de Seguridad y Gestión de Eventos (SIEM) en tiempo real, lo que retrasa gravemente el tiempo de respuesta.
Mientras estos equipos luchan por cumplir con las nuevas regulaciones, muchos simplemente ‘hacen clic en las casillas de verificación’ para aprobar en la próxima auditoría, en lugar de integrar una solución en el gran plan de seguridad. Esto lleva a situaciones en las que «todos los logins de sesión se almacenan con fallos» para cumplir con un requisito reglamentario, pero estas informaciones están en data lake inaccesible para el equipo de seguridad. Las empresas cumplen técnicamente, pero los datos permanecen sin usar y no proporcionan inteligencia procesable.
La incorporación de Mainframe en la arquitectura de seguridad empresarial con protección EDR no solo ayuda a cumplir con los requisitos de conformidad, sino que también mejora la capacidad general de SOC, y permite a los analistas centrarse en tareas de alto nivel mientras se clasifican los datos enriquecidos y analizados automáticamente.
– La práctica puede marcar la diferencia entre un impacto catastrófico o una recuperación instantánea
Cuando una empresa se siente segura de su ancho de banda y la efectividad de las soluciones de seguridad, el siguiente paso es probar su postura defensiva. Las simulaciones cibernéticas pueden ayudar a defender una red y revelar hasta qué punto las capacidades de monitoreo de una empresa pueden detectar y alertar a los analistas sobre indicadores de compromiso. El feedback permite al equipo de seguridad realizar mejoras incrementales basadas en el resultado del ejercicio y prepararse para una amenaza de emergencia real.
Al diseñar la simulación, las empresas deben probar la comunicación y los procesos entre el equipo de Mainframe y el SOC. Los analistas de seguridad rara vez tienen experiencia en Mainframe, lo que puede hacer que se ignoren las alertas críticas en pro de problemas mejor entendidos en otras plataformas. Al llevar a cabo un ejercicio coherente en toda la empresa, los analistas pueden probar estos enlaces y resaltar las brechas que puedan tener.
En última instancia, el Mainframe es solo otro ordenador en la red. Todo CIO con un Mainframe se da cuenta de que su operación comercial probablemente fallaría si esos Mainframes estuvieran inoperantes. Cuando se trata de asegurar la plataforma, la solución más sencilla para usar un software de seguridad inteligente, como EDR, y probar su efectividad – la mejor práctica de seguridad que existe en todos los demás sistemas-, es generalmente la mejor y ofrece una garantía para todas las empresas digitales autónomas.