IA, datos y ciberseguridad. El trío ganador

Los datos se han convertido en el elemento esencial de la estrategia de cualquier organización y su protección es esencial. Para explorar cuál es la política de las empresas en torno a ello, Byte TI, junto a Google y Elastic, organizó un encuentro que contó con la participación de David Barrientos responsable de ciberseguridad de Inversis; Enrique Cervantes, director de seguridad e infraestructura tecnológica de la dirección de sistemas y organización de CESCE; Andrés Peñarrubia, channel and alliances director en Elastic; César Iglesias, IT Global Manager en Matrix Renewables; Mario Robledo, director de equipo y sistemas de Atrevia; Alejandro Expósito, CIO de Servatix; Virginia Zapico, divisional digital security officer Iberoamérica Global IT&IS de Securitas y Óscar Cabanillas, Manager Solutions Architecture Iberia e Italia de Elastic.

El encuentro comenzó con la presentación de Elastic, una empresa de búsqueda desarrollada a partir de un legado gratuito y abierto y que como explicó Óscar Cabanillas, Manager Solutions Architecture Iberia e Italia de Elastic, “llegó al mundo de la ciberseguridad casi por accidente. Cuando nace Elastic se tenía una visión en donde había un boom relacionado con Big Data y se cree que faltan soluciones capaces de analizar los datos en tiempo real. Se llega a la conclusión de que no se puede basar en bases de datos, sino en un motor de búsqueda y se da cuenta de que no se puede competir con los grandes. Así que se desarrolla una solución basada en opensoruce y de forma gratuita que luego se podría acercar a suscripciones tipo SaaS. La solución se populariza y eso hace que los departamentos de seguridad vieran el atractivo de la solución para cubrir escenarios de threathunting y así nace la solución de seguridad de Elastic que protege, investiga y responde a amenazas cibernéticas rápido y a escala . Desde que se lanza la solución en tres años se han ido añadiendo muchas funcionalidades. Y hay un punto de inflexión que es la IA generativa y esto nos afecta porque Elastic sigue siendo un buscador. Lo que se les exigía a los buscadores eran que fueran capaces de responder a preguntas en lenguaje natural, algo que se consigue en una base vectorial. Esto lo hemos conseguido en Elastic. Con el boom de ChatGPT, nosotros ya teníamos un recorrido hecho, por lo que hemos podido incorporar la IA de forma muy rápida. De esta forma podemos ofrecer una solución que dispare la productividad de la empresa”.

David Barrientos responsable de ciberseguridad de Inversis, destacó que “Elastic era capaz de detectar cómo se pueden reducir los falsos positivos y aporta mucho en el apartado de fine-tuning de alertas. Lo que creo que es importante es que genere casos de uso. Hemos hecho pruebas y es increíble como funciona. Lo que veo es que la IA generativa es un poco mentirosa. Creo que hay muchos desafíos en torno a la IA. Hay soluciones que tienen IA por detrás, pero no tan completas como Elastic”.

En torno a la Inteligencia Artificial generativa, Virginia Zapico, divisional digital security officer Iberoamérica Global IT&IS de Securitas, afirmó que “estamos en un proceso de maduración. No está todo bien diseñado y hasta que tengamos incorporada una IA de forma realmente efectiva va a llevar un tiempo. Las empresas buscamos soluciones que nos faciliten el trabajo y es cierto que se está empezando, pero todavía queda camino por recorrer”

Los problemas

Las empresas se enfrentan a distintos retos a la hora de afrontar la estrategia de ciberseguridad. Alejandro Expósito, CIO de Servatix, afirmó que “hay un apartado importante y es que herramientas como Elastic sean colaborativas y nos permitan tener un aprendizaje federado. Nosotros que prestamos muchos servicios a las AA.PP. creemos que es necesario que nos permita enseñarles a defenderse”.

Para Enrique Cervantes, director de seguridad e infraestructura tecnológica de la dirección de sistemas y organización de CESCE, “la IA ha evolucionado la parte de los buscadores y esta vectorización te ayuda a ser mejor. Esto también ocurre en el apartado de la ciberseguridad. El problema actual es que no sabemos cuál es la pregunta correcta que hay que hacerle a la base de datos para saber por dónde te han entrado. El sistema tiene que ser capaz de entender esto y ayudarte a entender. Ya no se puede hacer de manera manual igual que no se puede buscar en Internet un término sin la IA porque la cantidad de información es brutal”.

Andrés Peñarrubia, channel and alliances director en Elastic, “cada vez que se implementa una aplicación SaaS nueva supone un vector de ataque nuevo y no te da tiempo a que el analista aprenda la nueva solución. Para eso es útil la Inteligencia Artificial. Otro valor es el que aporta en la curva de aprendizaje de las gente más junior. La curva de aprendizaje la acorta y la hace más llevadera”.

Uno de los problemas, como expuso Alejandro Cervantes es que “los atacantes también atacan con IA. Hace años los atacantes empezaron a hacer ataques de DNS con miles de bots hasta que se colapsaban. Lo que hicimos para defendernos es hacer lo mismo que ellos, pero en el sentido contrario. En este caso tenemos que hacer lo mismo, si nos atacan con IA hay que defenderse con IA”.

Las empresas se enfrentan a distintos retos a la hora de afrontar la estrategia de ciberseguridad y los datos

Óscar Cabanillas señaló que “hemos tenido una tendencia natural para defendernos mediante la fortificación. Con la llegada de la IA, fortificarse está bien, pero llega un punto en que tienes que asumir que vas a ser atacado. El detalle no es cómo defenderte, sino detectar el ataque para ser capaz de detectarlo y poder asumir una defensa antes de que el ataque se produzca. Esto ya no consiste solo en comprar tecnología para defenderte sino en asumir que vas a ser atacado y cómo vas a poder ser capaz de detectar ese ataque antes”.

César Iglesias, IT Global Manager en Matrix Renewables, explicó que “nosotros somos una empresa que ha crecido mucho en muy poco tiempo con lo que hemos incorporado muchas aplicaciones. Por eso quiero soluciones que nos envíen alertas reales, por lo que la monitorización continua es fundamental. No podemos esperar a que ocurra un evento para actuar: hay que hacerlo antes y la IA incorporada a una solución que sea capaz de detectar es esencial. Al final, los patrones de los atacantes son siempre muy similares. Pero creo que, sobre todo, la concienciación en las empresas es un apartado muy importante, porque todavía te encuentras frenos por parte de algún departamento que lo considera un coste”.

A esto, Virgina Zapico que es fundamental utilizar “la monitorización que te de las previsiones y los análisis de qué es lo que está pasando para que se puedan tomar las decisiones adecuadas. Es en este aspecto donde creo que la IA va a ayudar mucho”.

Cumplimiento normativo

Complir con las distintas normas y regulaciones es otro de los apartados esenciales para las empresas. En este sentido, y tal y como expuso Andrés Peñarrubia, “Elastic ayuda en que las certificaciones exigen que tengas una herramienta que te de visibilidad y trazabilidad y eso te lo proporciona Elastic. SIEM no hacía más que almacenar. Entonces solo cuando había un evento muy grande se ponía a analizar. Las amenazas internas son uno de los problemas porque son más difíciles de detectar, por lo que analizar el comportamiento es esencia lpara detectar est”o.

Mario Robledo, director de equipo y sistemas de Atrevia, afirmó que “la IA tiene que venir al mundo de la ciberseguridad a aportar un poco de cabeza en la estrategia de para saber si es correcta o no. De alguna forma hay que conseguir priorizar las cosas. Por ejemplo, en el tema de vulnerabilidades hay que priorizarlas, porque hay muchas, pero críticas a lo mejor son pocas, y hay que saber cual es prioritaria. En eso creo que la IA va a ayudar mucho”.

Óscar Cabanillas, afirmó que “hablamos de alertas, pero esta se genera porque la herramienta lo detecta en base a los datos que el usuario le ha dado a la herramienta. Así que ¿cuánto se te está escapando? Se nos están escapando cosas porque no podemos asumir tener tanta cantidad de datos y analizarlos, porque a lo mejor no tienes las herramientas necesarias porque no puedes asumir el coste de ingestar más datos… Creo que hay que evolucionar al concepto de datalake. Elastic está siendo utilizada para cubrir esos escenarios”.

Para Enrique Cervantes, “la priorización es esencial en el entorno de empresas grandes que es cada vez más complejo. Algo como tener un inventario de tus activos es complejo. Empresas que llevan muchos años no sabe con qué inventario cuentan y las herramientas de IA pueden ayudar. Una vez que tienes el inventario es importante saber qué datos tienes y además, se hace muy difícil saber qué datos son los importantes y cuáles no. Porque no puedes meter todos los datos, porque el SIEM entonces no está capacitado para asumirlo. Porque hay que distinguir las vulnerabilidades, que a su vez no son importantes para una empresa, pero si puede serlo para otras. La IA debe jugar un papel importante para ayudar en todo esto”.

Y es que conocer con qué datos se cuenta es el primer paso para que una política de ciberseguridad sea exitosa. Tal y como explicó Virginia Zapico, “si no conocemos los activos es imposible protegerlos. Necesitamos herramientas para conocer esos activos para que podamos conocerlos y protegerlos. Además es importante el control de la fuga de información a la que creo que todavía le queda mucho camino por recorrer”.

Tipos de amenaza más difíciles

Dentro del conjunto de amenazas hay algunas que son más complejas de detectar, Por ejemplo, David Barrientos señaló que a él le preocupan “las amenzas avanzadas que no se pueden detectar en tiempo real. Por supuesto un atacante que es muy silencioso o un empleado descontento son también un problema para la ciberseguridad”.

Para detectar y afrontar esas amenazas que son más complejas, Virgina Zapico cree que “es fundamental tener una política de gestión de incidentes donde los roles estén bien establecidos; apoyarte en las herramientas y en las personas y departamentos adecuados, por ejemplo en la parte legal para cumplir con las normativas. Al final, alguien puede mitigar el incidente pero implementar la cultura de la ciberseguridad en el área IT es también un apartado muy importante. Otro apartado a destacar es que cumplir con el ENS es muy importante, no sólo por su cumplimiento, sino porque te ayuda a la hora de desarrollar la estrategia de ciberseguridad de forma correcta”.

La automatización promete resolver muchos de los problemas, pero como aseguró Enrique Cervantes, “necesitas tener un nivel de madurez alto para dar respuesta automatizada a un incidente. Siempre va a haber ataques que van a llegar de fuentes previsibles, por ejemplo un phishing que sí se puede automatizar. Pero si quieres ir más allá es mas difícil salvo que tengas un pla nde respuesta ante incidentes o de continuidad de negocio muy avanzados. Si no los tienes no se puede automatizar. La respuesta automatizada es para casos simples. Si las operaciones no son maduras, entonces es difícil”

Para Andrés Peñarrubia de Elastic, “la automatización es un camino. Cada día te puedes proponer automatizar algún elemento más. Hay cosas en las que se puede automatizar, por ejemplo que el texto de un analista sobre un incidente no lo tenga que realizar él. De todas formas nunca vamos a llegar a una automatización completa”.