Saltar al contenido

Inteligencia Artificial como Herramienta para el Análisis y Gestión de Riesgos.

image_print

Autor: John Gil Vargas Centro de Seguridad Informática y Certificación Electrónica (CSICE)-FIIIDT. 

 

Vivimos la era de la digitalización y de la transformación conceptual, en términos del ciberespacio. Esto  aporta una serie de ventajas competitivas que aceleran la mejora de cualquier entorno organizacional, sin embargo toda esta transformación trae consigo una serie de amenazas que ponen en riesgo la seguridad de las organizaciones, de los sistemas que la operan y de los propios usuarios, comprometiendo la privacidad de la información sensible e invaluable. Estas afirmaciones son respaldadas por los resultados de un estudio realizado por IBM, a mediados del año 2019, donde se encuestaron a unas 500 empresas (distribuidas en más 15 países) y en el cual se lograron recopilar datos sumamente alarmantes e interesantes en el contexto Seguridad de la Información; sus resultados indican:

  1. Las pérdidas de Registros De Usuarios como resultados de lo que ellos denominaron “Mega Violaciones” oscilaron entre los 1,1 y 50 millones de registros perdidos.
  2. La valoración monetaria por esos Registros De Usuarios perdidos, se estimaron entre los 40 y 350 millones de dólares.
  3. La medición de violación de datos a nivel global tuvo un crecimiento del 2,8% en comparación con el año 2017, hasta alcanzar un 6,4% y llegando a los 386 millones de dólares en perdida.

Otros resultados de este estudio determino que más del 95% de las empresas se encuentran conectadas a la red global-tradicional o en el entorno de la Nube desde hace más de 10 años, de allí entonces que todas ellas se cuestionaron sobre:

  1. ¿Cuál es el resultado de que alguien acceda a nuestro sistema informático y tenga a su alcance la formulación de nuestros productos, diseños, datos personales de empleados, clientes, proveedores, nuestra información financiera o la configuración de todos nuestros robots de la planta de producción?
  2. ¿Sabemos la probabilidad de que eso ocurra?

De este cuestionamiento surge la iniciativa de crear, en la organización, áreas dedicadas a la Seguridad de la Información cuya única tarea es establecer un “Sistema de Gestión de Seguridad de la Información” (SGSI) basado en el cumplimiento de la norma ISO/IEC 27001:2013 y las regulaciones locales. Para ello es importante señalar que para lograr la protección de la información se requiere definir políticas y controles aplicables a cualquiera de estos entornos (interno o externo), sin que esto sea una carga para los usuarios y sin importar el tipo de tecnología a utilizar.

Otro estudio realizado por la consultora mundial en Seguridad Cibernética Allianz, quien presenta anualmente su “Barómetro de Riesgos” donde, en su última edición, se resumen que:

“…los incidentes cibernéticos han saltado desde un puesto 15vo en el año 2013, hasta el 1er lugar a finales del 2019, convirtiéndose en el riesgo empresarial más importante a mitigar para él año 2020…”

Profundizando el análisis de estos resultados, podemos encontrar un entorno TI sometido a retos cada vez más dinámicos y constantes, que busca identificar de forma temprana posibles ataques o violaciones a las políticas de seguridad, implementando seguimiento periódico a los incidentes, diseñando códigos que les permita recibir notificaciones de amenazas y vulnerabilidades que surgen en la red, reforzando su Sistema de Gestión para lograr disminuir los ciclos de vida de los incidentes y cubrimiento temprano del incidente.

En función de lo antes expuesto, surge la necesidad del uso y desarrollo tecnologías intuitivas que sean cada vez más eficientes, capaces gestionar de forma masiva la información que les permita detectar patrones de comportamientos maliciosos mediante la defensa activa, basada en modelos predictivos para dar respuesta en tiempo real y de forma automática.

Todo esto se ha convertido en una práctica indispensable para el tratamiento y detección de amenazas a las que se encuentran expuestas las organizaciones. Además el entorno TI ya no está en un solo lugar sino que también se encuentra presente en múltiples escenarios como nubes públicas, privadas y/o híbridas o dispositivos móviles desde donde se acceden y se manejan los servicios. Es ahí donde los problemas de seguridad comienzan a converger.

Las Plataformas de protección de Punto Final (EPP) son una referencia de las tecnologías de seguridad aplicadas en este ámbito, sin embargo esta herramienta depende de una estructura de defensa rígida, estática que es soportada por los registros de amenazas conocidas ya almacenados en una biblioteca digital o servidor central; esto la convierte en una herramienta menos eficiente a medida que las amenazas se vuelven más agiles y complejas. Esta brecha en la adaptabilidad de esta herramienta da paso al surgimiento de otras, similares en propósito pero más adaptables a los nuevos cambios. Tal es el caso de las Plataformas de Detección y Respuesta de Punto Final (EDR), esta evolucionada herramienta se caracteriza por su alta compatibilidad con todos los entornos de trabajo, bien sean en la Nube, Virtuales o Físicos, brindando una visibilidad constante en todos los equipos conectados sin importar el entorno en el que se encuentre e incrementado significativamente la capacidad de detectar y responder a acciones maliciosas.

En tal sentido, este último ejemplo es sin duda el más idóneo para introducir el concepto de uso de la Inteligencia Artificial (IA) como herramienta para el Análisis de Riesgos y de la Seguridad de la Información en general. Estos sistemas basados en la IA son altamente eficientes, al crear modelos de prevención y de predicción explotando todo el potencial de datos disponibles apalancados al Big Data, permitiendo alcanzar los objetivos de resguardo de los activos de información de ataques cibernéticos; esto mediante la interpretación de millones de datos en solo segundos. Sumado a esto se introduce de igual manera el concepto de Machine Learning (ML) este sistema evalúa constantemente el comportamiento de uso de todos los ordenadores, conectados a la red de la organización, y determina si es normal o por él contrario existe alguna anomalía producto de algún malware o por uso indebido.

Ambas referencia comparten algo en común:

  1. Son herramientas para el análisis automático de datos.
  2. Tienen una capacidad muy superior a la humana a la hora de realizar acciones repetitivas y de manera continuada en el tiempo.
  3. Utilizan algoritmos complejos que les permite aprender cómo responder ante ciertas acciones. Esto se denomina Aprendizaje Automático.
  4. Analizan gran volumen de datos históricos para crear modelos de predicción en el menor tiempo imaginado.
  5.  Permiten una total automatización de los procesos y protocolos de seguridad de cualquier organización.

Estas herramientas contribuyen a gestionar incidentes de ciberseguridad y neutralizar amenazas, sin que se requiera de intervención humana altamente especializada. Esto incrementa de manera exponencial la capacidad de reacción y la efectividad logrando razonar para identificar relaciones y patrones entre las amenazas que se presenten y tomar decisiones críticas.

Sin embargo, es necesario que la organización que desee implementar este tipo de herramientas dentro de sus estrategias de ciberseguridad deba cumplir con algunos requisitos mínimos:

  1. Disponer de una Plataforma TI apropiada para que esta herramienta sean realmente efectiva y permita su funcionamiento según sus necesidades.
  2. Crear una plataforma que permita Identificar y almacenar mucha información (fuentes de datos como insumo para su funcionamiento). De esta forma, es posible detectar y clasificar vulnerabilidades a tiempo y con un mayor grado de confiabilidad.
  3. Producto del Análisis de Riesgo tradicional, se debe seleccionar un conjunto de casos de uso relevantes para acelerar y maximizar los beneficios iníciales construyendo modelos efectivos. Para ello se requiere de la participación y/o asesoramiento de científicos e ingenieros de datos calificados.
  4. Capacidad de sumarse y conectarse al esfuerzo global como “Partners” estratégicos para mejorar la inteligencia de amenazas.
  5. Implementar orquestación de seguridad, automatización y respuesta para mejorar la gestión de la seguridad.
  6. Capacitar y formar analistas cibernéticos para que dominen el entorno de la AI.
  7. Establecer modelos, estándares y políticas para la administración de la IA en el entorno de la ciberseguridad con el objetivo de ofrecer mejoras a largo plazo de forma transparente y ética.

Todos esto requerimientos suponen una gran inversión inicial, además de los riesgos que supone la puesta en marcha y el  uso de estas herramientas, sin embargo una forma de reducir estos costes y mitigar riesgos es priorizar los sistemas TI activos, comenzar por actualizar aquellos que se consideran críticos y cuyo riesgo y posible impacto amenazan directamente la Continuidad del Negocio.

En este contexto se pueden mencionar algunos de estos sistemas que son prioridad en el mundo real y que ya están operando bajo la figura de la IA y ML:

  1. Identificación de amenazas en la Red: La gestión de la seguridad de esta área implica identificar qué solicitudes de conexión son legítimas y cuáles intentan comportamientos de conexión inusuales mediante la detección de anomalías y alertar a los oficiales humanos en caso de desviaciones en los datos que podrían ser similares a los eventos de amenazas cibernéticas pasadas.
  2. Monitoreo de correo electrónico: El uso de software de detección de anomalías puede ayudar a identificar si el remitente, el destinatario, el cuerpo o los archivos adjuntos del correo electrónico son amenazas, puede leer todos los correos electrónicos entrantes y salientes e informar los casos más probables de amenazas de seguridad al personal de seguridad.
  3. Modelado de comportamiento de usuario: En este ámbito, básicamente se usa para detectar un patrón de comportamiento para usuarios particulares a fin de identificar cambios en esos patrones. utiliza el aprendizaje automático para analizar datos de tráfico de red sin procesar para comprender la línea de base de lo que es el comportamiento normal de cada usuario y dispositivo en una organización.

Por tanto, la efectividad de los resultados es directamente proporcional a la calidad de los datos que se le suministren, evidentemente lograr la seguridad “perfecta” mediante el uso de la IA y las ML toma su tiempo y luego de dar el primer paso, aun queda mucho por hacer. En la actualidad el desafío, de los proveedores de servicios basados en IA, es seleccionar el método adecuado para la detección de amenazas potenciales y reducir al mínimo el indicador de detección de “Falsos Positivos” lo que sin duda requiere un enfoque centrado en los datos para los proyectos garantizando el éxito y su continuidad.

Referencias:

  1. La IA de seguridad cibernética está casi aquí, pero ¿dónde nos deja eso a los humanos?:  https://www.itproportal.com/features/cyber-security-ai-is-almost-here-but-where-does-that-leave-us-humans/
  2. https://www.linkedin.com/pulse/wake-up-call-iot-ahmed-banafa/
  3. Inteligencia Artificial en ciberseguridad. Retos: https://www.bbvaopenmind.com/tecnologia/inteligencia-artificial/inteligencia-artificial-en-ciberseguridad-retos/
  4. Inteligencia Artificial, aliada en la prevención de riesgos del sector financiero (2020):                         https://bons-ai.mx/inteligencia-artificial-aliada-en-la-prevencion-de-riesgos-del-sector-financiero
  5. https://naymaconsultores.com/llego-la-inteligencia-artificial-a-la-gestion-de-seguridad-y-salud-en-el-trabajo/
  6. https://www.elespanol.com/omicrono/20171201/seguridad-inteligencia-artificial/266224718_0.html
  7. https://www.ibm.com/es-es/analytics/fraud-prediction

 

Contacto:jgvargasfii@gmail.com

Compartir en Redes Sociales
       
Tweet
Share
0 Shares