Unas normas de seguridad poco estrictas lo dejarán en una situación de vulnerabilidad. No obstante, los procesos demasiado sensibles generan falsas alarmas que pueden dificultar la distinción entre aliados y adversarios. Y, por desgracia, ese problema se agrava fácilmente.
"Nuestro campus es grande", señala John McGuthry, Vicepresidente y Director de Información (CIO) de la Universidad Politécnica Estatal de California, Pomona (Cal Poly Pomona). "No solo por el número de estudiantes, sino en términos de tamaño físico. Tenemos alrededor de 1.400 acres y más de 100 edificios, establos de caballos, granjas... La difusión para nuestra infraestructura de red y el espacio inalámbrico que mantenemos es enorme".
Y la gestión de un entorno de campus tan extenso empezaba a suponer un reto para los recursos de seguridad informática de la escuela. "Recibíamos tantas alertas de dispositivos que la situación se estaba volviendo abrumadora", recuerda McGuthry. "La cantidad de información que consultábamos no dejaba de aumentar. Necesitábamos una solución más eficaz".
Pero más allá del mero tamaño del entorno, Cal Poly Pomona también se enfrentaba a retos relacionados con las diversas normas de seguridad de datos que debe cumplir. Como explica McGuthry: "Tenemos un cuerpo de policía, así que hay normas de cumplimiento para los datos de las fuerzas de seguridad. Tenemos un centro de saluden la que interviene la HIPAA. Hay un hotel, restaurantes, comercios, es decir, requisitos de la PCI que deben cumplirse. Y, por si fuera poco, también hay que salvaguardar la información de los estudiantes".
Para hacer frente a estos retos, McGuthry quería implementar una plataforma centralizada de gestión de eventos e información de seguridad (SIEM) que pudiera ofrecer capacidades de registro complejas. Y tras varias conversaciones internas, se interesó por explorar las capacidades que ofrecía IBM Security® QRadar® SIEM, estableciendo rápidamente una conversación inicial con un equipo de IBM Security.
"Tras una evaluación exhaustiva de QRadar y después de hablar con IBM, llamé a nuestro CISO y le dije: 'Hagámoslo'", recuerda McGuthry. "Me pareció que era lo mejor para Cal Poly Pomona".
Como parte de la implementación inicial de QRadar SIEM, el equipo de seguridad de IBM, junto con el personal de Cal Poly Pomona, realizó un inventario exhaustivo de toda la arquitectura, creando un registro detallado de la topología de la red e identificando todos los roles de usuario con acceso a datos. En la actualidad, unos 27.000 estudiantes activos y 3.000 profesores y miembros del personal utilizan el sistema con regularidad.
"También tenemos un grupo de usuarios numeroso y transitorio de solicitantes cada semestre", señala Carol Gonzales, asociada de seguridad y cumplimiento informático, directora de seguridad de la información de la universidad. “Esto hace que nuestra base de usuarios aumente hasta un total de 100.000, y que vuelva a disminuir con la misma rapidez". También organizamos muchos actos comunitarios, y todos los años celebramos una ceremonia de graduación a la que acuden los amigos y familiares de los estudiantes. Eso conlleva una gran cantidad de acceso inalámbrico”.
Con los roles de usuario y el inventario identificados, QRadar SIEM permite a Cal Poly Pomona centralizar, normalizar y analizar los datos entrantes de más de 84.000 dispositivos para identificar posibles amenazas mediante el machine learning y el análisis del comportamiento. Esto genera unos 44 GB de registros e informes al día de media, lo que, desde el punto de vista forense, ayuda a simplificar los requisitos de cumplimiento y auditoría.
Más en detalle, las funciones de alerta de la solución de IBM son capaces de identificar rápida y eficazmente los puntos de intrusión, señalándolos para su investigación. Además, QRadar SIEM ofrece análisis del comportamiento de los usuarios que ayudan al personal de seguridad a identificar anomalías previamente indetectables que podrían indicar ataques dirigidos, amenazas internas u otras actividades maliciosas.
Más allá de la seguridad, QRadar SIEM también contribuye a los esfuerzos educativos de la universidad. En concreto, en el Centro de Datos Mitchell Hill de la escuela, los estudiantes de la Facultad de administración de empresas utilizan la tecnología de IBM para adquirir experiencia en el "mundo real" mientras estudian ciberseguridad.
"Es una arquitectura aislada que imita nuestro entorno de producción", aclara al Dr. Ronald E. Pike, profesor asociado de sistemas informáticos en la universidad. "Los estudiantes de Cal Poly Pomona lo utilizan para dirigir su propio centro de operaciones de seguridad [SOC] gestionado por estudiantes, donde pueden utilizar QRadar para observar el tráfico que entra y sale del entorno. Además, pueden generar artificialmente actividad adicional de los usuarios que proporcione una base coherente de los problemas de seguridad que deben resolverse a lo largo del semestre".
Además, la tecnología de IBM ayuda con clases especializadas centradas en la auditoría informática, así como en la gestión holística de la seguridad, en particular cómo se interrelacionan entre sí las distintas áreas de la ciberseguridad.
"También organizan varias competiciones en el centro de datos de estudiantes", añade Pike. "Y QRadar es fundamental para ayudar a monitorizar estas actividades, proporcionando datos de evaluación claros sobre las actuaciones de la competencia".
QRadar SIEM ofrece una visibilidad completa de toda la red del campus. Además, la tecnología de IBM facilita la detección de ataques dirigidos a vulnerabilidades no identificadas previamente junto con amenazas avanzadas y persistentes. Todo esto permite a Cal Poly Pomona identificar los puntos débiles de seguridad y las intrusiones con mucha más rapidez. Además, la solución reduce rutinariamente las posibles alertas cada día a entre 20 y 40 elementos procesables que deben investigarse.
"No podemos comprobarlo todo, así que QRadar agrega y concentra los detalles que realmente necesitamos ver", explica Gonzales. "Por ejemplo, hace unos meses tuvimos un incidente en el que detectamos cambios no autorizados en varios ordenadores de sobremesa del mismo departamento. Con QRadar identificamos y reconfiguramos rápidamente estos sistemas en esa misma semana. También hemos añadido fácilmente un widget a nuestro panel de control que nos permite vigilar ese departamento en caso de que se repita el problema".
Y más allá del valor aportado por la tecnología, Gonzales también se mostró satisfecha con el soporte ofrecido por el equipo de IBM Security. Como ella misma señala: "Apreciamos mucho las evaluaciones de valor que hacemos juntos, en las que IBM nos ayuda a descubrir cómo trabajar de forma más inteligente. Estas evaluaciones nos ayudan a saber a qué delitos hay que dar prioridad. Nos enseñan a dejar que QRadar haga el trabajo por nosotros en lugar de que nosotros intentemos gestionar la herramienta".
McGuthry añade: "Más allá del rendimiento de un producto, lo que realmente importa es el servicio. Y los expertos que IBM nos ha proporcionado han sido inestimables para nuestra universidad".
Fundada en 1938, Cal Poly Pomona (enlace externo a ibm.com) es una universidad politécnica líder que se centra en el aprendizaje experimental y el descubrimiento práctico. La escuela está situada en Pomona, California, y se compone de nueve facultades académicas distintas que en conjunto ofrecen licenciaturas en 94 especialidades y 39 programas de máster.
Legal
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Producido en los Estados Unidos de América, noviembre de 2023.
IBM, el logotipo de IBM, ibm.com, IBM Security y QRadar son marcas comerciales o marcas comerciales de International Business Machines Corporation en Estados Unidos o en otros países. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Una lista actualizada de las marcas registradas de IBM está disponible en ibm.com/legal/copyright-trademark.
La información contenida en este documento es la vigente en la fecha de su publicación original y está sujeta a cambios por parte de IBM. No todas las ofertas mencionadas en este documento están disponibles en todos los países en los que IBM está presente.
Todos los ejemplos de clientes citados o descritos se presentan como ilustración de la forma en que algunos clientes han utilizado los productos de IBM y los resultados que pueden haber obtenido. Los costes medioambientales y las características de rendimiento reales variarán en función de las configuraciones y condiciones de cada cliente. No es posible garantizar resultados esperados, puesto que los resultados de cada cliente van a depender por completo de los sistemas y servicios solicitados por este. LA INFORMACIÓN DE ESTE DOCUMENTO SE OFRECE «TAL CUAL ESTÁ» SIN NINGUNA GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN FIN CONCRETO Y CUALQUIER GARANTÍA O CONDICIÓN DE INEXISTENCIA DE INFRACCIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.
Declaración de buenas prácticas de seguridad: Ningún sistema o producto de TI debe considerarse completamente seguro, y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
El cliente es responsable de garantizar el cumplimiento de las leyes y regulaciones aplicables. IBM no presta asesoramiento legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o regulación.