Cuando los ciberataques vulneran incluso los sistemas de seguridad informática más sólidos, la detección rápida es fundamental para gestionar la intrusión y recuperarse de ella.Mohawk trabajó con GlassHouse Systems, socio comercial de IBM, para implantar la solución IBM Security® QRadar® Security Information and Event Management (SIEM) con el fin de detectar rápidamente las infracciones y priorizar su respuesta ante incidentes.
Mohawk College quería implantar una solución SIEM líder del sector para gestionar las defensas frente a las crecientes amenazas que podrían vulnerar el ya de por sí sólido sistema que protege su complejo entorno informático.
La universidad trabajó con GlassHouse para implantar la plataforma QRadar SIEM para que le ayudara a obtener visibilidad de su entorno y detectar, investigar y responder a las violaciones de ciberseguridad.
Las instituciones de enseñanza superior son uno de los principales objetivos para los ciberdelincuentes.Allí se recogen los resultados de la propiedad intelectual y de la investigación, además de la información personal tanto de estudiantes como de profesores.Por lo general, los malos actores no tienen mucha dificultad para acceder a toda esa información, que está prácticamente al alcance de su mano, ya que las medidas y la tecnología de ciberseguridad a menudo se aplican de forma fragmentaria, sin tener en cuenta la prevención sistemática y la respuesta en múltiples departamentos de la universidad.
"Hay tantos departamentos diferentes con funciones distintas que resulta complicado protegerlos a todos", afirma Andrew Frank, director de servicios de seguridad informática del Mohawk College de Hamilton (Ontario)."Normalmente, si no se tiene un programa de seguridad bien concebido, los técnicos se centrarán siempre en la protección del entorno.Se apresurarán a comprar antimalware o instalarán cortafuegos de última generación.Y aunque esas soluciones son muy importantes, solo son una parte de la lucha contra los ciberataques en una universidad como Mohawk".
No es de extrañar que Mohawk aborde la ciberseguridad desde un enfoque integral.La universidad se centra en la investigación aplicada, con múltiples líneas de estudio que permiten a los estudiantes adquirir experiencia en el mundo real con empresas de Hamilton y del área metropolitana de Toronto.Es conocida por la innovación en sus propias operaciones, con edificios ecológicos y sistemas de calefacción y refrigeración con certificación LEED.
Mohawk también enseña ciberseguridad y cuenta con un amplio departamento central de TI que supervisa la ciberseguridad de la institución.Hace varios años, quedó claro que la universidad necesitaba utilizar herramientas de ciberseguridad de última generación para protegerse y defenderse de los atacantes maliciosos.
Frank recuerda cómo evolucionó el entorno de ciberseguridad de la universidad."Desde el consejo de administración empezamos a plantearnos cuestiones al respecto, y a preguntarnos cómo podíamos crear un programa para proteger nuestros activos críticos", explica.Central IT empezó por estudiar distintos marcos de seguridad del sector, incluidas las normas ISO 27001 e ISO 27002 para la gestión de la seguridad de la información.A continuación, utilizó el Marco para la Mejora de la Seguridad Cibernética en Infraestructuras Críticas (NIST CSF) para realizar un análisis de deficiencias y puntuarse en sus cinco pilares: identificar, proteger, detectar, responder y recuperar.
La universidad sabía que había hecho bien en identificar los activos que necesitaba proteger y en proteger esos activos en general.Sin embargo, no obtuvo tan buena puntuación en la detección, por lo que si sus controles fallaban, no podría identificar rápidamente la infracción y pasar a responder y recuperarse de ella."Se puede invertir mucho en mecanismos de protección, pero no existe ninguna solución milagrosa", observa Frank."Al final, hay un alto riesgo de compromiso y un panorama complejo".
Mohawk decidió centrarse en la detección e invertir en ella."Queríamos asegurarnos de que, si alguien burlaba nuestra protección, pudiéramos detectarlo y erradicarlo rápidamente de nuestra red", continúa Frank.En la enseñanza superior, a veces pueden pasar meses antes de que alguien se dé cuenta de que los atacantes se han infiltrado en un sistema."No queríamos que eso ocurriera si vulneraban nuestros sistemas", afirma.
"La rápida detección era importante para nosotros, pero también lo era lo que ocurre después", señala Frank."Uno quiere ser capaz de reproducir las cosas para identificar exactamente qué ocurrió y qué sistemas se vieron afectados, para reconstruir los sistemas después de los hechos y volver a proteger la red tras una infracción".
Mohawk inició la búsqueda de una plataforma de detección líder en el sector.En aquel momento, ya estaba trabajando con IBM para desarrollar su plan de estudios de ciberseguridad con el fin de incluir herramientas SIEM como la solución QRadar.Con esta sinergia en mente, Frank y sus colegas empezaron a explorar soluciones SIEM para la universidad.
Frank resume los criterios de la universidad: "Queríamos una herramienta que fuera fácil de usar, que no requiriera de mucha formación para que los usuarios fueran capaces de pivotar y buscar a través de los datos tanto para ver los registros de eventos como para hacer análisis de tráfico de red."La universidad necesitaba una herramienta que no solo almacenara la información para las búsquedas, sino que también identificara y priorizara los incidentes y ofreciera la opción de aplicar la IA para investigar las infracciones con mayor rapidez.
QRadar se situó rápidamente a la cabeza de las soluciones investigadas por Mohawk.La herramienta destacaba por encima de las demás consideradas porque Gartner la había nombrado líder SIEM en su informe Magic Quadrant for SIEM, gozaba de buena reputación entre los proveedores de nubes públicas y había recibido buenas referencias de otras instituciones de educación superior.
Mohawk decidió implantar la plataforma QRadar SIEM para ayudar a detectar y priorizar más rápidamente las amenazas en su diversa y distribuida red de TI."Así que QRadar nos resultó muy útil una vez que decidimos qué herramienta queríamos", afirma Frank. "Solo necesitábamos encontrar a alguien que no solo nos la vendiera, sino que también nos proporcionara servicios profesionales de instalación".
Mohawk seleccionó a GlassHouse, un socio comercial local de IBM, para implantar la solución QRadar y proporcionar soporte continuo personalizado a la universidad.
"Desde el principio nos dimos cuenta de que todo el mundo era extremadamente profesional en GlassHouse", asegura Frank. "No estaban ahí únicamente para vendernos el producto.Establecieron una relación con nosotros."
GlassHouse implantó la solución QRadar, construyendo la infraestructura en tres campus y en su centro de datos principal para ayudar a la universidad a ingerir y analizar datos de múltiples sistemas y departamentos.El socio comercial de IBM también formó al equipo de Mohawk y proporcionó toda la documentación y diagramación necesarias.
La plataforma QRadar proporciona a Mohawk un panel de control consolidado que ayuda a su personal de seguridad informática a visualizar la seguridad de su red.Cuando se produce una infracción, los analistas de seguridad pueden utilizar el panel de control de infracciones para saber cómo, cuándo y dónde se ha producido.La solución QRadar también prioriza los delitos en función de su relevancia, credibilidad y gravedad, de modo que Mohawk puede concentrarse en responder primero a los delitos de mayor prioridad.
La solución también es altamente configurable en función de las necesidades específicas de los usuarios.Por ejemplo, la universidad sufre numerosos ataques de phishing por correo electrónico contra el profesorado, el personal y los estudiantes.“Pudimos crear un panel de control completamente personalizado,” explica Frank. "Cuando se produce un ataque de phishing y traspasa nuestra barrera de protección, podemos analizar rápidamente los datos, ya sea la línea de asunto, los remitentes, los destinatarios o el contenido de un mensaje, y seleccionar rápidamente esos mensajes para saber hasta dónde han llegado en nuestra organización, cuál ha sido su propagación y cuántos usuarios se han visto afectados."
El equipo de seguridad puede entonces hacer un seguimiento de los usuarios para alertarles de que han recibido un mensaje de phishing y pedirles que informen al equipo si han interactuado con él.El equipo de Mohawk también puede eliminar los mensajes del servidor de correo electrónico antes de que otros usuarios interactúen con ellos.
Mohawk también eligió la solución QRadar con miras al futuro.Aunque actualmente no ejecuta QRadar en la nube, Mohawk puede aprovechar la aplicación QRadar Cloud Visibility."Queríamos asegurarnos de que elegíamos una solución preparada para el futuro, capaz de ingerir información de las nubes públicas en caso de que llegáramos a esa situación", afirma Frank. "Si decidimos colocar nuestra instancia en la nube, en lugar de ejecutarla in situ, con QRadar es posible. Es ahí es donde el producto marca la diferencia".
Mohawk también puede establecer fácilmente un lago de datos de seguridad dentro de QRadar tanto para la gestión de registros como para casos de uso SIEM con QRadar Data Store.Con QRadar Data Store, Mohawk puede recopilar, analice y almacenar de forma rentable grandes volúmenes de datos de seguridad y operaciones de TI. Al reunir todos los datos de seguridad en un solo lugar, Mohawk puede elaborar informes de cumplimiento más fácilmente, obtener resultados más detallados y proporcionar a los equipos un conjunto de datos más sólido para consultar.Esto simplificó la implantación y redujo los costes para Mohawk, otro factor diferenciador que ayudó a la universidad a elegir la solución QRadar.
GlassHouse ha trabajado con el equipo de seguridad para ajustar el sistema de modo que elimine las alertas que no requieren una solución inmediata.Según Jeff Wilson, director de ventas de servicios gestionados y en la nube de GlassHouse: "Queremos llegar a los datos procesables... el 10% en el que hay que centrarse, averiguar la causa raíz y ponerle remedio rápidamente".
Frank está encantado con la asistencia práctica de GlassHouse."Necesitábamos servicios profesionales para poder llegar a ese punto", afirma."Trabajamos con GlassHouse para asegurarnos de que todo estuviera correctamente ajustado para nuestro entorno.Así que ahora sabemos que cuando tenga lugar una posible vulneración en el futuro, no tenemos que examinar cuidadosamente un montón de datos, sino que tenemos una interfaz bastante limpia".
Incluso con los mejores sistemas de protección de ciberseguridad, algunas amenazas consiguen colarse.Y si el equipo de seguridad no es capaz de detectar la amenaza, no puede proporcionar una respuesta.Ahora, tras implantar QRadar, Mohawk puede detectar y responder rápidamente a las vulneraciones de ciberseguridad.
"Todo es cuestión de visibilidad", asegura Frank. "Poder ver lo que ocurre en la red, ver cómo se conectan y comunican entre sí las distintas máquinas.Se trata de crear alertas para poder ver si hay una posible vulneración en la red que requiera investigación.Con QRadar, hay una capa de visibilidad que antes no teníamos".
Frank compara la complejidad anterior de supervisar el sistema de seguridad de Mohawk y la sencillez actual de verlo con el panel de QRadar."No es difícil de imaginar que en una gran organización puede haber muchas herramientas y aparatos de seguridad diferentes", dice."Desde antimalware en los puntos finales y en el centro de datos, hasta cortafuegos (externos a la organización y también internos en distintas ubicaciones), sensores de prevención de intrusiones, etc.".Antes, todos estos elementos tenían sus propias interfaces en las que su equipo de seguridad tenía que entrar individualmente para ver las posibles amenazas.Y había muchos de estos elementos repartidos por toda la organización en diferentes departamentos, campus y ubicaciones.
"Ahora, QRadar ingiere todos esos datos en un solo panel para que podamos consultarlos", explica Frank."Y luego, todas las alertas, advertencias y amenazas potenciales que surgen de esas soluciones se priorizan en un enfoque basado en el riesgo para que las investiguemos.De este modo, nos ayuda a filtrar la información, agiliza el proceso y garantiza que nos centremos en los principales riesgos o amenazas".
Mohawk también utiliza QRadar Data Store para una gestión centralizada de los registros, lo que mejora su conformidad con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). El registro centralizado también ayuda al equipo de operaciones, según Frank."Ahora, cuando resolvemos problemas en el centro de datos que no están relacionados con la seguridad, el equipo de operaciones tiene acceso para poder indagar en los detalles", afirma."Puede hacer búsquedas para encontrar rápidamente la información que necesita sin tener que entrar manualmente en todas y cada una de las máquinas e intentar revisar manualmente los registros.Creo que resuelve una serie de dificultades que se va a encontrar cualquier equipo de infraestructura."
Frank se alegra de que la universidad eligiera trabajar con un socio comercial de IBM como GlassHouse y alaba al equipo de GlassHouse: "No solo contaban con personal de gran calidad técnica y conocimientos sobre QRadar, sino también sobre ciberseguridad en general.Quedamos muy impresionados".
Jeff Wilson, de GlassHouse, explica a su vez por qué mantener una estrecha relación con Mohawk ha sido una experiencia muy positiva."No hay nada en el entorno de Mohawk que haya sido difícil en términos de integración en QRadar", afirma."En el ámbito de la seguridad, mantener una relación estrecha y eficaz con el cliente, comprendiendo sus procesos, su infraestructura y su entorno de software y dónde se encuentran sus datos más importantes, es muy importante para garantizar la seguridad y encontrar la forma de resolver las deficiencias.Y creo que ese ajuste entre una empresa de tamaño medio como GlassHouse y un cliente de tamaño medio como Mohawk contribuye al éxito de este tipo de compromiso".
El compromiso también ha sido un éxito gracias al apoyo de la junta directiva de la universidad y a la implicación de otros departamentos, como los equipos de operaciones e infraestructuras, que ya han cosechado los beneficios de la solución QRadar."Entienden qué es la herramienta, cómo funciona y cómo pueden empezar a disfrutar de sus beneficios en sus departamentos", apunta Frank. "Creo que ese fue un factor fundamental para el éxito, así como conseguir que todo el mundo se subiera al carro y colaborara para encontrar la solución adecuada para la universidad".
La universidad está creando sinergias entre su departamento de seguridad interno y sus programas académicos ofreciendo cursos de ciberseguridad que incluyen SIEM.En última instancia, el uso de la plataforma QRadar puede convertirse en una herramienta de captación, ya que los estudiantes que deseen adquirir conocimientos en un ámbito de gran demanda como la ciberseguridad verán que la universidad pone en práctica aquello que enseña mediante la implantación de una solución SIEM de última generación.
Fundada en 1966, Mohawk (enlace externo a ibm.com), situada en Hamilton, Ontario, Canadá, ofrece estudios superiores y es reconocida por su cultura de la innovación. Su misión es educar y preparar a graduados altamente cualificados para el éxito y la contribución a la comunidad, Mohawk College enseña a más de 32 500 estudiantes a tiempo completo, a tiempo parcial, en prácticas e internacionales, con aproximadamente 1000 profesores. Consta de tres campus principales: Fennell, Stoney Creek y el Instituto Mohawk-McMaster de Ciencias de la Salud Aplicadas de la Universidad McMaster.
Fundado en 1993 en Toronto, Canadá, el socio comercial de IBM, GlassHouse, (enlace externo a ibm.com) ayuda a sus clientes de los sectores público y privado a reducir la complejidad y los costes operativos de sus entornos de TI. La empresa es experta en soluciones para la nube, servicios gestionados, seguridad empresarial e infraestructura, entre otros. Opera desde su sede corporativa canadiense en Toronto, su sede estadounidense en Lisle, Illinois, y tiene aproximadamente 80 empleados en plantilla.
Legal
© Copyright IBM Corporation 2021. IBM Corporation, IBM Security, New Orchard, Armonk, NY 10504
Producido en los Estados Unidos de América, abril de 2021.
IBM, el logotipo de IBM, ibm.com, IBM Cloud e IBM Trusteer Rapport son marcas registradas de International Business Machines Corp., registradas en muchas jurisdicciones del mundo. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Puede consultar una lista de las actuales marcas registradas de IBM en la web, en el apartado "Copyright e información de marca registrada" en www.ibm.com/es-es/legal/copytrade.shtml.
Este documento se actualizó por última vez en la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. Los socios comerciales de IBM establecen sus propios precios, que pueden variar. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los datos de rendimiento y ejemplos de clientes mencionados se presentan únicamente con fines ilustrativos.Los datos reales de rendimiento pueden variar en función de las configuraciones y condiciones de funcionamiento específicas.Es responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier otro producto o programa con los productos y programas de IBM. LA INFORMACIÓN DE ESTE DOCUMENTO SE OFRECE "TAL CUAL ESTÁ" SIN NINGUNA GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN FIN CONCRETO Y CUALQUIER GARANTÍA O CONDICIÓN DE INEXISTENCIA DE INFRACCIÓN.Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.
El cliente es responsable de garantizar el cumplimiento de las leyes y reglamentos aplicables. IBM no presta asesoramiento legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o normativa.
Declaración de buenas prácticas de seguridad: La seguridad del sistema de TI implica proteger los sistemas y la información a través de la prevención, detección y respuesta al acceso indebido desde dentro y fuera de su empresa. Un acceso indebido puede dar lugar a la alteración, destrucción, apropiación o uso indebidos de la información o puede provocar daños o el uso indebido de sus sistemas, incluso para utilizarlos en ataques a terceros. Ningún sistema o producto informático debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad por sí solo puede ser completamente eficaz a la hora de evitar usos o accesos indebidos. Los sistemas, productos y servicios de IBM están diseñados para formar parte de un enfoque de seguridad legal y global, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más eficaz. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES O VAYAN A HACER QUE SU EMPRESA SEA INMUNE A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS.