Los estándares de seguridad de Lax harán que sea vulnerable. Pero los procesos demasiado sensibles generan falsas alarmas que pueden dificultar la distinción entre amigos y enemigos. Y, lamentablemente, ese problema escala fácilmente.
"Nuestro campus es grande", señala John McGuthry, Vicepresidente y Director de sistemas de información (CIO) de la Universidad Politécnica del Estado de California, Pomona (Cal Poly Pomona). "No solo por la cantidad de estudiantes, sino por su tamaño físico. Tenemos alrededor de 1,400 acres y más de 100 edificios. Tenemos establos para caballos. Tenemos granjas. La propagación de nuestra infraestructura de red y el espacio inalámbrico que mantenemos es enorme".
Y administrar un entorno de campus tan masivo estaba empezando a resultar un desafío para los recursos de seguridad de TI de la universidad. "Recibimos tantas alertas de dispositivos, que pronto podría volverse abrumador", recuerda McGuthry. "La cantidad de información que debíamos analizar seguía aumentando. Necesitábamos encontrar una mejor manera".
Más allá del tamaño del entorno, Cal Poly Pomona también se enfrentaba a desafíos con los diversos estándares de seguridad de datos que debe cumplir. Como explica McGuthry: "Tenemos una fuerza policial, por lo que se aplican normas de cumplimiento para los datos de las autoridades públicas. Tenemos un centro de salud, así que la HIPAA entra en juego. Hay un hotel, restaurantes, tiendas minoristas, es decir, requisitos de PCI. Y junto con todo eso, tenemos información de los estudiantes que debemos mantener segura”.
Para afrontar estos desafíos, McGuthry quería implementar una plataforma centralizada de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) que pudiera ofrecer capacidades de registro complejas. Y después de varias conversaciones internas, estaba interesado en explorar las capacidades que ofrece IBM Security® QRadar® SIEM, y rápidamente encaró un análisis inicial con un equipo de IBM Security.
“Después de una evaluación exhaustiva de QRadar y de hablar con IBM, llamé a nuestro CISO y le dije: 'Hagámoslo'”, recuerda McGuthry. “Simplemente me pareció que era lo mejor para Cal Poly Pomona”.
Como parte del despliegue inicial de QRadar SIEM, el equipo de IBM Security, junto con el personal de Cal Poly Pomona, tomó un inventario integral de toda la arquitectura, creando un registro detallado de la topología de red al tiempo que identificó todos los roles de usuario con acceso a datos. Actualmente, alrededor de 27,000 estudiantes activos y 3,000 profesores y personal utilizan el sistema con regularidad.
"También tenemos este gran grupo de usuarios transitorio que son nuestros solicitantes de cada semestre", señala Carol Gonzales, Vicepresidenta asociada de seguridad y cumplimiento de TI y Directora de seguridad de la información de la universidad. “Así que eso aumenta nuestra base de usuarios a alrededor de 100,000 en total, una cifra que vuelve a disminuir con la misma rapidez. También organizamos muchos eventos para la comunidad. Y todos los años celebramos una ceremonia de graduación a la que acuden los amigos y familiares de los estudiantes. Eso es mucho acceso inalámbrico”.
Con los roles de usuario y el inventario identificados, QRadar SIEM permite a Cal Poly Pomona centralizar, normalizar y analizar los datos entrantes de más de 84,000 dispositivos para identificar posibles amenazas mediante el aprendizaje automático y analytics de comportamiento. En promedio, esto genera aproximadamente 44 GB de registros e informes cada día, lo que, desde un punto de vista forense, ayuda a simplificar los requisitos de cumplimiento y auditoría.
Más en detalle, las funciones de alerta de la solución de IBM pueden identificar rápida y eficazmente los puntos de intrusión, señalándolos para su investigación. Además, QRadar SIEM ofrece analytics del comportamiento de los usuarios que permiten que el personal de seguridad identifique anomalías previamente indetectables que podrían indicar ataques dirigidos, amenazas internas u otras actividades indebidas.
Más allá de la seguridad, QRadar SIEM también asiste a las actividades educativas de la universidad. En concreto, en el Centro de Datos Mitchell Hill de la universidad, los estudiantes de la Facultad de Administración de Empresas utilizan la tecnología de IBM para adquirir experiencia en el "mundo real" mientras estudian ciberseguridad.
"Es una arquitectura aislada que imita nuestro entorno de producción", aclara el Dr. Ronald E. Pike, profesor asociado de Sistemas de Información Computarizados en la universidad. "Los estudiantes de Cal Poly Pomona la utilizan para ejecutar su propio centro de operaciones de seguridad [SOC] administrado por ellos mismos, en el pueden usar QRadar para observar el tráfico que entra y sale del entorno. Además, pueden generar artificialmente una actividad adicional de los usuarios que proporcione una base coherente de los problemas de seguridad que deben resolverse a lo largo del semestre."
Además, la tecnología de IBM ayuda con clases especializadas centradas en la auditoría de TI, así como en la gestión holística de la seguridad, en particular en cómo las diversas áreas de la ciberseguridad se interrelacionan entre sí.
"También organizan varias competencias en el centro de datos de los estudiantes", agrega Pike. “Y QRadar es crítico para ayudar a monitorear estas actividades, proporcionando datos de evaluación claros sobre el rendimiento de la competencia”.
QRadar SIEM ofrece una visibilidad completa de la red del campus. Además, la tecnología de IBM facilita la detección de ataques dirigidos a vulnerabilidades previamente no identificadas junto con amenazas avanzadas y persistentes. Todo esto permite a Cal Poly Pomona identificar debilidades e intrusiones de seguridad mucho más rápidamente. La solución reduce rutinariamente las posibles alertas diarias a entre 20 y 40 elementos procesables que se deben investigar.
"No podemos revisar todo, por lo que QRadar agrega y compone los detalles que realmente necesitamos ver", explica Gonzales. “Por ejemplo, tuvimos un incidente hace unos meses en el que detectamos cambios no autorizados en varias computadoras de escritorios del mismo departamento. Con QRadar, identificamos y reconfiguramos rápidamente estos sistemas en esa misma semana. También hemos añadido fácilmente un widget a nuestro panel de control que nos permite vigilar a ese departamento para el caso de que se repita el problema".
Y, más allá del valor que aporta la tecnología, Gonzales también se mostró satisfecha con el soporte ofrecido por el equipo de IBM Security. Como señala: "Apreciamos mucho las evaluaciones de valor que hacemos juntos, en las que IBM nos ayuda a descubrir cómo trabajar de manera más inteligente. Estas evaluaciones nos permiten saber qué delitos deben ser priorizados. Nos enseñan cómo dejar que QRadar haga el trabajo por nosotros en lugar de que intentemos administrar la herramienta”.
McGuthry continúa: "Más allá del rendimiento de un producto, el servicio realmente importa. Y los expertos que IBM nos ha proporcionado han sido invaluables para nuestra universidad".
Fundada en 1938, Cal Poly Pomona (el enlace reside fuera de ibm.com) es una universidad politécnica líder que se centra en el aprendizaje experimental y el descubrimiento práctico. La universidad está ubicada en Pomona, California, y está compuesta por nueve facultades académicas distintas que colectivamente ofrecen licenciaturas en 94 especializaciones y 39 programas de maestría.
Legal
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Producido en los Estados Unidos en noviembre de 2023.
IBM, el logotipo de IBM, ibm.com, IBM Security y QRadar son marcas comerciales o marcas registradas de International Business Machines Corporation, en Estados Unidos o en otros países. Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. Una lista actualizada de las marcas comerciales de IBM está disponible en ibm.com/legal/copyright-trademark.
Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Todos los ejemplos de clientes citados o descritos se presentan como ilustración de la forma en que algunos clientes han utilizado los productos de IBM y los resultados que pueden haber obtenido. Los costos medioambientales y las características de rendimiento reales variarán en función de las configuraciones y condiciones de cada cliente. No es posible garantizar resultados esperados, puesto que los resultados de cada cliente dependerán por completo de los sistemas y servicios solicitados por este. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL” SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUSO SIN NINGUNA GARANTÍA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO PARTICULAR NI GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están amparados de acuerdo con los términos y condiciones de los acuerdos bajo los cuales se proveen.
Declaración de buenas prácticas de seguridad. Ningún sistema o producto de TI debe considerarse completamente seguro, y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso indebidos. IBM no garantiza que ningún sistema, producto o servicio sea inmune o hará que su empresa sea inmune a la conducta maliciosa o ilegal de cualquier parte.
El cliente es responsable de garantizar el cumplimiento de las leyes y reglamentos aplicables. IBM no brinda asesoría legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o reglamento.