Las instituciones de educación superior son uno de los objetivos más frecuentes para los ciberdelincuentes. Ofrecen los frutos de la propiedad intelectual, la investigación y la información personal tanto de estudiantes como de profesores. Y, por lo general, los malhechores cosechan esos frutos maduros, ya que las medidas y la tecnología de ciberseguridad suelen aplicarse de forma fragmentada, sin tener en cuenta la prevención y la respuesta sistemáticas en múltiples departamentos de la universidad o escuela superior.
"Hay tantos departamentos enfocados en diferentes cosas que se vuelve algo muy complicado", afirma Andrew Frank, Gerente de Servicios de Seguridad de TI en Mohawk College en Hamilton, Ontario. “Normalmente, si usted no cuenta con un programa de seguridad bien diseñado, los técnicos harán todo lo posible para proteger el entorno.Rápidamente comprarán algún antimalware, o tal vez instalarán firewalls nuevos y sofisticados de última generación. Y si bien esas acciones son muy importantes, solo son una parte de la lucha contra los ciberataques en una universidad como Mohawk”.
No es de extrañar que Mohawk adopte un enfoque integral de la ciberseguridad.La universidad se enfoca en la investigación aplicada, con múltiples líneas de estudio que permiten a los estudiantes adquirir experiencia del mundo real con negocios en Hamilton y el área metropolitana de Toronto. Es conocida por la innovación en sus propias operaciones, con edificios ecológicos y sistemas de calefacción y refrigeración que cuentan con la certificación LEED.
En Mohawk también se imparten clases de ciberseguridad y cuenta con un amplio departamento central de TI que supervisa la ciberseguridad de la institución. Hace varios años, quedó claro que la universidad necesitaba utilizar herramientas de ciberseguridad de última generación para protegerse y defenderse contra atacantes maliciosos.
Frank recuerda cómo evolucionó el entorno de ciberseguridad de la universidad. "Nuestro consejo universitario estaba empezando a hacer preguntas al respecto, querían saber cómo podríamos crear un programa para proteger nuestros activos críticos", afirmó. Central IT comenzó por analizar diferentes marcos industriales de seguridad, incluidos los estándares ISO 27001 e ISO 27002 para gestionar la seguridad de la información. Luego utilizó el Marco de ciberseguridad del National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) para realizar un análisis de las deficiencias y calcular su calificación en sus cinco pilares: identificar, proteger, detectar, responder y recuperar.
La universidad sabía que había hecho bien en identificar los activos que necesitaba proteger y en proteger esos activos de manera general. Sin embargo, su puntuación en detección no fue tan buena, por lo que si sus controles fallaban, no podría identificar rápidamente la filtración ni responder y recuperarse de esta. “Se puede enfocar toda esta inversión en mecanismos de protección, pero no existe una solución milagrosa”, afirma Frank."Con el tiempo, existe un alto riesgo de compromiso y un panorama complejo"..
Mohawk decidió centrarse e invertir en detección. "Queríamos asegurarnos de que, si alguien vulneraba nuestra protección, pudiéramos detectarlo y erradicarlo rápidamente de nuestra red", afirma Frank.En la educación superior, a veces pueden pasar meses antes de que alguien se dé cuenta de que los atacantes se han infiltrado en un sistema. "No queríamos que eso sucediera si nuestros sistemas eran vulnerados", afirma.
“Para nosotros era importante realizar una rápida detección, pero también las acciones siguientes”, señala Frank. "Uno quisiera poder... recrear las acciones para identificar exactamente qué sucedió y exactamente qué sistemas fueron vulnerados, para reconstruir sus sistemas después y volver a proteger su red después de una filtración".
Mohawk inició la búsqueda de una plataforma de detección líder en la industria. En ese momento, ya estaba trabajando con IBM para desarrollar su historial de ciberseguridad para incluir herramientas SIEM como la solución QRadar. Con esta sinergia en mente, Frank y sus colegas comenzaron a explorar soluciones SIEM para la universidad.
Frank describe los criterios de la universidad: "Queríamos una herramienta que fuera fácil de usar, que no requiriera demasiada capacitación para que los usuarios pudieran hacer cambios y buscar datos para ver registros de eventos y analizar el tráfico de la red". La universidad necesitaba una herramienta que no solo almacenara la información para las búsquedas, sino que también identificara y priorizara los incidentes y ofreciera la opción de aplicar IA para investigar las filtraciones más rápidamente.
QRadar se situó rápidamente a la cabeza de las soluciones que había analizado Mohawk. La herramienta se destacó de entre las demás que se habían considerado porque Gartner la había nombrado líder SIEM en su informe Magic Quadrant para SIEM, además de que tenía buena reputación con los proveedores de nube pública y había recibido sólidas referencias de otras instituciones de educación superior.