Inteligencia artificial para vigilar patrones de comportamiento en las empresas

El peor enemigo de la ciberseguridad de una compañía son las puertas que se dejan abiertas, o mal cerradas, desde el interior de la propia organización, por negligencia, descuido, ignorancia o intenciones aviesas, según el análisis que ofrece ManageEngine, una división de la compañía india Zoho Corporation. "Para un 48% de las empresas el peor desafío son los ataques internos", según datos del informe panorámico 2018 de la Agencia para la Ciberseguridad de la Unión Europea (ENISA), citado por Ajay Kumar, Chief Evangelist de ManageEngine.

El ejecutivo explicó en Madrid la historia y las intenciones de expansión de una empresa que lleva 15 años en España, de la mano de su socio local Ireo. Su propio nacimiento, "como una pequeña startup", se remonta apenas nueve años más atrás, con el nombre original de WebNMS. La denominación ManageEngine fue acuñada en 2001 y el nombre Zoho es de 2005. Ahora tiene más de 8.000 empleados (3.500 dedicados a ManageEngine), está presente en más de 190 países y cuenta con 50 millones de usuarios y unas 180.000 organizaciones. Tiene más de 20.000 clientes en España y 10 centros de datos repartidos por el mundo, dos de ellos en Europa, en Holanda e Irlanda. Pero toda su I+D se hace en la India.

Centrada en el desarrollo de aplicaciones para el desarrollo, gestión y control de los servicios IT de las empresas, Kumar subraya que su organización ofrece a través de los servicios en su nube un centenar de apps, más de 50 webapps de negocio y 90 "end to end para IT". En su cartera hay "64 herramientas gratuitas". Pero en lo que el responsable de ManageEngine pone ahora más énfasis es en los aspectos de privacidad y seguridad. En los últimos 12 meses ha crecido en España "un 30%", atribuyéndoselo en gran medida a las necesidades surgidas "por la implantación del GDPR".

Según sus análisis, el mercado europeo de la nube moverá en 2026 unos 75.000 millones de dólares, pero "el 63% de las empresas dudan de la seguridad en la nube, con las de Alemania y España a la cabeza". Prevé que el mercado de la ciberseguridad, en términos globales, superé los 47.000 millones de dólares en 2023, lo que da una idea de desproporción entre el uso propiamente de la nube y las necesidades de blindaje y seguridad. El coste medio para las empresas españolas que sufrieron ataques en España en 2019, otro dato aportado por Kumar, fueron 187.000 dólares (Statista Report 2019).

Los principales vectores de riesgo se concretan en que "un 32% de los ataques son ejecutados por cibercriminales, un 23% por hackers [estableciendo las diferencias entre los que se llevan información, los que buscan debilidades y los que simplemente curiosean], y un 15% por insiders no maliciosos".

En ese último punto se centra el empeño de ManageEngine, que plantea como puntos esenciales de seguridad "entrenar a los empleados, comunicar los riesgos y aplicar una guía de uso de las redes sociales, donde ocurren muchas cosas…". También plantea Kumar que los requisitos de "privacidad y seguridad de los datos deben ser obligatorios en todas las compañías globales. En Zoho tenemos un jefe de seguridad de datos privados. Los responsables deben ser rigurosos al conceder tareas y privilegios y deben seguirse políticas estrictas de contraseñas y cuentas y prácticas de doble verificación". Su propuesta tecnológica son tres paquetes de soluciones de ManageEngine.

Log360 aplica inteligencia artificial para analizar el comportamiento de los usuarios, dentro de la organización, con la herramienta UEBA. Asegura y reporta con Compliance Management el cumplimiento de normativas legales de diversas áreas geográficas como GDPR, PCI DSS, FISMA, HIPAA, SOX, GLBA y GPG13. Y detecta patrones de ataques con Network Auditing and Reporting, notificándoselos a los administradores del sistema para una inmediata respuesta.

"Al menos el 80% de los ataques se hacen con credenciales y privilegios que han sido 'comprometidos'", dice el responsable de Zoho. Se trata de evitar que haya "privilegios altos mal controlados, un control general deficiente de los privilegios y que se concedan accesos sin límite". Cita un ejemplo de aplicación de la IA para observar comportamientos peligrosos, "si un usuario establece dos conexiones concurrentes por VPN desde terminales en diferente localización y accede a varios servidores durante la sesión". UEBA puede detectar con inmediatez lo que una revisión a mano podría tardar "entre tres y seis meses". 

El paquete PAM360 centraliza con Privileged account governance el control y gobernanza de las políticas de acceso y privilegios de la organización. Otra herramienta es Just-in-time privilege elevation, para la autorización de determinados permisos en ciertos marcos temporales o por tiempo limitado. La herramienta Privileged session monitoring establece controles duales para sesiones en tiempo real. Y también este paquete dispone de una herramienta con inteligencia artificial, Privileged user behavioranalytics (PUBA), que detecta anomalías en accesos privilegiados.

El tercer paquete es Desktop Central, con Endpoint Management, que gestiona la cantidad de dispositivos, software y despliegue de sistemas operativos en la organización, incluyendo parcheos, instalaciones y actualizaciones. Y Endpoint Security, particularmente centrado en la gestión de parches de seguridad, vulnerabilidades, control de dispositivos de todo tipo (móviles, portátiles y tabletas incluidos) y prevención de filtraciones de información, controlando incluso las conexiones por USB o las sesiones establecidas a través de navegador. También se establecen férreos controles para 'limpiar' de datos corporativos los dispositivos de empleados que abandonan la organización. 

El propio Kumar asegura que su ordenador personal y su móvil están corriendo un software que lo monitoriza desde la central de la compañía, en la India a través de Unified Endpoint Management & Security, que corre en modo local en los dispositivos sin "afectar a su rendimiento" asegura a INNOVADORES, porque aprovecha los "tiempos muertos" para enviar los datos a la organización central. "Si yo pierdo mi teléfono en España", comenta, "desde nuestra central pueden borrar su contenido".