La ciberseguridad en la educación superior es una tarea interminable. No es infrecuente que sus departamentos de TIC estén sobrecargados de trabajo y, en ocasiones, cortos de personal. Además, las aplicaciones que utilizan muchas instituciones funcionan sin estar completamente coordinadas entre sí, pues se han añadido en diferentes momentos y pueden surgir problemas de compatibilidad. Eso dificulta su administración.
A lo anterior se suma que en las instituciones educativas la rotación de usuarios es permanente y considerable. Esta circunstancia, combinada con el uso de la Internet de las Cosas (IoT) en los campi y la creciente práctica conocida como “trae tu propio dispositivo” (BYOD), resulta en que la exposición de las instituciones de educación superior aumenta de manera exponencial. Si algún elemento de sus sistemas de seguridad tiene deficiencias, las ciberamenazas se vuelven mucho más preocupantes.
Por supuesto, implementar y aplicar un buen programa de entrenamiento de ciberseguridad en las universidades es indispensable; también lo es que los responsables de TIC tengan herramientas para contrarrestar los ataques. Entre las más recientes se cuenta los sistemas de Orquestación, Automatización y Respuesta de Seguridad o SOAR, por su nombre en inglés (Security Orchestration, Automation and Response), un término acuñado por Gartner.
Las plataformas SOAR están integradas por conjuntos de programas compatibles entre sí que permiten recolectar y organizar información sobre problemas de seguridad a partir de múltiples fuentes para definirlos, priorizarlos y responder a ellos sin la necesidad de intervención humana. En suma, su objetivo es mejorar la eficiencia de todos los sistemas de seguridad de la institución.
Para implementar la ciberseguridad en las instituciones de educación superior, muchos departamentos de TIC se valen de otras herramientas, como las plataformas de Información de Seguridad y Gestión de Eventos (Security Information and Event Management, SIEM).
Ciberseguridad en la educación superior: SOAR y SIEM
Una plataforma SIEM concentra la información generada cada día por programas, servidores, terminales, dispositivos en red y otras fuentes. Su principal función es revisar esos millones de entradas en busca de indicadores de problemas de seguridad. Una vez que detecta alguno, puede alertar al personal de TIC o responder automáticamente, ya sea al bloquear alguna actividad sospechosa, lanzar análisis de vulnerabilidades o recopilar información adicional sobre el incidente. Como apoyo, el personal de TIC suele tener manuales con pasos sistematizados a seguir ante determinados problemas.
La plataforma SOAR, lejos de sustituir a una SIEM, la complementa. Se puede decir que la manera de mejorarla mediante la automatización robótica de procesos (RPA) del área de ciberseguridad, pues las acciones que puede emprender tienen mayor alcance que aquellas para las que están diseñadas las SIEM. Esto se debe a que las SOAR pueden integrarse sin contratiempos con un abanico más amplio de programas que las SIEM.
Normalmente, el personal de TIC debe dedicar horas a analizar las alertas emitidas por las SIEM antes de emprender acciones concretas. Las SOAR automatizan y agilizan ese análisis (además de tomar medidas iniciales para resolver el problema), por lo que funciona como un acelerador de la ciberseguridad en las instituciones de educación superior.
De acuerdo con Gartner, las características más importantes de una SOAR son:
● Gestión de amenazas y vulnerabilidades, a cuya remediación mediante la integración y análisis fluidos de la información que recibe.
● Respuesta a los incidentes de seguridad, al brindar apoyo al planear, manejar, seguir y coordinar la respuesta a las amenazas y ataques.
● Automatización de las operaciones de seguridad, al orquestar la integración de flujos de trabajo, procesos, ejecución de las políticas y generación de reportes.
Mercado en crecimiento
Se estima que el mercado de las SOAR pasará de 868 millones de dólares el año pasado a 1,791 hacia 2024, implementadas mayoritariamente como servicios en nube. Dicho crecimiento se ve impulsado, entre otras causas, por el aumento en el número tanto de ciberataques reales y falsas alarmas, además de la escasez de personal calificado.
La implementación de plataformas SOAR resulta particularmente útil para combatir dos de las principales amenazas que enfrenta la ciberseguridad de las instituciones de educación superior: el phising y el uso malicioso de las redes universitarias.
El phising suele ingresar a las redes a través de correos electrónicos infectados que los usuarios abren sin sospechar nada. Las SOAR pueden evitarlo al escanear los correos entrantes a la búsqueda de amenazas y neutralizarlas antes de que lleguen a los usuarios.
El uso malicioso de las redes suele ser detectado a través de actividades previamente catalogadas como potencialmente peligrosas. Esta clasificación se basa en indicadores que no siempre son confiables. Mediante las plataformas SOAR es posible codificar un proceso de análisis automático para revisar en profundidad la actividad sospechosa. Acto seguido, la plataforma puede buscar instancias adicionales del indicador dentro de la red de la institución, para evaluar mejor la posible amenaza y, de encontrarlas, alertar a los analistas.
De la misma forma, se pueden automatizar las acciones a tomar en respuesta. Por ejemplo, se puede bloquear una dirección IP o una dirección URL a través del cortafuegos o de un proxy. También se puede aislar un dispositivo en particular para posteriormente efectuar un análisis a profundidad.