Fabian Martinez Portantier

FMP

Experto en Ciberseguridad
Co-Fundador de Securetia
Co-Fundador de h4ck3d Security Conference
Coordinador Carrera Seguridad Informática en EducacionIT

Ciberinteligencia III - Planeamiento

ciberinteligencia

Analizaremos la planificación de nuestro proceso de inteligencia, para dimensionar de forma adecuada las herramientas y los recursos que vamos a utilizar.

En el artículo anterior hicimos un análisis de los requerimientos de inteligencia que puede tener nuestra organización, y cómo podemos beneficiarnos de llevar a cabo un proceso de inteligencia.

Desarrollo de la Arquitectura de Inteligencia

Para el desarrollo de la arquitectura de inteligencia debemos tener en cuenta varios factores, como los recursos que vamos a asignar, y las fuentes de información que vamos a consultar.

Esto debe ser claro desde el inicio, debido a que los resultados que podemos llegar a esperar, van a depender de esto.

Cuando hablamos de "recursos", debemos tener en cuenta los siguientes tres tipos:

  1. Personas
  2. Dinero
  3. Tiempo

De ser posible, siempre va a ser mejor contar con un balance entre los tres.

En cualquier caso, es importante que seamos concientes de cuáles son las limitantes que nos impone la situación actual, y nos ajustemos oportunamente a ella.

Por otra parte, debemos considerar que el "tiempo" y el "dinero" son recursos mucho más fáciles de medir que las "personas". Debido a que hay factores determinantes, como la capacitación y experiencia de las personas con las que contamos.

Plan de Recolección

El plan de recolección se vuelve fundamental en los casos en los que el equipo de inteligencia es relativamente grande, y debe poder coordinarse para no malgastar esfuerzos. Aunque de todos modos es útil en equipos pequeños, debido a la necesidad de coordinar y ordenar las tareas de recolección.

Se deberán armonizar las capacidades de recolección y análisis, para no generar una sobrecarga de datos (si recabamos una cantidad de datos que no tenemos forma de analizar, perdemos el tiempo).

Fuentes de Información

Existen una gran cantidad de fuentes de información con las que podemos nutrir nuestro proceso de inteligencia. Eso, aunque al principio no lo parezca, genera dos inconvenientes que debemos resolver:

1) Seleccionar Las Fuentes Más Adecuadas

Teniendo tantas fuentes de información para consumir, vamos a vernos tentados de "consumirlas todas", lo cual puede volverse rápidamente una tarea monumental y una total pérdida de tiempo.

Es necesario que aumentemos gradualmente la cantidad de fuentes de datos que consumimos, en la medida en la que podemos manejar las existentes.

Por lo tanto, es recomendable empezar por una o pocas fuentes de información, e ir agregando más a medida que completamos las tareas de procesamiento y análisis de forma exitosa.

Llegado el momento, vamos a contar con un proceso de inteligencia que pueda consumir datos desde varias fuentes de información, procesándolas y analizándolas de forma correcta.

2) Determinar El Origen Real De Los Datos

Cuando seleccionamos una fuente de información, debemos estar seguros de cuál es la fuente de datos que está utilizando esa misma fuente.

¿Suena confuso?

Pensemos en que las fuentes de datos, a su vez, utilizan fuentes de datos.

Imaginemos que un periodista publica una noticia en un diario, y que varios medios de comunicación repiten la noticia sin citar la fuente. Da la impresión de que la noticia es verdadera, debido a que aparece en múltiples medios pero, en realidad, es una única publicación, que simplemente fue repetida una y otra vez. Independientemente de si la noticia es cierta o no, la repetición genera una sensación de fiabilidad.

Debido a esto, debemos tener mucho cuidado al agregar fuentes de información, y tener en cuenta que no debemos agregar fuentes que se nuestran la una de la otra.

Esto está relacionado con el siguiente punto.

3) Asignar Fiabilidad

Podemos tener un caso como el ejemplo anterior, en el que pensamos que una noticia es verdadera porque ha aparecido en varios medios, cuando en realidad fue un único medio el que la publicó y los otros se limitaron a publicarla (sin verificarla).

También podemos tener casos en los que pensamos que estamos trabajando con información actualizada, cuando en realidad estamos tratando con información que ha quedado obsoleta.

Pensemos en las listas de bloqueo de direcciones IP.

Si una organización publica informes sobre las direcciones IP desde las cuales ha recibido ataques, pero no indica durante cuánto tiempo las direcciones se mantienen en la lista luego de que hayan cesado los ataques, se pueden generar varias confusiones.

Por ejemplo, si la organización publica los ataques del último mes (30 días), y nosotros pensamos que es información diaria, podríamos estar procesando información que ya no es válida. Ya sea porque los ataques se han interrumpido, o porque el atacante a cambiado de dirección IP.

Es por eso que debemos saber qué tan fiables son los datos y cada cuánto son actualizados.

En artículos posteriores, analizaremos diversas tareas de ciberinteligencia.

ciberinteligencia

Licencia Creative Commons
Creative Commons Atribución-CompartirIgual 4.0 Internacional.