La doctrina “cibersecurity first” se ha extendido por todas las organizaciones, que implantan la ciberseguridad desde el diseño de cualquier sistema o producto. Las cosas se han puesto serias, los ataques han ido escalando en sofisticación y capacidad de ocasionar perjuicios, y ya ninguna empresa desdeña la seguridad considerándola un “stopper” a la innovación. No obstante, su implantación conlleva retos que han sido compartidos en el encuentro organizado por Computing, junto con Commvault y Wise Security Global, que ha contado con la presencia de representantes expertos en ciberseguridad de distintas compañías e industrias.
El primer paso para implementar una buena estrategia de ciberseguridad es asumir que la seguridad perfecta no existe. “La única forma de eliminar un riesgo es eliminar el activo que es objetivo de la potencial amenaza”, señalaron los expertos. Una vez asumido que no existe el riesgo cero, las compañías cuentan con una amplia gama de tecnología a su alcance para disminuir este riesgo lo máximo posible: doble factor de autenticación, encriptación de datos, gestor de contraseñas, filosofía Zero Trust, limitación de accesos, etcétera. “Pero de nada sirve toda esta tecnología si no hay una formación o concienciación previa del usuario. Con la movilidad y el teletrabajo, el entorno laboral y personal de los empleados está cada vez más fusionado, y esto aumenta el riesgo”.
Para los profesionales, lo principal es hacer entender al usuario que los datos de la empresa no le son ajenos, que él, de forma directa, también puede sufrir las consecuencias del robo de datos de su organización. “La gente es mucho más responsable con sus datos personales que con los profesionales”, comentaron los asistentes.
Sin embargo, hubo voces disidentes en cuanto a hacer al empleado “el máximo responsable” de la seguridad de la empresa. “El empleado no es un experto en seguridad, él desarrolla su actividad y hay que quitarle presión y dejar de ponerle trampas para que caiga. En primera línea de defensa debe estar el CISO y su equipo y la Dirección, y estos tienen que ponerles las cosas fáciles a los usuarios”. Esta visión de “no atosigar al empleado con pruebas y formaciones” parece chocar con la idea de una seguridad transversal a todos los departamentos de la empresa recogida en el término DevSecOps (Desarrollo, Seguridad y Operaciones).
Índice de temas
Saber comunicar la importancia de la seguridad
En mayor o menor medida, la seguridad “es cosa de todos” -factor humano, tecnología e inversión deben estar contemplados-, y si falla un eslabón de la cadena se puede convertir en el principal vector de ataque. “Pero para concienciar a las personas y crear una cultura de la seguridad es vital abstraerse del lenguaje técnico y explicar las cosas de forma más simple, para que el usuario entienda qué se le pide y por qué es importante lo que se le pide”. Sin embargo, muchas empresas -sean estas pequeñas o de gran tamaño- tienden trampas, para impactar directamente en las emociones de los empleados. Una forma “poco sutil pero efectiva de concienciar”.
El empleado no es un experto en seguridad, él desarrolla su actividad y hay que quitarle presión y dejar de ponerle trampas para que caiga
Un ejemplo de este tipo de “trampas” lo puso uno de los asistentes, que contó su experiencia cuando distribuyeron, apoyados por la Dirección de su compañía, un ransomware benigno entre los sistemas de sus empleados un viernes a las 14:00 horas. “A los empleados les saltó un vídeo pidiendo un rescate por los datos, supuestamente, robados. Todos se llevaron un buen susto, pero desde entonces, son ellos los que acuden a nosotros -al área de Seguridad-, para tomar medidas para protegerse, y no al revés”. Otro experto contó que, en su caso, distribuyeron un ataque conocido como “de fraude del CEO”, por el que pedían a los usuarios su cuenta bancaria. “Estos métodos son más comunes de lo que parece”.
Aunque los expertos confesaron que la mejor forma de concienciar es sufrir un ataque real. “Muchas veces, la Dirección piensa: ‘eso no me va a pasar a mí’, ‘a mí no me va a tocar’, hasta que te toca”.
Recuperarse de un ataque como parte de la estrategia
Se habla mucho de cómo protegerte ante un ataque, pero ¿qué sucede cuando el ataque ya se ha perpetrado? Dado que el encuentro partió con la máxima de que la seguridad perfecta no existe, la capacidad de recuperación de un ataque tiene tanta o más importancia que la capacidad de prevención.
Los expertos dudaron de que “actualmente exista alguna empresa que no tenga un recovery plan”. En este sentido, muchas de ellas han fortalecido sus backups, o copias de seguridad, y sus sistemas SIEM, lo que ha permitido a algunas víctimas de ataques de ransomware recuperar “el 90% de nuestros sistemas en 21 días tras ser atacados”, según el testimonio de uno de los expertos.
Sin embargo, lo más difícil no es recuperarse de un phishing, de un ataque DDoS (ataque distribuido o de denegación de servicio), o de otra naturaleza; lo más difícil es detectar ataques silenciosos. “Los ataques solo hacen ruido cuando encriptan la información, pero muchos se cuelan, la roban y la venden y la compañía ni se entera”. Para la preparación ante los ataques más sibilinos, muchas entidades cuentan con el asesoramiento de terceros, están aplicando tecnologías como la inteligencia artificial, realizan auditorías cada cierto tiempo e incluso contratan ciberseguros -“cada vez más caros según aumenta la complejidad y el riesgo”-. “Queremos poder trazar un plan de aquí a cinco años que nos permita anticipar cuáles van a ser los próximos peligros y en qué ámbitos hay que invertir más”, dijeron.
Intentar ponerle puertas al campo
Cuando hablamos de seguridad, el debate nube frente a on premise siempre es algo que sale a relucir. “Obviamente, los proveedores de nube son expertos en alojar, gestionar y proteger los datos, pero la responsabilidad de mantenerlos seguros es compartida con la empresa contratante de sus servicios. Si un usuario comete un error y se carga un entorno, y no ha contratado una copia de seguridad, ya no hay forma de recuperarlo”.
Riesgo cero -o lo más cercano a cero-, supone coste infinito
La seguridad es un ámbito tan genérico que parece imposible abarcarlo todo. “Riesgo cero -o lo más cercano a cero-, supone coste infinito. Por eso, segmentar los entornos y los accesos se convierte en un buen método para no intentar matar moscas a cañonazos”. En este sentido, la figura del administrador es “esencial, ya que solo él puede otorgar permisos y recuperar contraseñas. Ni siquiera la Dirección debe tener acceso a todo”.
La única forma de eliminar un riesgo es eliminar el activo que es objetivo de la potencial amenaza
Tan amplio es el mundo de la seguridad como amplio es el entorno de exposición. “Cuando trabajas con dispositivos IoT, por ejemplo, en una fábrica, no solo tienes que aplicar tú mismo la seguridad, sino que tienes que confiar en que el fabricante de los dispositivos la haya aplicado correctamente. Se puede tumbar la red eléctrica de un país hackeando un contador de energía inteligente”. Pusieron el ejemplo de un casino de Las Vegas que fue atacado a través de su pecera inteligente, que tenía automatizada la alimentación de los peces. “En la era de las cosas conectadas, ningún flanco está a salvo”.
Que una organización no esté adecuadamente protegida tiene consecuencias como crisis reputacionales o de confianza y, también, económicas. Y estas consecuencias económicas no vienen solo por parte de los ciberdelincuentes o de la posible pérdida de clientes: la normativa se ha endurecido mucho para aumentar las multas de las compañías que no cumplan ciertos estándares de seguridad. “Si atacan a tu empresa, y además de robarte los datos, GDPR te pone una multa, te hacen un doble roto”. Es mejor prevenir que curar.
Yobany Barbosa, Service Manager de Wise Security Global
“Los ciberdelincuentes forman organizaciones estructuradas y con mucha financiación”
Con la transformación digital hemos pasado de una evolución tecnológica a una auténtica revolución. Este cambio ha facilitado nuestro día a día, pero también ha traído consigo algunas dificultades, como la institucionalización de la ciberdelincuencia. Los ciberdelincuentes ya no son individuos aislados que operan de forma independiente, sino organizaciones preparadas y estructuradas, que cuentan con mucha financiación y muchas herramientas a su disposición, lo que hace que protegernos de ellas sea un gran reto.
Para ayudar a las empresas en este desafío, Wise Security Global pone a su disposición distintas soluciones y servicios que van desde el ámbito personal, como nuestra solución Haunt Keeper, que es un dispositivo de securización de red; al ámbito profesional, donde contamos con una amplia gama de herramientas. Entre estas últimas se encuentran las que permiten realizar una investigación en la Red, incluida la Deep Web, para ver si existe exposición de credenciales o contraseñas de nuestros clientes; soluciones EDR, de múltiple factor de autenticación, de correlación de eventos a través de SIEM, de cifrado de dispositivos y de gestión de identidades y accesos descentralizados aplicando tecnología blockchain. Gracias a estas soluciones, las compañías pueden lograr sus objetivos estratégicos con un valor agregado.
Ignacio Liniers, Account Manager de Commvault
“Hemos hecho una gran inversión para reducir la brecha entre ti y seguridad”
En Commvault llevamos 26 años protegiendo la información de nuestros clientes. En los últimos cuatro años hemos realizado una gran inversión en reducir la brecha que siempre ha existido entre TI y Seguridad, desarrollando una amplia gama de soluciones y funcionalidades y que se dividen en dos grupos: el primero, orientado a la defensa antes los ciberataques; y el segundo, a las acciones que debemos llevar a cabo después de un ciberataque.
En el primer grupo contamos con la solución Threat Wise, nuestra herramienta de ciber-engaño, que consiste en desplegar una serie de señuelos en el entorno del cliente para detectar de manera temprana la intrusión de una ciberamenaza para expulsarla del entorno o aislarla.
En el segundo grupo tenemos Risk Analysis que, aplicando ML e IA a la plataforma de Commvault, permite identificar información crítica, marcándola y evitando posibles filtraciones. También figuran: Security IQ, que se trata de un panel específico dentro de nuestro cloud command en el que se puede comprobar rápidamente el estado de las copias de seguridad y su capacidad de recuperación; Threat Scan, que detecta datos maliciosos o sospechosos de serlo para ponerlos en cuarentena; y Autorecovery, con el que se pueden recuperar cargas de datos masivas de forma ágil y automatizada. Estas herramientas están integradas con otras soluciones del mercado como Sentinel, el SIEM de Microsoft; CyberArk, para la gestión de identidades; y la suite de Palo Alto.