La ciberseguridad cobra cada vez más importancia en un mundo hiperconectado. Por primera vez en la historia, la práctica totalidad de las empresas, independientemente de su tamaño y del sector al que pertenezcan ponen a la seguridad entre sus prioridades.
Hay algo que ha cambiado. El año 2017 y los ataques sufridos por grandes empresas y Administraciones Públicas hicieron saltar las alarmas a todos. Se pasó del “eso a mi no me pasa” a una psicosis por asegurar cualquier cosa. Así que, algo bueno ha tenido Ransomware. Lo que no ha logrado la formación, lo ha conseguido un malware. No hay mal que por bien no venga que dice el refrán y en este caso es más cierto que nunca.
Los retos que se tienen por delante son numerosos. Para Miguel López, Country Manager de Barracuda, “el primero y más importante es, probablemente, concienciar a usuarios, directivos, y gobiernos de que la Seguridad de los activos informáticos es, actualmente, el punto más débil de prácticamente todas nuestras estructuras productivas y de servicios. A medida que nuestra sociedad es cada día más dependiente de la conexión e intercambio de datos entre usuarios, dispositivos y máquinas los ataques contra cualquier elemento conectado serán cada vez más dañinos y con mayor potencial de causar graves perjuicios tanto desde el punto de vista económico como desde la perspectiva de la seguridad de las personas e infraestructuras. Existe actualmente un grave desfase entre el daño potencial que representa un ataque y los recursos que se invierten en defenderse del mismo y eso es algo que la industria del cibercrimen conoce bien y explota cada día”.
Los avances tecnológicos están revolucionando la forma en la que trabajamos y vivimos. Sin embargo, este adelanto va acompañado de un aumento de las ciberamenazas. Los ataques tendrán un amplio alcance y el cibercrimen continuará profesionalizándose, pues cada vez está más organizado. De hecho, los ciberdelincuentes se asocian para conseguir el máximo beneficio con cada uno de sus ataques. Por eso, Alfonso Ramírez, director general de Kaspersky cree que “se hace necesario proteger la infraestructura corporativa ya que cualquier empresa puede ser víctima de un ataque. Para ello, es necesario contar con una solución de seguridad fuerte y robusta, capaz de predecir, detectar, prevenir y dar respuestas a las amenazas. El cibercrimen nunca duerme. De hecho, según investigaciones de Kaspersky Lab, en 2016 el 32% de las empresas españolas reconoció ser víctima de una ciberamenaza. Por ello, es importante que las empresas, independientemente de su tamaño, cuenten con una buena solución de ciberseguridad para evitar ser alcanzados por las actividades delictivas de los grupos cibercriminales”.
Como decíamos, el año 2017 fue extremadamente convulso en materia de seguridad, en 2018 nos enfrentamos a varios retos. Los nuevos vectores de ataque van creciendo paulatinamente estos años. El número de incidentes de seguridad va creciendo año tras año de forma alarmante. En este sentido, podemos asegurar que las amenazas en materia de seguridad afectan ya, tanto a particulares como a pymes y grandes empresas.
Para Alejandro Cadarso, Business Development for Wireless & IT Security Solutions en EinzelNet, “Hay que prestar especial atención también a nuevas fórmulas de ataque dirigidas a los dispositivos móviles, especialmente Android, y destinadas a rootear el dispositivo de forma que sea casi imposible combatirlo desde un antivirus, a no ser que esté instalado de serie. De igual modo, a los ataques a través de técnicas de rootkit, que permiten a los hackers ocultarse de la vista del sistema operativo y de las soluciones de seguridad. Por otro lado, tanto Internet de las Cosas como el pago por móvil, con cada vez más dispositivos conectados a Internet ofrecen brechas de seguridad que son y van a ser continuamente atacadas”.
Otros retos se van a encontrar en las plataformas de pago en el móvil y los sistemas de cobro son objetivo prioritario de los ciberdelincuentes. En este sentido, es conveniente estar atentos al cumplimiento y certificación que deben cumplir grandes y medianas empresas para cubrir su riesgo.
“El reto para muchas empresas, independientemente de su tamaño, es blindarse ante las amenazas que pueden dañar seriamente su imagen y sus finanzas. En este sentido, el objetivo de muchos ataques será acceder a la información confidencial de la compañía (datos financieros, planes estratégicos, etc.), así como a datos de sus clientes. Será importante contar con una buena consultoría en el cumplimiento de la nueva normativa europea en GDPR”, concluye Cadarso.
Las ciberamenazas son múltiples y cada vez crecen más. En este sentido, José de la Cruz, director técnico de Trend Micro, asegura que “por ello, es necesario controlar todos los posibles vectores de entrada de amenazas. Hoy en día el perímetro se ha difuminado y nos encontramos con que los usuarios interactúan desde dentro y fuera de las redes corporativas y pueden almacenar e intercambiar información con sistemas alojados fuera o dentro de las mismas. Esto requiere implementar sistemas de protección flexibles y que sean capaces de cubrir todos esos vectores”.
Riesgos
Sin embargo, muchas veces las empresas, sobre todo las pequeñas y medianas están asumiendo riesgos innecesarios, aunque de forma inconsciente. Para Alf Melin, Security Operations Centre Manager de Getronics, “es muy raro que las empresas tomen riesgos innecesarios. Normalmente, cuando se asumen riesgos, estos son sopesados para que en el cómputo de beneficio/perjuicio el resultado sea positivo. Hoy en día parece imprescindible para una empresa el hecho de estar conectada a Internet (pedidos, publicidad, incidencias, …), con lo que no es factible huir de la red para evitar el peligro. Lo mismo es aplicable a la infraestructura de cada empresa: el mundo on-line aumenta el vector de exposición de los componentes de la infraestructura corporativa. Pero esta exposición debe asumirse debido a que la apertura a Internet cambia el paradigma de ciertas tareas que no sería posible realizar de otra manera o sería mucho más ineficiente repercutiendo en el beneficio”. No están muy de acuerdo en CA Technologies. Jacinto Grijalba, Security Solution Account Manager, cree que el problema radica en la versión clásica que se tiene en muchas empresas de la seguridad: “esta visión clásica de la seguridad se ha demostrado obsoleta y de alto riesgo si pensamos en el alcance masivo de los ataques de los últimos años, que han conseguido de forma ilícita millones de datos de usuarios en todo el mundo. Muchos de estos ataques han sido perpetrados con credenciales de acceso de usuarios reales obtenidas de forma fraudulenta mediante robo o ataque de fuerza bruta al ser demasiado débiles. El nuevo perímetro de seguridad es la identidad y la forma de gobernar su acceso a los datos de una organización. Las identidades y sus accesos deben poder gestionarse en cualquier tipo de entorno, sea cual sea los sistemas de información que se utilicen y sin importar si ésta reside en el perímetro de la organización o fuera de ella, como sería el caso de aplicaciones ofrecidas en la nube”. Lo mismo opina Alberto Rodas Sales Engineer de Sophos: “los riesgos que corren las empresas es la creencia de que con su solución de seguridad tradicional es suficiente. Lamentablemente, nos encontramos con este escenario más veces de las deseadas y no es hasta que tienen un incidente grave de seguridad, que en verdad se dan cuenta de lo desprotegidos que estaban, por desgracia, ya tarde”. Finalmente, Manuel Cubero, Director Técnico de Exclusive Networks asegura que “ninguna empresa quiere tomar riesgos innecesarios, nadie busca meterse en problemas de forma gratuita. En cambio, la velocidad que el negocio obliga a imprimir en la evolución tecnológica de las compañías hace que sea más probable caer en riesgos innecesarios. Como ejemplos, hablar de trabajar con aplicaciones en la nube sin evaluar bien a fondo sus implicaciones y cómo integrarlas adecuadamente en materia de seguridad. También la implementación de dispositivos IoT que manejan y que suben datos a la nube sin un estudio previo de las implicaciones que pueden llevar a cabo, sin olvidar las colaboraciones de última hora con empresas de terceros en las cuales se cedan datos, que ahora estarán más fuertemente regulados por la ley de GDPR, sin una buena gestión de los riesgos”.
Nuevas técnicas
Ante los nuevos retos de la ciberseguridad y los nuevos desafíos aparecen nuevas formas de defensa. Una de las técnicas que están empezando a tomar impulso son la inteligencia artificial y machine learning. Ésta última, además está teniendo especial incidencia entre todos los fabricantes y desarrolladores de soluciones de seguridad que ven en ella una técnica efectiva para anticiparse a nuevos ataques. Desde hace ya algún tiempo esta nueva tecnología se está usando en diversos productos de seguridad y está facilitando la evolución y eficiencia de los mismos. Prácticamente, todos los productos de seguridad más punteros basan parte de sus análisis en motores de Machine Learning o se apoyan en estas técnicas para complementar lo que ya tenían. En este sentido, Borja Pérez, country manager de Stormshield afirma que “machine learning es una capa más de seguridad. Ayuda, y lo hará más en un futuro cuando se comparta más información entre distintos actores en el mundo de seguridad. Ahora bien, hay entornos no conectados donde machine learning no ayuda tanto. En infraestructuras críticas o industria, debemos ofrecer soluciones que sean capaces de actuar sin depender de inteligencia externa”.
Desde la multinacional germana G Data creen que Machine Learning es una técnica muy interesante. En esta firma afirman que las empresas de ciberseguridad nos apoyamos en innovaciones para mejorar nuestras soluciones y adaptarlas a las nuevas amenazas. Pero no podemos perder la perspectiva ni dejar de ver la realidad cotidiana que viven nuestras empresas y que nos dice que muchas de ellas se convierten en víctimas por hacer doble clic en un correo electrónico malicioso y porque todos los empleados, desde el recepcionista hasta el director general, son usuarios con los mismos privilegios y los mismos derechos de administración. Lo cierto es que Machine Learning se está incorporando cada vez a un mayor número de soluciones y es que tal y como afirma Manuel Cubero de Exclusive Networks, “Desde hace ya algún tiempo esta nueva tecnología se está usando en diversos productos de seguridad y está facilitando la evolución y eficiencia de los mismos. Prácticamente, todos los productos de seguridad más punteros basan parte de sus análisis en motores de Machine Learning o se apoyan en estas técnicas para complementar lo que ya tenían”.
Para afrontar los retos de la ciberseguridad el CISO debería jugar un papel vital en cualquier empresa
No obstante, no hay que centrarse en el Machine Learning como una solución única para resolver los problemas de seguridad. Tal y como afirma el Miguel López de Barracuda, “es un termino de moda del que probablemente se está abusando en muchos departamentos de marketing. No obstante, es cierto que todos los fabricantes punteros de soluciones de seguridad venimos haciendo uso, desde hace tiempo, de este tipo de tecnologías en diversos modos con el objeto de mejorar nuestro nivel de respuesta frente a los cada vez más sofisticados ataques. Machine Learning nos permite, por ejemplo, hacer frente a nuevos ataques e identificar nuevos tipos de malware basándonos únicamente en su comportamiento y sin necesidad de tener que recurrir en todos los casos a tecnologías de análisis en profundidad y “sandboxing”. Todo ello redunda en una gran mejora de la fiabilidad y velocidad en la de detección de nuevas amenazas. El problema aquí es que éste es un arma de doble filo y empezamos a ver tentativas de usar este tipo de tecnologías también por parte de los cibercriminales, lo cuál es ciertamente preocupante por el alcance que puede llegar a tener”.
El papel del CISO en los retos de la ciberseguridad
El responsable de seguridad de una empresa adquiere cada vez un papel más importante dentro de la estrategia de la compañía. De hecho, es un cargo que no era importante hasta hace unos pocos años. Josep Albors, responsable de investigación y concienciación de ESET asegura que “a día de hoy el CISO debería jugar un papel vital en cualquier empresa de un tamaño respetable ya que es la persona encargada de diseñar y aplicar los esquemas de seguridad que van a proteger activos muy importantes. Sin embargo, demasiadas veces se encuentran incapaces de acometer esta tarea por restricciones que les impiden contar con los recursos necesarios. Por eso es importante que se sepa trasladar la importancia de invertir (que no gastar) en seguridad a los altos directivos, para evitar tener que lamentarse ante un ataque dirigido a la empresa que tenga éxito”.
El CISO además de velar por la seguridad de su compañía, tiene que reportar directamente al consejo de administración. El problema que nos encontramos en algunas compañías es que el CIO ejerce el papel de CISO. Este es un verdadero problema ya que adicionalmente en muchos casos también adoptará el papel de DPO o DPD. Como asegura el portavoz de EinzelNet, “el enfoque o estrategia en materia de seguridad de una empresa se ha convertido ya en una de las principales tareas a definir; liderar desde el Top Management de la compañía: es el elemento fundamental para acometer nuevos enfoques y cambios. El CEO tiene ya que ponerse al frente de la ciberseguridad de su empresa y trasladar a todos las decisiones y estrategias adoptadas. Por supuesto, el CISO seguirá jugando un papel fundamental, pero todos los actores (con el Comité de Dirección al frente) deben cambiar su rol y asumir el principio del principio de “Accountability” o “Responsabilidad Proactiva” que viene regulado en la GDPR”. Para Miguel López, “el papel del CISO es un rol extraordinariamente complejo ya que debe definir y ejecutar la estrategia de ciberseguridad de la empresa… la cuál afecta a todos los departamentos de la misma y será percibida en muchas ocasiones como un impedimento al funcionamiento “normal” hasta la fecha de cada área y recurso. El gran reto del CISO (entre otros) es, probablemente, ser capaz de sumar a todos los diferentes líderes de la empresa a la estrategia de seguridad e integrar de forma efectiva y funcional dicha estrategia con el funcionamiento correcto y eficiente de cada departamento. El otro gran reto (ya mencionado) es el de conseguir los recursos económicos necesarios para ejecutar dicha estrategia”. Finalmente el director general de Kasperrsky afirma que “Los CISOs, además de implementar una estrategia de ciberseguridad y de conseguir un presupuesto para ello, tienen que encargarse de establecer una cultura corporativa en relación con la seguridad. Desde el administrativo al director general. Cualquier trabajador de la compañía debe conocer cuál es la conducta adecuada para protegerse de las ciberamenazas, y ahí es donde el CISO debe intervenir: formando y concienciando a los empleados en materia de ciberseguridad”.
Normas a adoptar
Los ataques como tal son un riesgo que no se puede prevenir. Se suele se mitigar poniendo controles para minimizar el impacto de dichos ataques. Desde Getronics dan una serie de pautas para que las medidas de seguridad seab efectivas y el negocio no se vea afectado:
Un punto único de entrada y salida de la información corporativa que cumpla con los patrones establecidos de tráfico de red necesarios.
La oportuna protección de cada dispositivo (ordenadores de usuario, servidores, dispositivos de red…) y mantenimiento del servicio mediante antivirus, actualizaciones de sistema operativo, programas (navegadores, Flash, Java…), balanceadores de carga, restricción de los permisos de usuario únicamente a los que necesita para su trabajo,
Restricción de unidades de disco extraíbles a la mínima expresión
Desde EinzelNet afirman que “lo principal es poner barreras pero con una estrategia de seguridad efectiva, ya que el exceso de medidas de seguridad puede afectar a la productividad y, por ende, al rendimiento económico del negocio. Nosotros abogamos por soluciones de seguridad multicapa, con herramientas de protección que permitan asegurar la infraestructura TI de forma ubicua, desde el endpoint hasta la Red y el Centro de Datos para reducir el tiempo de detección y reacción, proporcionando así una protección escalable frente a un mayor abanico de vectores y durante todas las etapas de los ataques”. No obstante, esto no quiere decir que la empresa no vaya a sufrir un incidente de seguridad. Recordemos que también tenemos que protegernos desde el interior que es donde principalmente tenemos fuga de datos. Por lo tanto, por este orden aconsejaríamos: protegerte, detectar, mitigar y recuperar.
Retos de la ciberseguridad: El usuario como el eslabón débil
Pero el mayor riesgo de todos viene por parte del usuario. La mayoría de los ataques vienen porque el usuario se confía. Desde Fortinet, José Luis Laguna, su responsable técnico, afirma que “las personas seguimos siendo el eslabón más débil de la cadena, en muchas ocasiones por el desconocimiento generalizado sobre ciberseguridad, los peligros que entraña y las graves consecuencias que puede acarrear al negocio. La concienciación sigue siendo prioritaria para tratar de evitar, en la medida de lo posible, que se produzcan brechas de seguridad provocadas por el personal de la compañía. Al margen de ello no todos los problemas de seguridad se producen por desconocimiento de los usuarios y por este motivo es también imprescindible contar con soluciones de seguridad que ofrezcan una protección adaptada al contexto actual, donde el perímetro de la red se ha extendido con el uso de tecnologías como Cloud e IoT, pero además, que estas soluciones faciliten la gestión, ofrezcan visibilidad de los eventos de la red y permitan identificar y eliminar el malware antes de que se extienda por toda la red. En definitiva, se requiere más inversión a nivel económico y humano para hacer frente a los retos que plantea el actual panorama de amenazas”.
Entre los retos de la ciberseguridad, la necesidad de implementar medidas dirigidas al personal es cada vez más evidente
Según el informe de Kaspersky Lab y B2B International “El factor humano en la seguridad TI: los empleados hacen vulnerables a las empresas”, el 46% de las empresas españolas admiten que sus empleados son su principal debilidad en la seguridad TI. De hecho, los empleados suelen ocultar los incidentes de seguridad en el 40% de las empresas españolas.
Empleados poco cuidadosos o desinformados son una de las principales causas tras de los incidentes de ciberseguridad. Mientras que el malware es cada vez más sofisticado, la realidad es que el factor humano puede suponer un peligro cada vez mayor.
En concreto, los empleados descuidados son una de las principales brechas dentro de la ciberseguridad corporativa en lo referente a ataques dirigidos. Mientras que los cibercriminales más expertos pueden utilizar un malware hecho a medida y unas técnicas de alta tecnología, al final suelen aprovechar el punto de acceso más sencillo: la naturaleza humana.
Los cibercriminales suelen utilizar a los empleados como punto de acceso a la infraestructura corporativa. Correos phishing, contraseñas débiles, llamadas falsas de soporte técnico… Incluso un USB perdido u olvidado, puede llegar a comprometer a toda la empresa.
Por todo ello, la necesidad de implementar medidas dirigidas al personal es cada vez más evidente: el 22% de las empresas en nuestro país están analizando cómo mejorar la seguridad mediante la formación, haciendo que este sea el tercer método de ciberdefensa más popular, después de la implementación de un software más sofisticado (40%) y la incorporación de más personal de seguridad TI (31,6%)
La mejor manera de proteger a las organizaciones frente a las ciberamenazas relacionadas con las personas es combinar las herramientas adecuadas con las prácticas adecuadas. Se debe incluir también a RRHH y a la alta dirección para motivar y animar a los empleados a que sean diligentes y soliciten ayuda en el caso de incidentes. La formación sobre seguridad a los empleados, aportando unas claras instrucciones en lugar de unos documentos voluminosos, la construcción de habilidades y la motivación junto con la creación de la atmósfera adecuada, son los primeros pasos que toda organización debe tomar. Samuel Najar, Inside Sales para Europa del Sur e Israel de Netskope, asegura que “El usuario puede estar entrenado. Sin embargo, está demostrado que es mucho más eficiente implantar medidas que permitan reducir el riesgo mientras se realiza un “coaching” sobre el usuario en el momento de realizar las acciones no deseadas, ya que esta en contexto”. Finalmente, el portavoz de Trend Micro considera que “El usuario es el último eslabón en la cadena que representa la estrategia de ciberseguridad de una compañía. La formación/concienciación juegan un papel importante, pero, obviamente, no podemos basar nuestra estrategia de ciberdefensa en ella. En este sentido el endpoint, dispositivo donde el usuario interactúa con otros sistemas y redes, cobra una gran importancia y debe ser protegido frente a la diversidad de amenazas existentes implementando mecanismos que proporcionen seguridad sin impactar en el rendimiento del mismo”.
