En nuestro país, las organizaciones destinan apenas un 2% de su presupuesto hacia tecnologías relacionadas con la seguridad de la información, según estimaciones de IDC. Esto ocurre, a pesar de que entre el 40 y 45% de las empresas han sufrido un ciberataque, de acuerdo con un estudio de Cisco.

Asimismo, datos de la consultora internacional Ernst & Young afirman que en México únicamente el 19% de las empresas cuentan con programas de seguridad informática, lo cual contrasta con el 40% del promedio global.

¿A qué se debe tan bajo porcentaje de presupuesto para incrementar medidas de seguridad TI? “Es muy bajo porque las empresas normalmente mantienen las decisiones de inversión en materia de seguridad hasta el final de sus proyectos, y no como algo que debe ser incluido desde el inicio”, explicó en entrevista Arturo Barquín, Director de Ventas Seguridad para América Latina de Cisco.

Dijo que esta práctica es común incluso en países con mayores niveles de concientización, por lo que señaló que es necesario cambiar la idea de que la seguridad depende sólo de un dispositivo tipo firewall, IPS o una aplicación. “La estrategia de seguridad debe ser un entorno integrado, donde la capacidad de reacción frente a una amenaza o la capacidad de protección requieren estar unificadas en todo el entorno, independientemente de cuáles sean sus dispositivos o componentes”.

Aseguró que el 90% de las veces resulta más económico integrar una seguridad que ha estado desde los inicios de un proyecto, que cuando éste ya tiene un grado de avance.

Bajo nivel de preparación ante ciberamenazas

Sin embargo, la mayoría de las organizaciones en México no están preparadas para enfrentar las nuevas formas más sofisticadas de ataque. Esto es preocupante, ya que factores como una infraestructura frágil, la falta de mantenimiento en las redes y la lentitud en los rangos de tiempo de detección, están dándole una ventana de tiempo y espacio a los adversarios para que operen.

Así lo advierte el Índice Mundial de Ciberseguridad y Perfiles de Ciberbienestar 2015, elaborado por la Unión Internacional de Telecomunicaciones (UIT), al señalar que nuestro país cuenta con un bajo nivel de preparación ante ciberamenazas. Este reporte evalúa la respuesta general de más de 100 países ante la inseguridad cibernética, utilizando una escala de evaluación entre 0 y 100 puntos. De este modo, cada país cuenta con una calificación que puede repetirse, y México ocupa el puesto 18, a la par de Perú, Vietnam y Burkina Faso.

Según esta clasificación de la UIT, las principales fortalezas de México se encuentran en las medidas técnicas, mientras que su principal debilidad son las orgánicas. “Esto indica que se cuenta con algunas instituciones y marcos técnicos de ciberseguridad, incluyendo equipos contra incidentes cibernéticos, pero no se cuenta con una planificación y estructuras orgánicas que promuevan la implementación de medidas de este tipo de seguridad entre distintos sectores e instituciones”, afirman Daniel Kapellmann y Benjamín Reyes, analistas de la firma The Competitive Intelligence Unit.

En un artículo compartido con CIO México, señalan que nuestro país registra bajos niveles en materia de marcos legales e instituciones encargados de tratar la seguridad en línea, así como en programas de capacitación, certificación, desarrollo de profesionales y certificación de organizaciones de carácter público en esta materia. “Este patrón se refleja nuevamente en una falta de mayor desarrollo en materia de marcos para cooperación nacional e internacional y redes de divulgación de información”.

¿Hacia dónde destinar las inversiones?

Ramón Salas, Director Regional para México y Centroamérica de Forcepoint, consideró que esa cifra de inversión del 2% que se destina a ese rubro en nuestro país debería incrementarse como mínimo al 5 o 5% del presupuesto, dependiendo de la protección que cada organización requiera. “En lo que respecta a pérdida de datos o fuga de información, la mayoría de los ataques provienen del interior de la organización. Muchas de ellas tienen la parte perimetral relativamente cubierta, pero muy pocas han visto la necesidad de protegerse de las amenazas internas. Ahí es donde existe un brecha considerable”.

Salas distinguió cuatro zonas de inversión hacia donde se destinan los mayores recursos en seguridad de la información: la defensa perimetral (con un 86% del total de las inversiones), la identificación de lo que está sucediendo (un 8%), las herramientas para decidir las acciones adecuadas, y las soluciones que permiten volver al estado inicial lo más rápido posible, una vez que se ha eliminado la amenaza.

El directivo de Forcepoint agregó que la seguridad no depende sólo del departamento de Sistemas o TI, sino que en la estrategia deben participar todas las áreas del negocio y la dirección general para que expongan sus necesidades e influyan de alguna manera en las decisiones que se tomen.

Por su parte, Arturo Barquín, de Cisco, dijo que tanto las transacciones de comercio electrónico en México como la capacidad de protección de los usuarios finales se han vuelto un target de mayor potencial para los hackers y por lo tanto constituyen un desafío para que las organizaciones protejan esa capa de transaccionalidad y pongan un elemento de seguridad ahí.

De hecho en este 2016, ransomware se ha vuelto el malware más rentable de la historia. Estimaciones de Cisco prevén que esta tendencia continuará con ataques de ransomware aún más destructivos que podrían expandirse y mantenerse en redes completas y por convertir a compañías enteras en rehenes. La nueva cepa de ransomware tendrá la capacidad de cambiar rápidamente de tácticas para maximizar su eficiencia. Los futuros ataques de ransomware, por ejemplo, evitarán la detección al limitar el uso del CPU y limitar los comandos de acción y control. Estos nuevos tipos de ransomware se esparcirán más rápidamente y tendrán la capacidad de auto replicarse dentro de las organizaciones antes de iniciar o coordinar actividades de rescate.

Ante los desafíos, una estrategia efectiva

En medio de este panorama, un estudio realizado en México y otros 11 países por la organización no lucrativa CompTIA encontró que 79% de las compañías consultadas esperan que la ciberseguridad se convierta en una “prioridad mayor” en los próximos dos años. El motivo de esto es que casi tres de cada cuatro organizaciones han tenido por lo menos una violación o incidente de ciberseguridad durante el último año, y el 60% de tales violaciones fueron calificadas como “serias”.

Asimismo, en el Reporte de Ciberseguridad de Cisco de Medio Año 2016 se expone que la lucha por mantener los espacios operativos libres de ataques constituye el desafío más grande que están enfrentando los negocios, amenazando a su vez los fundamentos requeridos para una transformación digital.

Otros hallazgos clave del reporte indican que los adversarios están expandiendo su enfoque hacia ataques paralelos a los servidores (server-side attacks), involucrando nuevos métodos en sus ataques e incrementando el uso de encriptación para ocultar su actividad.

“Uno de los factores que ha estimulado el crecimiento la actividad de los hackers es que esa complejidad en un elemento de seguridad le da a una organización un tiempo de respuesta más largo de lo que el hacker puede modificar su código para evadir las nuevas tecnologías de seguridad”, explicó Barquín. “Si no podemos poner un elemento de seguridad que funcione simple, integrado y de respuesta rápida, vamos a estar perdiendo esa carrera con el hacker, y éste podrá hacer más transacciones, más desarrollos para moverse dentro de los esquemas de vulnerabilidad a los cuales tiene acceso”.

Aseveró que una estrategia efectiva debe tener sistemas que puedan comunicarse de manera simple, provean visibilidad en cuatro capas (la red como elemento de visibilidad, seguridad perimetral, control de seguridad de la operación interna y con los clientes, y el enlace de Internet con los usuarios móviles), para que de esta manera se pueda poner un control inmediato, independientemente del detalle de cómo deba hacerse en cada elemento de seguridad.

 Recuadro 1

 Pasos simples para proteger los ambientes
de negocio

Los investigadores de Cisco Talos han observado que las organizaciones que toman algunos simples, pero significativos pasos, pueden mejorar en gran medida la seguridad de sus operaciones. Estos incluyen:

• Mejorar el mantenimiento de la infraestructura de la red, mediante el monitoreo de la misma; desplegar los parches y actualizaciones a tiempo; segmentar la red; implementar defensas en los límites de la red, que incluya el email y seguridad web, los Firewalls de Next- Generation y los Next-Generation IPS.
• Integrar las defensas mediante un acercamiento de seguridad desde la infraestructura vs. el despliegue de los productos de nicho. 
• Medir el tiempo de detección, insistir en los tiempos más rápidos disponibles para exponer las amenazas y abordarlas inmediatamente. Hacer a las métricas parte de la política organizacional de seguridad para promover el desarrollo.
• Proteger a los usuarios donde quiera que estén y donde trabajen, y no sólo los sistemas con los que interactúan o en los tiempos en los que están utilizando la red corporativa.
• Hacer respaldo de datos críticos y de manera rutinaria; evaluar la efectividad y al mismo tiempo confirmar que los respaldos no estén susceptibles a ser comprometidos.

José Luis Becerra, CIO México