Muchas empresas han sido afectadas por la “nueva normalidad” que ha traído el COVID-19 y se han visto obligados a robustecer sus capacidades y servicios digitales para obtener la mejor operatividad posible. En consecuencia, los CIO y CISO enfrentan hoy el desafío de elevar su postura de seguridad y proteger mejor que nunca a los usuarios y a la información que tienen bajo su resguardo.
Para analizar este escenario, CIO México, en colaboración con la empresa Thales, realizó el seminario virtual “Ransomware, brechas de datos y los desafíos de seguridad en la transformación digital” con la participación en línea de CISOs, CSOs y CIOs. En este evento se presentaron algunos de los principales hallazgos de un estudio realizado este año por IDC, con el patrocinio de Thales, en el cual se entrevistaron a 100 tomadores de decisiones en México, y se dio a conocer un caso práctico de seguridad TI para ecosistema híbrido realizado en una dependencia del gobierno federal.
En la ponencia inicial, Roberto González, Gerente Regional de Ventas para Thales México, dijo que entre los datos reportados por el estudio destaca que el 18% de las organizaciones mexicanas tuvieron brechas de seguridad en 2019, y el 55% de las organizaciones consultadas la han tenido en algún momento de su existencia.
Otro dato sobresaliente es que de toda la información subida a la nube por parte de las empresas que contratan dicho servicio, el 52% de esa data es confidencial. Además, el 59% de las empresas mexicanas consultadas señalaron que contratan a dos o más proveedores de servicios en la nube (el estudio destaca el interés de las organizaciones por Microsoft Azure y Amazon Web Services).
Asimismo, el 57% de las compañías participantes en el estudio tiene contratados a 11 o más proveedores de software como servicio (Saas), y el 83% de éstas trabajan con dos o más proveedores de infraestructura como servicio (IaaS).
Cómo plantear una estrategia de seguridad ante esta Nueva normalidad
Según datos de Thales, el 75% de los tomadores de decisiones no saben cómo proteger los datos. Esto debido a que la información está contenida en diferentes configuraciones como on premise, nube, aplicaciones, etc., cada una de ellas con políticas y capacidades diferentes.
Ante este complicado panorama que enfrenta un CIO, González explicó en qué consiste la metodología propuesta por Thales: “Lo primero es aplicar una política de Zero Trust, que es vital para mantener la seguridad de los datos. Lo siguiente es identificar y saber dónde están los datos sensibles para después aplicar una debida capa de cifrado. Finalmente, no se debe sólo cifrar la data, sino también proteger con altas medidas de seguridad las llaves que están protegiendo esa importante información.
Agregó que el “arte de Thales” radica no sólo en que proteger datos, sino también en separarlos y cuidar las llaves para que los atacantes no tengan éxito. “Aunado a ello, controlamos el acceso de usuarios a los dispositivos”, explicó González.
¿Qué pueden hacer las empresas para evitar el secuestro de información?
Por su parte, Bryan Rivera, Ingeniero de Ventas Senior LATAM para Thales, coincidió en que durante esta pandemia muchas empresas han tenido que acelerar su transformación digital. “Ahora son muchos más los datos que están en la nube y, ante esta situación sin precedentes, se debía resguardar la información. No obstante, los ataques dirigidos al robo de datos siguen evolucionando”.
En este contexto, Rivera señaló que el ransomware se ha convertido en un ataque habitual dentro de las empresas. Este secuestro de información se ha clasificado en tres categorías: el denominado Locker, que cifra todo el dispositivo; Crypto, que cifra información específica como bases de datos dentro de servidor, y Leakware, en el cual los datos son revelados poco a poco hasta que la recompensa solicitada a la víctima se paga en su totalidad.
Las medidas que pueden realizar las empresas para prevenir estos ataques son tres. “Lo primero es utilizar aplicaciones confiables que acceden a los datos. Después es necesario controlar el acceso granular, es decir, definir quién tiene acceso a los datos sensibles. Y por último se requiere cifrar los datos en reposo con un método que pueda ser descifrado en un entorno local o en la nube”, expresó Rivera.
De acuerdo el directivo, el cifrado de información es una herramienta primordial para poder sobrellevar un ataque de ransomware. Sin embargo, consideró que también se debe tener un monitoreo sobre el acceso de datos para saber quién tiene visibilidad a esa información.
Algunos malwares dependen de los privilegios (lectura, escritura, cifrado y descifrado) o de un determinado usuario que tenga esos privilegios. Y ante esta problemática, Bryan Rivera enfatizó acerca del control de acceso granular. “Este tipo de control se debe implementar con políticas de acceso específicas con el propósito de utilizar aplicaciones confiables. Si nosotros, dentro de estas políticas, podemos especificar cuál es el proceso y garantizamos su legitimidad, esto hará el acceso mucho más robusto”, señaló el directivo.
La posibilidad de agregar tecnología de “cifrado de los datos en reposo” con una plataforma única, permite aplicar una solución de seguridad que habilita a las empresas para tener portabilidad de los datos en ambientes locales, nube y multinube.
Acerca de la implementación de una estrategia de seguridad sólida, el ingeniero de Ventas Senior LATAM para Thales aseguró que se debe contar con cuatro pilares: “Uno: Identificar, ubicar y clasificar los datos sensibles. Dos: Implementar una tecnología de cifrado. Tres: Tener un control de las claves de cifrado. Cuatro: Monitoreo del acceso de datos confidenciales.
La combinación de herramientas: un caso práctico en México
Roberto González hizo referencia a una dependencia de gobierno federal que buscó los servicios de Thales. “El solicitante tenía la necesidad de asegurar un ecosistema híbrido (nube pública y on premise) con datos sensibles. El hecho de tener la información en distintas plataformas ya representaba un reto”. Además, esta dependencia solicitó que el cifrado que se integrara a sus servicios no debía ser invasivo. Otro requerimiento fue proteger su infraestructura de llave pública (firma electrónica), aunado a la necesidad de que no se recurriera a diferentes proveedores o herramientas, explicó González.
Thales resolvió este caso con dos de sus herramientas: CipherTrust Manager y Vormetric Transparent Encryption. Mediante la combinación de ambas se obtuvo un Key Manager y un componente de cifrado que proporcionó justo lo que el cliente solicitaba: un cifrado de archivos transparente a nivel de archivos que administra las llaves desde un sólo punto. Esta solución combinada ofreció además la aplicación de estrictos controles de acceso y uso de la información.
Adicional a ello, se implementó la solución Thales Luna Network HSM que permitió proteger la llave raíz de la agencia certificadora, misma que se utiliza para aplicar los servicios de firma electrónica.
Preguntas y respuestas, un acercamiento directo
En la sesión de preguntas por parte de la teleaudiencia, se cuestionó a los ponentes qué porcentaje del presupuesto para la infraestructura TI debería dedicarse para proteger los datos. Roberto González dijo que nunca se tendrán los recursos suficientes para tomar medidas en la seguridad, pero con la transformación que estamos viviendo, el mundo de TI adquirió un gran valor.
“Esta área de las empresas es la que permitió dar continuidad a los negocios. Quien no estaba preparado para continuar en este formato, le costó quizá el doble de dinero. Y eso lo dice Gartner en un estudio. Para 2021 vemos más dinamismo en las compañías. Están pidiendo más presupuesto para el área de TI. Y en el tema particular de los datos, están poniendo mucha atención en ellos, ya que no hay que apoyarnos sólo en el mundo digital, sino proteger todas nuestras transacciones”, comentó Roberto González.
Otra de las preguntas fue si ante un ataque de ransomware es aconsejable pagar o no por la recuperación de los datos secuestrados. Al respecto, Bryan Rivera comentó que nunca existe la garantía de que los datos sean devueltos o que los atacantes no vuelvan a atacar en el futuro su infraestructura. “Lo mejor es evitar llegar a ese punto. No hay que esperar a que ocurra un ataque para ir corriendo a buscar una solución de seguridad. Nuestra filosofía es prevenir implementando medidas internas en los sistemas para evitar la situación sobre pagar o no por la recuperación de información. Sobre todo porque no hay garantía alguna en ese caso”, concluyó Rivera.
César VIllaseñor, CIO México
