En el 2021, fuimos testigos de una proliferación masiva de herramientas de piratería, vulnerabilidades y capacidades de ataque en la Dark Web. Ahora, y en los meses por venir, se esperan otros aspectos que deberán atender los CSO o CISO, como por ejemplo, que el número de incidentes de amenazas internas aumente debido a la alta rotación de personal especializado en Seguridad o que los servicios de 5G –que comienzan a estar disponibles en México– incrementen las necesidades de seguridad en equipos móviles.
Ante este “escenario de incertidumbre”, como hemos titulado este trabajo editorial, ¿de qué manera se puede armar una estrategia de seguridad TI efectiva en un entorno de emergencia sanitaria como el que aún estamos viviendo?, ¿cómo se pueden mantener protegidas las redes y los datos confidenciales?, ¿y cuál es el mayor reto que tienen los CISO o CSO para lograr un nivel de seguridad efectivo? Sobre éstas y otras cuestiones CIO México conversó con especialistas de empresas proveedoras de soluciones de seguridad en nuestro país.
Una estrategia de seguridad, como principio
En un entorno de emergencia sanitaria como el que todavía vivimos en el mundo a causa de la pandemia de Covid-19, se hace necesario reelaborar o rediseñar una estrategia de seguridad informática adecuada a estas condiciones.
“Estudios realizados por nuestra casa matriz en Tel Aviv, Israel, indican que la región de Latinoamérica tuvo un aumento de 600% en el número de ciberataques, siendo Colombia, México y Brasil los países más atacados. Eso es una muestra del potencial daño económico que se estaría provocando”, explicó Oswaldo Palacios, Director Sales Engineer de Guardicore.
Dijo que este porcentaje de aumento tan significativo se habría originado por la gran cantidad de trabajo remoto que se está efectuando y a que las organizaciones estaban preparadas “a medias” ante un escenario de este tipo.
Una alternativa de protección que recomienda su empresa es la metodología Zero Trust (Confianza Cero) que incluye herramientas de identidad, control, segmentación de ambientes y aplicaciones para lograr un adecuado control de acceso basado en el perfil laboral del colaborador, que permita primero visualizar y luego permitir o denegar el acceso a tal o cual recurso dentro de la red.
Si bien, como reconoció Palacios, se pueden implementar algunas herramientas relativas, “al final es una metodología la que recomendamos seguir porque es la forma más sana técnica y operativamente de tener bajo control las comunicaciones, recursos y activos críticos”.
¿El “año del Zero Trust”?
Algunas firmas de análisis de mercado TI afirman que el 2022 será el “año de Zero Trust”, donde las organizaciones verificarán todo en lugar de confiar en lo que es seguro. ¿Es este un enfoque válido y coherente? ¿Existe alguna otra alternativa que sea más eficiente?
Para Tony Cole, CTO de Attivo Networks, Zero Trust es una arquitectura dinámica, aunque considera que es “realmente un viaje y no una implementación estática específica”, lo cual significa que ésta podría ser la década de Zero Trust y no sólo el año. “Se trata de un enfoque coherente e importante en el cual se elimina la confianza en la mayor parte de la empresa y, en su lugar, valida los requisitos de autenticación y acceso. Si existe un enfoque alternativo que proporcione el mismo valor, aún no lo hemos visto”, señaló Cole.
Más aún, los métodos basados en el perímetTro ya no resultan válidos, por lo que es hora de voltear la mirada hacia un modelo de Zero Trust, como aseveró Omar Alcalá, Director de Ciberseguridad para México y Latinoamérica de Tenable. Dijo que Zero Trust no es un concepto viejo, sino que forma parte de un conjunto de estrategias de seguridad, que ha cobrado fuerza con la ubicuidad actual.
De acuerdo con este directivo, las empresas deben supervisar y verificar continuamente cada intento de acceso a los datos corporativos en todos los niveles, ya sea que se haga a través de un dispositivo, una aplicación, un usuario o un intento de conexión a la red. Sin este nivel de seguridad, visibilidad y segmentación, los atacantes pueden aprovechar las vulnerabilidades del entorno, desplazarse lateralmente e infectar otros activos de la empresa, como ocurre con el ransomware. “Reconozcámoslo: ni sus empleados ni los datos de su organización volverán a mantenerse en la oficina de forma permanente. Es el momento de ajustarse a la realidad”.
Agregó que el método sencillo de asegurar el acceso a los datos a través de una VPN simplemente ya no funciona, pues los actores maliciosos pueden moverse fácilmente entre los puntos de conexión vulnerables de los empleados y los dispositivos no controlados de los consumidores hasta llegar a los activos corporativos. “En la mayoría de los casos se requerirán varios niveles de autenticación para permitir el acceso de los empleados a la información corporativa: algo que tienen (por ejemplo, un certificado, la comprobación de cumplimiento del dispositivo, etc.) y algo que son (una huella digital u otros datos biométricos). Las contraseñas son una mala experiencia para el usuario, y la mayoría de los empleados se limitan a escribirlas en lugar de recordarlas”.
En este sentido, las autenticaciones multifactor permiten ayudar con otros esquemas de autenticación que evitan recordar cosas (como la huella digital), pero también cada uno de estos mecanismos presenta retos diferentes. De manera que una mala experiencia de usuario generará una seguridad insuficiente, advirtió Alcalá.
Las organizaciones suelen suponer que obtener Zero Trust es un proceso arduo y cuesta arriba. Si bien esto no ocurre de la noche a la mañana, hay algunos pasos tácticos que se pueden adoptar para empezar a construir una mejor estrategia de Zero Trust. En primer lugar, se requiere el dominio de los fundamentos del modelo de Zero Trust y la comprensión de qué activos clave intenta proteger la organización, con los datos a la cabeza de la lista.
Una recomendación general, según el especialista de Tenable, es identificar dónde residen los datos, su criticidad y quién tiene acceso a ellos. Entender su exposición al riesgo constantemente. “Por supuesto que rastrear las actividades en el sistema es parte importante en el modelo de Zero Trust, y aplicar políticas adecuadas que se alineen con el negocio, y con las regulaciones alrededor”.
Es por ello que Alcalá consideró que una estrategia holística sienta las bases para una confianza más amplia sobre quién puede o debe acceder a esos datos, desde dónde y cuándo, y cómo supervisarlos y protegerlos.
El fenómeno de la Gran Renuncia
Un tema insoslayable es la retención de talento especializado, particularmente en materia de Seguridad TI. El gran número de empleados que están renunciando o abandonan sus puestos de trabajo (tendencia conocida como la “Gran Renuncia”), pero que pueden potencialmente seguir teniendo acceso a la red o a datos propietarios ha creado un dolor de cabeza para los equipos de seguridad encargados de proteger la organización. ¿De qué manera se pueden mantener protegidas las redes y los datos confidenciales?
Oswaldo Palacios, de Guardicore, se refirió al control de acceso basado en la identidad del usuario. “Aquí las organizaciones deben tener un ‘orquestador de identidades’ o Active Directory para saber qué usuario tiene acceso a qué recursos y, más aún, mediante una herramienta de segmentación se puede determinar a qué recurso (si es en un centro de datos o en la nube pública o privada) y en qué momento puede usarlo, de tal manera que si el usuario deja de pertenecer a la compañía es más sencillo desligarlo de los permisos que tenía, en vez de bloquear su acceso, al tiempo que se facilita la tarea de habilitación de usuario y el conocimiento de a qué recursos se tiene acceso en un entorno híbrido, como el que está proliferando actualmente”.
Otra alternativa es que las organizaciones prioricen la baja de los empleados de manera oportuna mediante controles de validación que eliminen el acceso físico y electrónico para proteger los activos corporativos, sugirió Tony Cole, de Attivo Networks. “Una vez más, dijo, esto retrocede al desafío de la identidad. ¿Sabes quién tiene acceso a qué? ¿Necesitan acceso? ¿Están sobreaprovisionados sus privilegios?”.
De acuerdo con Cole, todos estos puntos ayudan a garantizar que cuando haya rotación de empleados, aquéllos que son menos escrupulosos no puedan acceder ni eliminar datos que no estaban dentro del alcance de su trabajo antes de que dejen la empresa. “El enfoque de identidad en el lado físico y lógico puede ayudar con este desafío junto con procesos estrictos para los empleados recién incorporados a la organización y los que se dieron de baja”, aseveró.
Servicios 5G en México
En otro orden de ideas, los entrevistados coincidieron en que, a medida que se amplíe la prestación de servicios 5G en México, habrá una creciente demanda de seguridad e ingeniería de Internet de las Cosas y esto se convertirá en otra responsabilidad a cargo de los CSO o CISO al interior de las organizaciones.
“Definitivamente esta nueva generación de tecnología celular traerá más trabajo a los CSO y lo que deben hacer es acercarse a expertos en ciberseguridad para ofrecerles herramientas que puedan facilitarles esta tarea”, afirmó Oswaldo Palacios, de Guardicore. Una de estas alternativas es que la evolución de las herramientas de seguridad que hoy pueden trabajar con el Internet de las Cosas, gracias a las cuales “podemos controlar maquinaria, equipo médico y de operación, es decir, ya no necesariamente un servidor como lo conocemos, que ofrece servicios web. En este caso, podemos segmentar esos aparatos de medición (equipos médicos y otros que ya están disponibles con conexión al Internet de las Cosas) para que sólo tengan acceso al servidor controlador o que las personas que acceden a este tipo de activos lo hagan en un entorno seguro y de acuerdo con su perfil laboral. De otra manera, sería muy complicado aislar mediante equipos de red porque eso consume tiempo, dinero y esfuerzo, y no es una de las estrategias más confiables para proteger una red o un entorno”, destacó.
Soluciones prácticas para reducir riesgos
Mediante ransomware, los ciberdelincuentes se están dirigiendo a industrias críticas como la energía, la atención sanitaria y las finanzas con la intención de causar pánico mientras cobran el rescate. Las soluciones prácticas propuestas por las compañías proveedoras de soluciones confluyen en la prevención para reducir los riesgos a niveles mínimos y mitigar posibles amenazas.
“Hoy la manera de robar es mediante la extorsión digital, en la cual no se sabe quién está del otro lado, causando el daño”, externó Jacobo Resnikov, Head of Cortex para Latinoamérica en Palo Alto Networks. “Tras el robo y exfiltrado de información, aunque se pague el rescate, los ciberatacantes siguen estando en la red. De manera que se tiene un ransomware que pasó de ser un incidente de seguridad a un incidente operativo. Ahí es donde las alarmas se prenden”.
Ante este peligro latente, Resnikov propuso dejar de ser “reaccionarios” para convertirse en usuarios “proactivos”, porque, si bien existen soluciones en el mercado que logran mitigar el ransomware antes de que suceda, en la mayoría de las ocasiones, si la arquitectura de seguridad que tiene una organización está orientada hacia un “frente preventivo y proactivo”, será mucho menos probable que un atacante tenga éxito y logre la exfiltración de datos.
Concientización del personal
Al hablar sobre las medidas que deberían implementarse para lograr una estrategia efectiva de concientización del personal sobre la seguridad de TI en un modelo de trabajo remoto o híbrido dentro de las organizaciones, Tony Cole, de Attivo, destacó a la gamificación como un medio útil para que las organizaciones sean más conscientes de los desafíos de seguridad y puede involucrarlas para identificar ataques y compartirlos internamente.
En su opinión, los empleados que realmente se esfuercen por reconocer los ataques de phishing deben ser recompensados de manera pequeña, pero muy difundida, para que otros colaboradores puedan observar y lograr. Esta alternativa, aseguró, puede convertir a casi todos en “un sensor de seguridad pequeño, pero importante en la empresa”.
Inversiones y retos
Para efectos de este Reporte Especial, interesaba saber si la inversión que se está haciendo en México es suficiente para enfrentar los riesgos de seguridad y reducir las vulnerabilidades. “Mi respuesta siempre es ‘no’, señaló tajante Juan Carlos Vázquez, Regional Director de Attivo Networks.“Nadie está gastando lo suficiente, al menos no en los lugares correctos, ya que todavía estamos perdiendo desde la perspectiva de la sociedad occidental. Hemos visto en México ataques en diferentes entidades que podríamos pensar que tenían un nivel de madurez avanzado”.
Finalmente, los entrevistados externaron cuáles son los mayores desafíos que tienen los CISO u CSO en México para lograr el nivel efectivo de seguridad en su organización en este “escenario de incertidumbre”.
Uno de los mayores desafíos en la mayoría de las regiones del mundo, incluido México, es un enfoque heredado en la defensa en profundidad, apuntó Juan Carlos Vázquez, de Attivo Networks. Ante ello, dijo, un modelo de Confianza Cero que comienza con la identidad, puede tener el impacto más rápido y más grande para contrarrestar las amenazas del siglo XXI. “En la vida real hay cuestiones básicas de ciberhigiene que permitirían mitigar muchas de las amenazas comunes y sentar una base para una arquitectura Zero Trust”.
Por su parte, Omar Alcalá, de Tenable, señaló que mantener una visibilidad y un control completos sobre los nuevos entornos distribuidos y dinámicos seguirá siendo un reto importante para los CISO en México. “A medida que se conectan nuevos dispositivos a las redes corporativas –ya sean activos remotos o dispositivos personales de los empleados– la superficie de ataque se seguirá ampliando. Esto introduce nuevas amenazas que deben ser medidas, gestionadas y reducidas para prevenir ataques exitosos. Los CISOs necesitan soluciones de seguridad que proporcionen visibilidad unificada a través de sus entornos dispares con el fin de hacer frente a los desafíos de seguridad de hoy y mañana”, aseveró. El CISO o el CSO, en fin, debe concientizar a “los de arriba” –llámese CEO o CFO– de que su labor consiste en proteger los activos de la organización, que no son las computadoras ni los servidores sino la información que hace trabajar a las empresas, dijo Jacobo Resnikov, de Palo Alto Networks. “Cuando logre este convencimiento, el CSO podrá tener ‘carta abierta’ para hacer una buena estrategia de ciberseguridad”, concluyó.
Por José Luis Becerra Pozas, CIO México
