La pandemia de COVID-19 ha revolucionado el escenario de la ciberseguridad que, a golpe de teletrabajo, mutó su perímetro de protección, para llevarlo de las redes corporativas al usuario y a los datos.
En este Reporte Especial de CIO México propusimos que el objetivo de la seguridad –en todos sus ámbitos de aplicación– consiste en reducir los riesgos a niveles mínimos para mitigar posibles amenazas. Sin embargo, ¿cómo armar una estrategia de seguridad TI efectiva en un entorno de emergencia sanitaria como el que estamos viviendo?, ¿cómo lograr una estrategia eficaz de concientización?, ¿acaso es suficiente la inversión que se está haciendo para enfrentar los riesgos y aminorar las vulnerabilidades?, y ¿cuál es el mayor reto que tiene un CISO o CSO en México para lograr el nivel de seguridad efectivo en su organización?
Tener una estrategia efectiva, ¿en medio de esta crisis?
Más que un cambio radical, el paradigma de la ciberseguridad lo que ha experimentado es una evolución: de años a meses. Si hasta hace apenas un ejercicio fiscal todavía los responsables de esta área tenían su “epicentro” en las redes corporativas, el trabajo a distancia o teletrabajo masivo derivado de la pandemia, ha puesto el foco de la protección en el usuario, en el ser humano.
El aluvión de dispositivos conectados que permiten la conexión ubicua ya aventuraban este nuevo escenario, pero la crisis sanitaria generó un caos inevitable en las empresas, en el que es preciso poner orden.
De acuerdo con el analista principal de IDG Research, Alberto Bellé, el puesto de trabajo se ha diversificado en multitud de redes y dispositivos de manera vertiginosa y, como consecuencia, se multiplicaron los tipos de acceso. “Lo lógico es primero planificar un nuevo modelo y luego ponerlo en práctica, pero el Estado de alarma obligó a que este proceso se hiciera al revés a fin de mantener la operación de los negocios”.
Esto, en los primeros momentos de incertidumbre, generó bastantes brechas de seguridad y cumplimiento; los ciberdelincuentes aprovecharon la ocasión para atacar a todo tipo de estructuras, independientemente de su tamaño, con especial mención a la industria de la salud, la que más presión ha sufrido y lo hace en estos momentos. Ahora en la llamada “nueva normalidad”, las empresas han empezado a proteger a sus empleados y los entornos híbridos. Pero, ¿cómo armar una estrategia de seguridad TI efectiva en un entorno como el que se vive actualmente?
“El punto más importante es ponderar riesgos con base en los activos y cómo se tienen distribuidos en una organización”, explica Juan Carlos Vázquez, Gerente de Ventas Regional para Latinoamérica de Attivo Networks. “Históricamente, el usuario ha sido el eslabón más débil, pero hoy se vuelve un elemento de alto riesgo para la compañía porque, al no tener el blindaje que tenía dentro de su organización, se requieren ciertos controles que las compañías no estaban tomando en cuenta”.
Vázquez afirma que después de que se le dio acceso a los empleados para que siguieran trabajando en forma remota a raíz de la contingencia sanitaria, ahora se está fortaleciendo dicho acceso para garantizar una navegación segura, fortalecer controles de autenticación, un monitoreo más exhaustivo de a hacia dónde llega la conexión del usuario o la migración hacia nubes públicas.
¿Por dónde empezar?
Sobre los aspectos debe abarcar una estrategia de seguridad en los tiempos actuales, Daniela Menéndez, Country Manager de Palo Alto Networks México, destaca en primer lugar el marco de referencia a cuál desea adherirse una organización, establecer qué se quiere lograr, para entonces incluir los procesos, el personal y la tecnología que estará involucrada.
“Algo que las organizaciones o empresas pueden pasar por alto es que la alta dirección es la principal responsable de la información y no el director de Tecnología. Al final, una estrategia de seguridad TI debe ir apalancada sobre una cultura de ciberseguridad que permeé desde los niveles superiores de la empresa hasta cada uno de los empleados”.
VIDEO: ¡Mira la entrevista con Daniela Menéndez, de Palo Alto Networks!
Asimismo, la gestión de vulnerabilidades basadas en riesgo permite a los líderes de Seguridad TI permite comprender las vulnerabilidades en el contexto del riesgo empresarial y utilizar estos datos para priorizar los esfuerzos de su equipo. “La administración de vulnerabilidades les permitirá a estos equipos ir más allá del mero cumplimiento, ya que el objetivo es reducir los riesgos en toda la organización”, argumenta Luis Fornelli, Country Manager de Tenable en México.
De acuerdo con el directivo, este tipo de gestión va más allá del enfoque limitado en la infraestructura tradicional y las tecnologías de información para cubrir toda la superficie de ataque que pueda tener la misma, “incluyendo la visibilidad de los tipos de activos modernos tanto en la nube, la OT (tecnologías de operación industrial) o los contenedores de información”.
VIDEO: ¡Mira la entrevista con Luis Fornelli, de Tenable!
Por su parte, Oswaldo Palacios, Senior Sales Engineer de Guardicore, considera que el primer aspecto de una estrategia de seguridad efectiva debe ser la visibilidad, esto es, cómo se están comunicando las aplicaciones entre ellas y con su entorno, seguida de la visibilidad de cómo se comunica el servidor o los servidores que componen esas aplicaciones, y tener una trazabilidad para conocer las dependencias de tales aplicaciones. “De esta forma se puede asegurar una transición a la nube de forma transparente, segura y eficaz, sin que esto suponga un riesgo para la empresa”.
VIDEO: ¡Mira la entrevista con Oswaldo Palacios, de Guardicore!
Concientización ante todo
El acelerón de la transformación digital, basado en el acceso remoto a las aplicaciones, se ha visto sostenido por la nube. Esto ha sucedido a pesar de que la ciberseguridad sigue siendo la principal barrera de las corporaciones para “subirse a la nube”. Y es que aunque los proveedores recubren sus plataformas de protección, la seguridad de los datos sigue cayendo en sus poseedoras, es decir, en las empresas.
A este respecto, la consultora Gartner estima que, para 2024, el 99% de las vulnerabilidades en la nube vendrán derivadas de los errores humanos y la configuración. “Es necesario contar con un control granular de usuario a usuario y, por supuesto, aplicar lo más básico, un antivirus, y no todas las empresas lo están haciendo”, afirma Bellé, de IDG. “Actualmente, muchas compañías están tomando decisiones comprometedoras y eso se paga a largo plazo en forma de brechas y ciberataques”.
Es por ello que la proactividad en estos entornos es clave. Además de la implantación de herramientas de gestión de identidades y de autenticación multifactor, las compañías deben instalar software de detección y respuesta de endpoint (EDR, por sus siglas en inglés), aplicar un cifrado persistente de los datos e incidir en la formación y concientización de los usuarios, así como la realización de pruebas periódicas para asegurar que están en guardia frente a la ingeniería social y los ataques de phishing.
Tomando en consideración lo anterior, ¿qué medidas se deben implementar para lograr una estrategia eficaz de concientización respecto a la seguridad TI en un modelo de trabajo a distancia o híbrido al interior de las organizaciones?
Datos de la firma de análisis IDG ponen de manifiesto que el 40% de las organizaciones locales estima que el impacto de esta crisis ha sido mínimo, mientras que el 25% dice haber arrastrado consecuencias significativas y el 8% críticas. Pero, estas estadísticas se pueden ver dilapidadas sólo por el hecho de que un ciberataque exitoso es capaz de suponer el cierre de una firma.
“Supongamos que el impacto para un negocio que no opte por utilizar un medio digital sea perder ingresos por seis u ocho meses, si eso lo comparamos por sí habilitar medios digitales de manera segura, el impacto puede ser mayor y convertirse en un impacto reputacional, un riesgo en pérdida de bases de datos e, incluso, de fraude”, afirma Jesús Navarro, Director General de Data Warden.
Añade que establecer una estrategia de ciberseguridad en el entorno de la nueva normalidad consiste en saber dónde está la organización en este momento. “Lo ideal es hacer un análisis para determinar cuál es la superficie de riesgo a la que está expuesta la organización, contrastarla con la superficie previa y hacer un plan estratégico priorizado”.
Más aún, la concientización y apoyo de la alta dirección, es el punto de partida para lograr una estrategia eficaz de trabajo remoto o híbrido. Así lo considera Martín Fuentes, Security Business Senior Manager para América Latina de Lumen Technologies, quien destaca la concientización y capacitación con su correspondiente evaluación como los aspectos que se deben tomar en cuenta.
Afirma que la ingeniería social sigue siendo la alternativa más utilizada para vulnerar la seguridad de las empresas. “Como siguiente punto están las métricas, para medir cómo van evolucionando mis sistemas de gestión de seguridad y que estén alineadas con el negocio”.
VIDEO: ¡Mira la entrevista con Martín Fuentes, de Lumen Technologies!
Al inicio de la pandemia, se adquirieron Redes Privadas Virtuales (VPN) que sólo resolvieron una emergencia, pero hay que analizar una mejor resolución de la conectividad. Hablamos de la gestión de accesos e identidades y del nuevo perímetro de conectividad, que se cuidan aplicando políticas basadas en la filosofía zero trust, es decir, la confianza cero en los usuarios, la persistencia en comprobar que quien se está conectando al corazón de la compañía es quien dice ser.
De esta manera, la inversión que se está realizando en México, ¿es suficiente para enfrentar los riesgos y aminorar las vulnerabilidades?
En opinión de Sergio Muniz, vicepresidente de Ventas para Gestión de Acceso e Identidad para Latinoamérica en Thales, la velocidad de implementación de nuevas herramientas de ciberseguridad en las organizaciones tiene que ver con la implementación tan rápida que se da en la nube.
VIDEO: ¡Mira la entrevista con Sergio Muniz, de Thales!
Los entrevistados coincidieron que, a pesar de la crisis actual, las organizaciones continuarán aumentando sus partidas de inversión en ciberseguridad.
En este aspecto, Bellé afirma que aumentará la ciberseguridad como servicio, y distingue dos tipos de compañía, según su nivel de concientización a la hora de invertir: por una parte, las que han apostado por una seguridad que acompaña al usuario, con muchas capas de protección, pero que también se están mentalizando en cuidar su experiencia; por otra parte, las que buscan un equilibrio entre seguridad y experiencia de usuario; y, por último, las que están tomando decisiones comprometidas y arriesgadas.
El mayor desafío para el CSO
En medio de la situación pandémica que se prolongará por unos meses más, conviene distinguir cuál es el mayor reto que tiene un CISO o CSO en México para lograr el nivel de seguridad efectivo en su organización.
Ante todo, como señala Luis Fornelli, de Tenable, el reto está en que tenga una visibilidad y un control total (“o lo más cercano al total”) sobre los entornos dinámicos y distribuidos. Y es que a medida que nuevos dispositivos de los empleados remotos se conectan a las redes corporativas, la superficie de ataque se expande, lo cual significa nuevas amenazas que deben medirse, administrarse y reducirse.
“Recordemos que los ciberatacantes también utilizan la nube, y muchas organizaciones tienen la falsa creencia de que el proveedor de la nube es el responsable de la protección y seguridad de los datos”, advierte Daniela Menéndez, de Palo Alto Networks México. Agrega que en realidad existe un esquema de “responsabilidad compartida”, en el que el proveedor de nube pública se hace cargo de su infraestructura, pero el cliente es el responsable de sus datos.
Sin duda, la tecnología ha evolucionado muchísimo en el contexto de la nube, en la cual lo que se busca es un punto intermedio entre tener una seguridad robusta y suficiente, y una buena usabilidad para los empleados, enfatiza Sergio Muniz, de Thales. “Ese equilibrio es uno de los retos más importantes hoy por hoy para un CISO, y le agrego una variable más: debe ser una estrategia que incluya el aporte del área de Tecnología, la cual encabeza las demandas de TI del lado del negocio. Por eso digo que la labor del CISO es un trabajo a cuatro manos”.
José Luis Becerra Pozas, CIO México
