Comunidad de CIOs Revista Byte TI | Noticias tecnología

Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú, donde podrás explorar tecnologías emergentes, compartir estrategias y colaborar en soluciones de vanguardia

invertir en ciberseguridad

Invertir en ciberseguridad: la necesidad obligatoria

La ciberseguridad es un elemento crucial para el correcto funcionamiento de cualquier tipo de organización hoy en día. Sin ella, muchas podrían desparecer con un único ciberataque. Por ello invertir en ciberseguridad nunca será un gasto.

Si por necesidad, en un momento determinado, cualquier compañía tuviera que frenar cualquiera de sus inversiones relacionadas con la transformación digital podría hacerlo con todas y cada una de ellas, salvo una: todo lo relacionado con la ciberseguridad de la empresa.

Y es que, de la misma forma que se protege el exterior y el interior de una sede, la parte cibernética es, si cabe, cada vez más importante. A pesar de que cualquier empresa está expuesta a sufrir cualquier tipo de ataque, decidir no protegerse y reducir la inversión que se realiza en ciberseguridad hace a cualquier organización más vulnerable y, por tanto, con más posibilidades de sufrir un ciberataque que le suponga, incluso el cierre de su actividad.

Por tanto, la inversión en ciberseguridad es la única de la que no se debería prescindir nunca. Y lo cierto es que es algo que ha cambiado: las empresas son cada vez más conscientes de que la ciberseguridad es esencial para el buen funcionamiento de su negocio y, desde la más pequeña a la más grande, las inversiones por este concepto, son cada vez mayores.


Te puede interesar:

12 soluciones de ciberseguridad cloud (comparativa)


Un mundo en constante cambio

La manera de afrontar la política de ciberseguridad ha cambiado en los últimos años. Hasta hace relativamente poco tiempo, las compañías se centraban en proteger todo lo que se encontraba dentro de los sistemas de la empresa. Sin embargo, la forma de trabajar, con cada vez un mayor número de empleados trabajando en movilidad, el contacto con proveedores o clientes con acceso externo a información de una empresa o la apuesta cada vez mayor por parte de las empresas de trabajar en entornos cloud ha hecho, que la defensa interna no sea suficiente: los ataques ya no se producen dentro del perímetro.

Por ello los desarrolladores y fabricantes de soluciones de seguridad también están cambiando y adaptándose a la nueva realidad. Por ejemplo, en este sentido, Iván Mateos, Sales Engineer en Sophos afirma que “en Sophos somos conscientes de esta nueva realidad y por eso apostamos por llevar a cabo una estrategia ‘Zero Trust’ como uno de los pilares clave dentro de nuestra estrategia empresarial, ‘Cibersecurity evolve’. Basada en la idea «nunca confiarse, siempre verificar», la estrategia de confianza cero, identifica y analiza cualquier elemento conectado a la red para anticiparse a los ataques. Básicamente es llevar a la práctica la idea de que ya no es suficiente con tener las mejores soluciones para cada posible ataque, sino que hay que contar con soluciones integrales que desconfíen de cualquier elemento y que sean capaces de responder frente a múltiples amenazas. Esta estrategia de protección garantiza la seguridad de todo el perímetro de la red y no ralentiza las respuestas frente a las amenazas, ya que no invierte tiempo en contemplar todas las posibilidades de ciberataque sino que actúa de forma preventiva rastreando cualquier dispositivo conectado”.

Y es que, como afirma, María Campos, VP de Cytomic “los ciberatacantes ya no centran toda su atención en el perímetro por el auge de tecnologías como las nubes públicas y tendencias cada vez más arraigadas como el teletrabajo y el BYOD (Bring Your Own Device). Ahora también se dirigen a los dispositivos endpoints. La manera de afrontar esta realidad es que las empresas se planteen sus estrategias de ciberseguridad de un modo más amplio para poder abarcar todas las capas existentes y cubrir más allá de los vectores de ataque tradicionales”. Las empresas tienen, por tanto, que asumir que nos encontramos ante una nueva realidad y poner remedio con nuevas estrategias y soluciones. Tal y como afirma Miguel López, country manager de Barracuda, “es preciso definir una estrategia de seguridad global que, efectivamente, incluya no sólo los elementos del perímetro sino también todos aquellos que se encuentran fuera del mismo como por ejemplo los entornos y aplicaciones en cloud o los usuarios móviles. Es un gran error dar por sentada la confiabilidad de estos entornos externos siendo preciso dotarse de herramientas que permitan asegurar a la empresa que sus estándares de seguridad se cumplen tanto dentro de su perímetro como fuera y le dote de la visibilidad y control necesarios. Por eso, nosotros nos centramos en la protección de las aplicaciones cloud como O365 así como los despliegues de infraestructuras en Azure, AWS o Google Cloud proporcionando herramientas para, por ejemplo,  la protección frente a ataques avanzados y de ingeniería social así como el backup y archivado de datos  en O365. También proponemos el uso de Cortafuegos de nueva generación con SDWan incorporado y Web Application Firewall para el cloud así como herramientas capaces de orquestar de forma automática el despliegue de infraestructuras de seguridad en estos entornos Cloud asegurando que el mismo se realiza con el adecuado cumplimiento de los estándares y normativas de seguridad aplicables (PCI, HIPAA, etc,..)”.

La gran ventaja para las empresas es que la oferta que ofrece el mercado para proteger aquello que se encuentra fuera del perímetro es abundante. En este sentido Daniel González, Senior Key Account Manager de MobileIron, afirma que “la estrategia debe pasar por cuatro puntos importantes: proteger el dispositivo, las aplicaciones, las comunicaciones y al usuario. Con una plataforma UEM de última generación podemos cubrir estos cuatro aspectos de forma coordinada y efectiva, sin violar la privacidad del usuario y sin arriesgar en problemas de seguridad. No existen descoordinaciones de soluciones de terceros que trabajan como un puzzle dentro de los terminales. No podemos exigir a los usuarios que tengan un conocimiento profundo de la tecnología. Tampoco podemos bloquearles con prohibiciones. La compañía, sea del sector que sea, debe de facilitar una herramienta potente pero transparente para el usuario. Que no deba de aprender a utilizarla, sino todo lo contrario, que esté siempre activa, de forma transparente, y que solo entre en acción en caso de necesidad, ayudando al usuario y no complicándole la vida”. Pero además, debemos tener en cuenta es que la seguridad no es un estado, es un proceso que evoluciona y del que hay que estar siempre pendiente. Así, Alfonso Ramíerz, director general de Kasperesky Lab, afirma que “la seguridad 100% no es posible, la pregunta ya no es si seremos atacados, sino cuándo y con qué rapidez podremos recuperarnos. No hay una única tecnología de protección que nos garantice la seguridad total y nunca la habrá. Por eso, un enfoque efectivo es aquel que trata la amenaza de forma holística con un conjunto de soluciones completo y tecnologías de protección multicapa. No se trata sólo de prevenir incidentes, sino también de predecir, detectar y responder a los incidentes. Y todo ello de forma eficaz, fiable y flexible”.

Cloud y ciberseguridad

Dentro de esta nueva realidad, hay un elemento que es esencial en el cambio de la política de ciberseguridad que deben seguir las empresas. Se trata de la nube que ya es una realidad y se está convirtiendo en la plataforma casi por defecto en cuanto a despliegue de nuevas iniciativas. Por ello, los atacantes se centran allí donde hay más datos, allí de donde pueden sacar más rendimiento. Y en la combinación de nube + red + dispositivos móviles es donde está el nuevo ‘maná’ para los asaltantes y donde, creemos, debemos enfocar buena parte de los esfuerzos y protección y defensa. Por eso, Ramsés Gallego, Strategist & Evangelist, Office of the CTO de Symantec cree que “el concepto de ‘perímetro’ está cada vez más difuso porque la información viaja hacia/desde la nube y, en algún caso, ‘vive’ allí. Proteger esos ataques ‘híbridos’, que asaltan la nube y el dispositivo móvil, la red y los centros de datos son el caballo de batalla de los que queremos salvaguardar información y nuestros esfuerzos tecnológicos se dirigen a ese entorno. Nos parece instrumental, en consecuencia, aportar tecnología que permite, incluso, la INVISIBILIDAD en la nube, evitar ser atacado mediante la ocultación de servicios que una empresa necesita pero que no sean visibles para los ciber-criminales. Todo ello, combinado con protección frente al uso de malware en las nubes y los micro-servicios que usan los desarrolladores en sus entornos DevOps, la garantía de acceso adecuado en las diferentes plataformas nube, el etiquetado de información y la clasificación de la información independientemente de dónde se encuentre la información nos parece crítico para proteger ese ‘perímetro difuso’ que facilita los ataques en cualquier entorno, en cualquier momento. Nosotros, en Symantec, que apostamos por la disciplina de CASB (Cloud Access Security Broker, por sus siglas en inglés) creemos en el control y visibilidad total de qué se hace en cualquier nube y el gobierno de esos entornos a través de funcionalidades que llevamos décadas haciendo en entornos tradicionales (on-premise) pero llevadas a cualquier nube… y combinado con innovación radical como los conceptos de ‘decepción para el atacantes’ u ‘ocultación en la nube’”.

Hay un elemento que es esencial en el cambio de la política de ciberseguridad que deben seguir las empresas. Se trata de la nube

Soluciones para protegerse en los entornos cloud hay muchas. Por ejemplo, “podemos trabajar en diferentes capas. Imaginemos que una empresa lleva una de sus aplicaciones de uso interno a la nube. Parece lógico que queramos que se encuentre como si estuviera en nuestra red corporativa. Si el CPD donde se aloja es nuestro, extendemos hasta el cliente su red corporativa, hablamos de un ¨cloud de proximidad¨ seguro con bajas latencias de acceso y privado. Puede que este mismo cliente contrate con algún hoster de los más populares (IBM, Azure, Amazon…). Tradicionalmente el acceso a estos hosters tenía que hacerlo a través de Internet pero podemos ofrecerles circuitos dedicados para poder llegar a sus servidores de forma segura y privada. Si hay una parte expuesta a Internet la protegemos con cortafuegos tradicionales o de aplicación”, afirma Aitor Jerez, director comercial de Sarenet.

Un ejemplo de cómo está cambiando la concepción de las empresas es que, actualmente la seguridad es precisamente uno de las mayores dudas a la hora de contratar plataformas en Cloud. Por ello, la elección de un proveedor Cloud de garantías es realmente importante para cualquier organización a la hora de tener asegurada y protegida su información y sus datos. Un proveedor Cloud debe acreditar la calidad de sus servicios con certificaciones imprescindibles. Y además, como afirma Sergio García, BDM de OneseQ (by Alhambra-Eidos), “cada organización debe ser consciente de qué necesita para su negocio y las amenazas que genera. Por ejemplo, en el sector hotelero los clientes exigen, cada vez más, todo tipo de dispositivos conectados, domótica, etc. que precisan de conexiones a internet y esto hace que se deban tomar medidas especiales en ciberseguridad para evitar los ataques. Igual puede pasar con las cámaras de seguridad de una guardería, la wifi de un colegio, los sistemas de alarma de un hospital o la maquinaria industrial de una fábrica. Todo al final acaba teniendo conexión a Internet en su mantenimiento, monitorización o gestión, o acceso a plataformas en la nube para su funcionamiento y todo ello debe estar recogido dentro del plan de seguridad de la organización”.

La movilidad

Además de la nube, los entornos móviles son también un elemento a proteger. Cada vez son más los trabajadores que utilizan sus dispositivos móviles como herramienta de trabajo, y a veces, incluso como la única. En este sentido, destaca la labor que fabricantes líderes de la industria de dispositivos móviles como Samsung, hacen en torno a la seguridad. De hecho es de los pocos fabricantes de dispositivos móviles que cuenta con sus propia solución de seguridad insertada por defecto en los terminales como es Knox. Por ello, desde la multinaciona surcoreana afirman que “A día de hoy, trabajamos en entornos mucho más colaborativos, y los dispositivos móviles como tablets, smartphones y portátiles, han pasado a ser nuestra herramienta principal de trabajo, relegando a los PCs a un segundo plano. Por esto, las empresas están centrando su seguridad en su infraestructura móvil, pero es crucial que si la organización mantiene elementos fijos conectados con el resto de dispositivos, debemos incluirla dentro de nuestra estructura de seguridad, ya que supone un punto de acceso a la información empresarial. La promoción de los dispositivos móviles seguirá tomando protagonismo, de cara a fomentar la movilidad empresarial. Esta movilidad administrada con éxito supondrá un importante ahorro de costes para las empresas y una mejor comunicación con los empleados y mejor eficiencia en el trabajo, pero si no se hace correctamente, acabará suponiendo más problemas que beneficios”.

Sin embargo, y a pesar de los esfuerzos realizados por diferentes compañías en evangelizar acerca de la importancia de establecer medidas de seguridad en los dispositivos móviles, son muchas las empresas que no tienen en consideración a este tipo de dispositivos a la hora de implementar sus políticas de seguridad. En este sentido, Josep Albors, responsable de concienciación e investigación en ESET, afirma que “por desgracia, aún estamos lejos de esa equiparación, a pesar de que los dispositivos móviles se usan a diario y contienen información confidencial”. En la misma línea se sitúa José de la Cruz, director técnico de Trend Micro quien considera que “desgraciadamente hay una creencia errónea a pensar que lo que está fuera de su infraestructura es más seguro. Esto no quiere decir que sea ni verdadero ni falso, simplemente hay que evaluarlo para tener claro cuál es el nivel de seguridad que nos proporciona esa infraestructura y donde el proveedor no se responsabilice, hacerlo nosotros”. Y, también en la misma línea, se encuentra Carine Martins, Account Executive de Stormshield, para quien “de hecho, si ya es complicado que en muchas empresas se valore la seguridad fija del modo correcto, con la móvil esta situación se complica más aún. Realmente, existe poca concienciación sobre los riesgos que conlleva el uso de dispositivos móviles en la empresa, con mucho dispositivo de uso personal accediendo a recursos y datos de la organización.

Se trata de un error muy grave que comenten las empresas. Proteger los entornos en movilidad es imprescindible, puesto que los ataques a este tipo de dispositivos es cada vez mayor. Pero tal y como asegura el portavoz de MobileIron, “no hemos sido conscientes de que el móvil ha ido evolucionando, ganando en presencia, en funcionalidades, en potencia. Pero no ha ganado en seguridad, por lo que en este momento la seguridad de los equipos móviles es la gran asignatura pendiente de grandes y pequeñas empresas. El peso de la infraestructura fija sigue siendo muy superior a la de la seguridad para móviles. Solo las empresas de reciente creación salen al mercado con la seguridad móvil como algo que es parte de su ADN”.

El papel del CISO

Pero a pesar de que las empresas comenten errores, lo cierto es que la política de seguridad tiene cada vez una importancia mayor. Buena prueba de ello, es que cada vez más, las compañías cuentan con una figura que hace unos años no existía en buena parte de ellas: el CISO. Preguntamos a las empresas cuál es el rol que debe jugar en la estrategia de ciberseguridad de las empresas. Para la portavoz de cytomic, “el CISO debe jugar un papel fundamental porque la ciberseguridad debe ser una prioridad, en todos sus sentidos. A la hora de establecer cualquier estrategia de negocio no solo se tienen que tener en cuenta los aspectos más puramente económicos que a todos nos vienen a la mente (beneficios, pérdidas), qué está haciendo la competencia, el capital humano o el offering con el que se cuenta, sino también la inversión en equipamiento técnico, las instalaciones y, por supuesto, la seguridad, tanto física como informática. Y es justo aquí donde entra en acción el CISO, quien debe diseñar una estrategia que incluya todas las herramientas y personal necesarios para garantizar que la información, datos, equipos y dispositivos, y conexiones estén seguras. Una mala práctica en seguridad no solo provoca grandes pérdidas de dinero a las compañías por las posibles multas que tengan que pagar si la información se encuentra en peligro, sino también graves pérdidas reputacionales que harán que los clientes desconfíen de la marca y, por ende, busquen alternativas en la competencia. Es deber del CISO que esto no ocurra, por lo que debe trabajar mano a mano con el resto de responsables (CHRO, CIO, CFO y CEO) para elaborar entre todos una estrategia coordinada y efectiva que también ponga el foco en materia de ciberseguridad”.

Por su parte, Alfonso Ramírez de Kaspersky cree que “el papel de un CISO abarca la seguridad de la información en su totalidad, en toda la empresa y su ecosistema. Por consiguiente, los CISO deben colaborar con todos los departamentos y, por supuesto, con TI y en todos los proyectos relacionados con TI. Los responsables de la ciberseguridad han de tener la capacidad de aplicar sus políticas y ejercer influencia sobre otros directivos de la compañía, incluidos los que trabajan en TI. Para ello, es importante que el CISO tenga acceso al nivel de alta dirección”.

Y es que, las empresas deben darse cuenta que el CISO debe tener un rol instrumental, crítico y de alto valor ya que es el encargado de asumir la estrategia empresarial (hacia donde va la compañía) y la transformará en las tácticas para la protección y defensa. “El rol de CISO requiere entender el negocio y -como indican sus siglas- la seguridad de la información en la que reside dicho negocio. De ahí, trasladará las iniciativas empresariales y les dará forma para que sean seguras, robustas, confiables. Nos parece de capital importancia el conocimiento que una/un CISO deben tener del entorno empresarial y de las posibilidades de la tecnología y, por ello, son el mejor aliado del negocio y de los proveedores de tecnología con una única misión: proteger y defender”, asegura Ramsés Gallego de Symantec.

La clave radica en que el CISO ya no solo se preocupa de los elementos tecnológicos siguiendo las pautas marcadas por otros departamentos. Actualmente el CISO es un elemento fundamental en la organización que contribuye a proteger y garantizar los ingresos de la compañía, retener a clientes, diferenciarse frente a la competencia o aportar valor a la eficacia y eficiencia al funcionamiento interno desde la perspectiva de la protección frente a los riesgos de la organización. “La información en este proceso es clave y el CISO es su principal valedor. Su pensamiento basado en riesgos (principalmente tecnológicos) proporciona un marco preventivo y predictivo que finalmente resulta fundamental para el devenir de la empresa”, afirma Juanjo Galán, Business Strategy de All4Sec.

Finalmente, Juan Grau Regional Sales Manager de Bitdefender afirma que “el rol de CISO es ahora más importante que nunca. La seguridad de las TI es una función crucial que puede influir en los ingresos, la reputación o la continuidad del negocio de la empresa, y es natural que el CISO se convierta en un actor clave en la estrategia de crecimiento de la compañía”.

Los principales errores

En materia de ciberseguridad, las empresas cometen riesgos, que en muchas ocasiones se pueden catalogar de infantiles. Desde All4Sec dan algunas muestras de ello:

  1. Las personas y el uso que hacen de la tecnología en sus puestos de trabajo. Las campañas de phishing o incluso el uso malintencionado de recursos corporativos son quizás los ejemplos más evidentes de cómo las medidas tecnológicas resultan insuficientes cuando un empleado decide actuar de forma irresponsable. Es necesario concienciar a las personas de la relevancia de sus decisiones en cuanto al uso de los recursos corporativos e invitarlos a seguir las pautas marcadas por la organización.

  2. Íntimamente relacionado con el anterior están las interconexiones con socios y a los que a menudo no se les imponen medidas restrictivas de acceso a los sistemas de las empresas. No es extraño observar cómo, a veces, damos acceso a nuestras infraestructuras a actores externos con privilegios que no les corresponden.

  3. Otro de los riesgos que a menudo asumen las compañías es una mala planificación de los procedimientos de actualización de versiones de sus infraestructuras tecnológicas. Una gran parte de los problemas de ciberseguridad en una empresa provienen de la no actualización del software que emplean. Solo es necesario ver como mucho del malware que circula por Internet explota vulnerabilidades que presentaban los sistemas operativos y que, aun resueltas con nuevas versiones, no han sido incorporadas a los equipos de la empresa.

  4. Ni que decir tiene que el uso de dispositivos personales (BYOD) para actividades profesionales es otro de los riesgos que a menudo asumen muchas empresas. Incluso, al contrario, el uso de dispositivos profesionales para uso personales. Las pautas de conducta de un empleado fuera de su lugar de trabajo pueden tener serias consecuencias para la organización si no se dispone de medidas adecuadas como MDM.

  5. Por último, están los mecanismos de autenticación y autorización. El control de acceso a recursos con privilegios adecuados es algo que no todas las compañías tienen definido lo que conlleva situaciones en las que todo el mundo (o demasiadas personas) tienen acceso a toda la información de la organización. Además, está el uso de mecanismos de autenticación adecuados de doble factor (2FA) que reducen los riesgos asociados a una débil gestión en el uso de passwords sin unos mínimos de calidad y que nunca son cambiadas.

Además desde Exclusive Networks se añade que Hemos pasado recientemente por la implantación de un Reglamento Europeo relativo al tratamiento de los Datos Personales (RGPD). Dada la complejidad del reglamento y lo extenso de su cobertura, posiblemente las empresas se vean aún en proceso de adaptación ante la mayoría de los conceptos detallados en la citada regulación. Esto afectaría sobre todo a temas de seudonimizacion y cifrado de datos y aplicación de medidas que garanticen la Confidencialidad, Integridad, Disponibilidad y Resiliencia de los Sistemas y Servicios de Tratamiento.

Tambien desde Netskope se señalan algunos elementos claves que las empresas realizan de forma incorrecta y que normalmente tienen que ver con la adopción del cloud:

  1. Exfiltración de información sensible a aplicaciones no reguladas por la empresa. No se puede bloquear todo, pero hay que evitar que datos críticos salgan por ciertas aplicaciones. Un ejemplo reciente el código fuente de autopilot de Tesla subido a iCloud.

  2. Usuarios en movilidad pierden la protección. Las estructuras tradicionales de protección perimetral on-prem no son suficientes para proteger y controlar a los usuarios cuando salen de la oficina, y estos se ven a expuestos a Internet directamente.

  3. Malas configuraciones de instancias de IaaS que son aprovechadas por los cibercriminales para comprometer las mismas y distribuir malware.

Machine Learning

El uso del Machine Learning y de la Inteligencia Artificial aplicada a la ciberseguridad es el siguiente paso en el futuro de la seguridad. La detección tradicional de los ataques ya no es suficiente ya que, como hemos mencionado, los ataques evolucionan muy rápido. Frente a esto, el Deep Learning supone un avance en la detección anticipada de las amenazas y sustituye a la detección tradicional mediante firmas que ya no resulta suficiente.

El Deep Learning, también llamado «redes neuronales de aprendizaje profundo» o «redes neuronales», está inspirado en la forma en la que funciona el cerebro humano. Es el mismo tipo de aprendizaje automático que suele usarse para el reconocimiento facial, el procesamiento del lenguaje natural, los vehículos sin conductor y otros campos avanzados de la ciencia y la investigación informática.

Para Iván Mateos, de Sophos, “esta tecnología ha superado sistemáticamente a otros modelos de aprendizaje automático, como los arboles de decisión, la agrupación mediante el algoritmo k-means o las redes bayesianas. El Deep Learning ofrece beneficios a las estrategias de seguridad como una mayor tasa de detección y defensa al mismo tiempo que reduce la tasa de falsos positivos. Las soluciones basadas en Inteligencia Artificial funcionan sobre redes neuronales que actúan como un cerebro humano, cuantos más datos analiza, más inteligente se vuelve y aprende de forma autónoma de su experiencia y del procesamiento de millones de muestras de malware. Esto convierte a esta herramienta de análisis predictivo en un sistema de ciberseguridad avanzado capaz de anticiparse a cualquier tipo de ataque. Desde Sophos incluimos en nuestras herramientas la tecnología Deep Learning, esta forma avanzada de Machine Learning que detecta el malware tanto conocido como desconocido sin necesidad de firmas”.

José Luis Laguna, Systems Engineer Manager de Fortinet afirma que “Machine Learning puede ayudar a mejorar la eficacia de los sistemas de seguridad. Nosotros mismos implementamos Machine Learning en muchos de nuestros productos, como por ejemplo en nuestro WAF, nuestro SIEM, etc. Pero no olvidemos que los cibercriminales también se valen del Machine Learning y la IA para mejorar sus técnicas de ataque y ser más dañinos”.

Deja un comentario

Scroll al inicio