Hasta hace unos años, era un tema secundario. Hoy, e impulsada por la crisis del coronavirus y el periodo de confinamiento, la ciberseguridad tiene el papel que se merece en las estrategias del departamento TIC.
Fue hace unos años, cuando grandes empresas se vieron afectadas por ataques de ransomware, el momento en el que las organizaciones se dieron cuenta de la importancia de la ciberseguridad. El hecho de que afectara a grandes compañías hizo que muchas pequeñas y medianas empresas empezaran a tomarse la ciberseguidad en serio. La figura del CISO cobró importancia y muchas empresas, que no tenían ese cargo, ahora sí lo tienen.
La crisis provocada por el coronavirus y por la etapa de confinamientos que hemos sufrido y en el que el teletrabajo ha sido la tónica habitual en las organizaciones y administraciones públicas ha supuesto ese necesario segundo impulso. La ciberseguridad vive una época dorada y muchas empresas ya la tienen como prioridad principal a la hora de realizar cualquier movimiento que tenga que ver con su estrategia de TI. En esta línea, José de la Cruz, director técnico de Trend Micro cree que “la situación de pandemia se ha convertido en el mayor habilitador, en materia de ciberseguridad, de los últimos tiempos. Se trata de una situación excepcional, en muchos casos novedosa, que ha provocado situaciones de riesgo a muchas compañías. A causa de esto, se ha incrementado la inversión en soluciones que permitan a las empresas desarrollar su actividad durante este contexto de manera segura”.
Lo cierto es que la crisis generada por el coronavirus ha sido aprovechada por los ciberdelincuentes y se han puesto de manifiesto que las arquitecturas de seguridad de muchas empresas no cuentan con la suficiente flexibilidad o, dicho de otra forma, con las suficientes capas. Un ejemplo ha podido verse con el despliegue del teletrabajo, en el que muchos usuarios han quedado desprotegidos simplemente por cambiar su ubicación física. A pesar del aumento en la concienciación de las empresas de que la ciberseguridad es algo vital para sus negocios, es necesario seguir dando pasos para desplegar entornos seguros y adoptar enfoques innovadores de seguridad.
En opinión de Alberto Ruiz Rodas, Presales Engineer de Sophos, “las estrategias utilizadas por los ciberdelincuentes evolucionan constantemente y las soluciones tradicionales de seguridad cada vez son menos útiles. Poco a poco, las empresas están aprendiendo que las soluciones de seguridad tienen que estar formadas por varios componentes y acompañar al usuario allá donde va. Lo que sí se ha hecho patente en esta situación es la importancia que tiene la ciberseguridad en cualquier entorno y en todo momento. Si antes era de vital importancia para las empresas, organizaciones y estructuras públicas contar con sistemas de seguridad avanzados para mantener sus conexiones seguras, ahora se ha hecho visible que la ciberseguridad no es un asunto de segundo nivel, ya que los cibercriminales siempre están al acecho y aprovechan cualquier oportunidad para lanzar sus ataques contra empresas y usuarios”.
El teletrabajo masivo ha hecho que la ciberseguridad cobre más importancia para las empresas
Y, ¿quién es el culpable de que la ciberseguridad tenga un nuevo protagonismo? El teletrabajo. El hecho de que muchos empleados hayan empezado a hacerlo desde sus casas, ha hecho ver a las empresas que es necesario adoptar nuevas estrategias porque tal y como señala Miguel López, Country Manager de Barracuda, “la situación creada por la pandemia que sufrimos ha generado una nueva problemática alrededor del teletrabajo de forma masiva y esto conlleva la aparición de nuevos problemas y el agravamiento de otros existentes de manera previa en relación con la ciberseguridad”. Las organizaciones han observado que el teletrabajo les ha permitido seguir operando con normalidad pero que tiene varias aristas que confluyen que haya una mayor necesidad de seguridad. Desde WALLIX apuntan a dos elementos importantes que las empresas están empezando a observar y a tener en cuenta:
- La seguridad de los accesos externos a la infraestructura de servidores, hasta ahora limitada a unos cuantos proveedores, a los que no se atribuía una gran peligrosidad, pero a partir de la masificación del teletrabajo, abierto a los empleados que se conectan desde el exterior.
- La seguridad de los Endpoints, porque de pronto se han tenido que utilizar terminales de usuario recién adquiridos, o los terminales de usuario particulares de los empleados, en general mucho menos protegidos que los de las empresas.
Nuevos retos en ciberseguridad
Ante esta nueva realidad surgen nuevos retos que las empresas están empezando a tener en cuenta para cambiar la estrategia de seguridad que se tenía hasta ahora. El informe Threats Insights Report 2020 realizado por Panda refleja que las ciberamenazas nunca han sido tan variadas como ahora. En un día, un endpoint puede experimentar una estafa de phishing con un enlace a un archivo malicioso, puede descargar un ransomware de un sitio web falsificado, ser víctima de un ataque sin archivo que se mantiene oculto en la memoria durante semanas, meses, o incluso años. Es decir, cada vez hay más amenazas y más vectores de ataque en cualquier entorno IT que pueden causar una brecha de cualquier tipo. Y ahora además se suma el contexto del COVID-19, que también ha aumentado los riesgos existentes.
Desde McAfee, observan tres retos principales creados por este cambio y que tienen un impacto en la postura de ciberseguridad de las empresas:
- Los dispositivos personales se están usando para trabajar. Algunas empresas pueden estar pidiendo a sus empleados que utilicen, por ejemplo, sus portátiles personales para trabajar desde casa. Otras pueden estar ofreciendo nuevos dispositivos gestionados que necesitan reforzarse con seguridad endpoint.
- Navegación a internet segura desde los hogares. La mayoría de las implementaciones VPN no están dimensionadas para escalar hasta el punto de canalizar el tráfico de una empresa entera; bien por puro ancho de banda (lo que puede traducirse en ralentización del servicio y apagones) o licenciamiento (algunas compañías pueden no tener licencias para cubrir a toda la plantilla). En cualquiera de los escenarios, los dispositivos acabarán accediendo a Internet sin la protección en profundidad de una red gestionada.
- Ubicuidad de los datos. Ha habido un incremento espectacular en el uso de herramientas basadas en la nube para reuniones y colaboración de equipos descentralizados. Con acceso directo a Internet, no existe visibilidad de los datos que se envían a la nube (y entre nubes) y la red se vuelve vulnerable. Compartir dentro de la nube y a terceras partes también causa pérdida de visibilidad y control.
Uno de los retos para los negocios es habilitar una fuerza de trabajo móvil productiva y segura, ya que las posibilidades de ser objeto de ataques relacionados con el robo de credenciales pueden aumentar en estos días. Sin la protección de la red de la empresa, un usuario remoto podría infectarse sin su conocimiento, e incluso introducir la infección en la red corporativa. Esta situación hace que las empresas deban extender la seguridad hacía los puestos desde donde los empleados se conectan, lo cual es un reto importante.
Es más, Guillermo Fernández, sales engineer Southern Europe, de WatchGuard cree que “en algunos casos, se da la circunstancia de que el trabajador tiene que utilizar sus propios dispositivos personales para poder hacer su trabajo porque no cuenta con equipo de la empresa. Aquí se añade el riesgo del shadow IT. En definitiva, todo lo que afecte a la reputación de los negocios y exponga su información confidencial, propiedad intelectual y dinero al cibercrimen son factores que perjudican la actividad económica y social. Por eso, desde WatchGuard creemos que más que contar con tecnología, es una cuestión de actitud hacia la ciberseguridad. Creemos que las empresas de todos los tamaños además de contar con las soluciones tecnológicas adecuadas, merecen contar con un entorno confiable para sus redes, sobre todo las redes Wi-Fi, lo cual sin duda es otro reto”.
De lo que se trata, al final, es de dar servicio y de hacerlo con seguridad. Como asegura Borja Pérez, country manager de Stormshield, “es imprescindible para las empresas dar servicio, sin comprometer la seguridad, a unos usuarios que han pasado de trabajar mayoritariamente de forma presencial a hacerlo de manera remota. Además, otro de los retos es la falta de inversión en seguridad. Desgraciadamente, muchas empresas siguen sin considerar la seguridad como algo importante cuando acometen procesos de transformación digital. O que sólo toman medidas cuando se han visto afectadas por un ataque. Aunque se ha elevado el nivel de concienciación en los últimos años, y las campañas de ransomware han contribuido mucho a ello, sigue quedando mucho por hacer”.
Ciberseguridad – Proteger equipos externos
Nos hemos lanzado todos al teletrabajo. El problema es que la mayoría de las empresas no estaban preparadas para este escenario y en las que lo estaban, sólo un reducido grupo de profesionales podían beneficiarse de las ventajas del trabajo en remoto. Así que para que todo el mundo pudiera seguir siendo productivo desde su casa, la gran mayoría de trabajadores lo han hecho desde sus propios equipos personales y utilizando el router y la conexión que tienen en sus hogares lo que abría la puerta a poder sufrir diferentes tipos de ciberataques.
Para Samuel Bonete, Regional Sales Manager de Netskope “el teletrabajo ha provocado que muchas empresas deban realizar un gran esfuerzo para que sus empleados puedan mantenerse conectados, y esto, ha llevado a que a fin de asegurar la conectividad se haya descuidado la seguridad, poniendo en riesgo los datos. A este trabajo contra reloj, se suma el hecho de que España es un país de pymes, y como tal, muchas de esas empresas no cuentan con los medios tecnológicos y económicos necesarios para facilitar a sus trabajadores el teletrabajo. Ante tal situación, muchos responsables de seguridad no saben qué medios utilizar para proteger a estos trabajadores remotos en su navegación web o cómo controlar qué datos terminan en aplicaciones remotas o qué visibilidad existe de los datos que salen hacia Internet (Shadow Data). Del mismo modo, deben asegurar que el usuario tenga acceso seguro a los recursos internos de forma transparente y sin montar un terminador de túneles convencional datos (RDP, SSH Web en red interna e IaaS)”.
Josep Albors, responsable de concienciación e investigación de ESET cree que “con numerosos empleados trabajando en remoto, y no precisamente en las mejores condiciones, no cabe duda de que los riesgos se han incrementado notablemente. El acceso no autorizado a redes corporativas por la sobreexposición que supone el teletrabajo, junto al robo, cifrado no autorizado y filtración de información confidencial, se encontrarían entre las preocupaciones más acuciantes para las empresas. Lo es si no se realiza de forma segura. Permitir que los trabajadores accedan a la red corporativa desde equipos sin supervisar, desactualizados y con altas posibilidades de que se infecten es un gran riesgo que requiere adoptar medidas lo antes posible”.
Uno de los riesgos de ciberseguridad de estos días es el acceso no autorizado a redes corporativas por la sobreexposición que supone el teletrabajo
Pero, ¿qué hay que hacer para proteger esa gran cantidad de dispositivos externos que se conectan a la empresa? En estos momentos nos encontramos ante un nuevo ambiente laboral en el que los empleados pueden compartir los datos corporativos tanto en dispositivos como en plataformas que la empresa no controla. Por este motivo, es importante que las organizaciones tengan visibilidad y control sobre las plataformas que se están utilizando y los datos que se están compartiendo, así como conocimiento de los dispositivos que están accediendo a la información de forma segura, con el objetivo de establecer políticas para proteger los datos más sensibles. Ángel Ortiz, Director Regional de McAfee cree que, por norma general las empresas deberían llevar a cabo una serie de acciones para que la seguridad de la empresa no se vea afectada:
- Mantener una red segura utilizando una VPN. Como la mayoría de los empleados ahora están trabajando desde casa, es importante que sus conexiones de Wi-Fi domésticas sean seguras o que estén usando una red virtual privada (VPN) para mantener todos sus datos seguros cuando se conecten a mi organización.
- Cambiar las contraseñas de la nube periódicamente. Los empleados deberían actualizar sus contraseñas a secuencias complejas que no puedan adivinarse fácilmente, usando una única para cada cuenta.
- Utilizar autenticación de doble factor. La autenticación de doble factor es una forma más segura de que los usuarios accedan a los datos de la empresa que necesitan para trabajar. Así, se les pedirá que introduzcan su combinación de nombre de usuario y contraseña, y también que verifiquen su identidad a través del dispositivo que ellos (y solo ellos) tienen, como su teléfono móvil.
- Navegación con protección. Todos los empleados deberían implementar una solución de software de seguridad para proteger sus dispositivos e información del malware y otras amenazas. Además, los usuarios deben continuar actualizando estos productos, porque a menudo contienen mejoras de seguridad.
- Mantener los dispositivos protegidos y actualizados. Es importante contar con una solución, corporativa o doméstica, de protección del dispositivo (PC, tablet o móvil) y que ésta se encuentre actualizada en todo momento.
Claro que lo más importante debería ser que ningún empleado utilizase su equipamiento personal para teletrabajar. Eso es algo que tiene clarísimo el portavoz de ESET que considera que “esto debería evitarse siempre que fuera posible. Es la empresa quien debe dotar de los medios necesarios para que el trabajador realice sus tareas en remoto. Los equipos particulares no son el mejor ejemplo de seguridad y cualquier sistema que acceda a la red y archivos de la empresa debería haber pasado unas mínimas comprobaciones de seguridad como, por ejemplo, el estado de las actualizaciones del sistema operativo y aplicaciones, la utilización de una solución de seguridad eficaz contra las amenazas actuales (a poder ser, gestionada desde la empresa) y la utilización de VPN”.
Autenticar dispositivos o usuarios
Una de las claves se encuentra en la autenticación de acceso. Y aquí surge la duda de qué es más importante si la autenticación del empleado o la del dispositivo que se conecta a la red de la empresa. Para Alberto Tejero, director general de Panda Security Commercial, “la autenticación de los usuarios es un mínimo esencial pero puede resultar insuficiente incluso aplicando medidas como el doble factor (2FA). Existen otras alternativas que presentan ventajas como la biometría, ya sea por huella, facial o por voz, pero también puede contar con algunos inconvenientes. En un contexto de teletrabajo donde no existe el mismo control que de los sistemas y dispositivos que se conectan a la red corporativa que en una oficina, sería conveniente que además de la autenticación de los usuarios, las organizaciones puedan contar con soluciones que puedan monitorizar en todo momento cualquier tipo de Endpoint”.
Miguel López de Barracuda cree que “una autenticación sin la otra nos puede llevar a un escenario que puede quedarse corto y en el que sea factible ejecutar ataques de manera exitosa con relativa facilidad. Esto es algo que hemos visto recientemente en multitud de ataques exitosos a entornos con múltiples factores de autenticaciones (MFA) en los que la implementación de estas herramientas ha generado una sensación de seguridad que finalmente se ha demostrado no ser completamente cierta ya que por desgracia existen en la actualidad múltiples maneras de sobrepasar las barreras MFA. Si queremos implementar un nivel de seguridad razonablemente seguro probablemente el primer paso es desplegar sistemas inteligentes qué analicen ataques de ingeniería social ya que estos son cada vez más habituales precisamente por su demostrada capacidad para sobrepasar las herramientas DM fa y de autentificación de dispositivos. Como siempre, el establecimiento de una seguridad en capas que cuente tanto con sistemas de inteligencia artificial (que nos protejan frente ataques de ingeniería social) así como con una autenticación fuerte de los usuarios y de los dispositivos es a día de hoy probablemente imprescindible”. En la misma línea se sitúa el portavoz de Sophos quien afirma que “En un entorno Zero Trust debemos autenticarlos a ambos, de tal modo que sepamos que el utilizador del dispositivo es quien debe ser y que el dispositivo se encuentra en perfecto estado y no está comprometido, pues muchas veces, los cibercriminales consiguen los accesos a corporaciones gracias a dispositivos comprometidos que, como no son comprobados y el usuario ya está dentro, tienen acceso a toda la infraestructura. De ahí la necesidad de tener esta nula confianza y aunque pueda parecer redundante, revisarlo todo para evitar dejar cualquier resquicio por el cual, un ataque pueda llegar a acceder a la red corporativa”.
«Si queremos implementar un nivel de seguridad razonablemente seguro probablemente el primer paso es desplegar sistemas inteligentes qué analicen ataques de ingeniería social», dice Miguel López de Barracuda
La clave sobre todo radica en que, en materia de ciberseguridad, intentar proteger solo el perímetro ya no es suficiente. Las empresas deben garantizar la trazabilidad del acceso y supervisar la granularidad de los privilegios del usuario, para proteger al usuario (identidad, acceso a las credenciales, acceso al Endpoint), las aplicaciones (elevación de privilegios cuando sea necesario, listas blancas y negras), así como el uso y la gobernanza. En general, las organizaciones deberían disponer de herramientas que aseguren que los privilegios que tiene asignados cada usuario en cada momento son los adecuados para la función que tiene que realizar con las aplicaciones que tiene autorizado ejecutar. Esto ya nos garantiza que el “nuevo pseudoperímetro” constituido por terminales de usuario que ya no están dentro de una zona o una red, ni protegidos por unos medios comunes, sino conectados remotamente, son seguros. La autenticación es una de las prioridades de esta nueva ciberseguridad, por ello Luis Miguel García, responsable de desarrollo de negocio en WALLIX considera que “el mundo es cada vez más digital y en un mundo digital la suplantación de identidades está a la orden del día, podríamos decir que es hasta cierto punto fácil, si no se toman las medidas adecuadas. Obviamente hay que autenticar los usuarios, tanto para acceder a sus propios dispositivos como primera medida de protección, como para acceder a los recursos de la compañía, especialmente a los más sensibles. Se necesita proteger las identidades, los accesos y las aplicaciones. Y mas aún, en este mundo digital cada vez hay más aplicaciones, robots etc, dispositivos que ejecutan funciones automatizadas, a veces sobre recursos “críticos”, y cuya autenticación es todo un reto. Pero también disponemos de herramientas especializadas para hacerlo”.
La nueva figura del CISO
Como decíamos al principio de este artículo hay una figura que aparece beneficiada de toda esta nueva realidad que es el CISO. Son numerosas las empresas que están incorporando este cargo a sus plantillas y aquellas que no lo tienen, si tienen un CIO o responsable de tecnología que a su vez es experto en materia de ciberseguridad. La figura del CISO se ha visto beneficiada porque los responsables de las compañías empiezan a ver que la ciberseguridad tiene que formar parte de la estrategia empresarial de la misma forma que lo hace el departamento de contabilidad o el de recursos humanos. Borja Pérez de Stormshield considera que “cualquier empresa de tamaño grande o mediano debe tener un CISO o un responsable de seguridad, que muchas veces es el responsable de IT. En las empresas más pequeñas, este papel lo suele jugar alguien externo. Es el canal quién está haciendo esta labor, siendo el departamento de ciberseguridad de muchas empresas”.
De la misma opinión es el portavoz de WALLIX, para quie “los CISO tienen un papel cada vez más protagonista y por eso están cada vez más presentes en Consejos de Administración de grandes y medianas compañías. Es difícil que se puedan generalizar para todo tipo de empresas ya que depende de los recursos, tamaño y estructura de la organización. Pero teniendo en cuenta el nivel de amenazas creciente, no cabe duda de que es beneficioso que las organizaciones puedan contar con un profesional de ciberseguridad con un perfil técnico, pero que a la vez tenga visión empresarial y sea capaz de influir en la dirección que toma la compañía, con habilidades de liderazgo, comunicación interpersonal y estratégica”.
Además hay que tener en cuenta que actualmente, las empresas se enfrentan a un momento de crisis en el que se van a poner en marcha ajustes de costes y aquí los CISO juegan un papel clave, ya que tienen que convencer de la importancia de invertir en esta parte (TI y seguridad), pues en caso contrario, la continuidad del negocio de puede ver seriamente afectada. Para Guillermo Fernández de Watchguard, “es cierto que muchas empresas carecen de personal cualificado en seguridad e incluso que no disponen de un departamento de TI, en este caso también hay soluciones, ya que pueden delegar en un experto externo, un proveedor de servicios de seguridad gestionada (MSSP). Esta figura está resultando de gran utilidad para las pymes, ya que ofrecen el pago por uso de soluciones y servicios de seguridad y son expertos en el área que trabajan. Esto ha generado gran interés entre las pymes, pues han visto resueltas sus necesidades de seguridad de una forma que, de otro modo, no sería viable por motivos de falta de tiempo, de recursos o de personal cualificado. Así, son los MSSP quienes se encargan de cuidar y garantizar la protección de las pymes y sus trabajadores/teletrabajadores, sin que ellas tengan otra preocupación que atender”.
El CISO es la figura central de toda la estrategia de ciberseguridad de una empresa. Es el encargado de definir las políticas de ciberseguridad que mejor se adaptan a la estructura de negocio de la compañía, quien analiza las herramientas mas adecuadas, se asegura de que no queden brechas e implanta y mantiene actualizado todo el sistema. En realidad, el CISO debe ser considerado una figura central en la buena marcha del negocio y la ciberseguridad una inversión necesaria.
Su figura es esencial porque como afirma el portavoz de WALLIX, “si no existe un responsable de seguridad IT, el peligro de un daño que puede ser grave por causa de un ciberataque es enorme. En casi todos los casos los costes de un ciberataque son mayores que las inversiones que una buena protección hubiera requerido y son irrecuperables, pudiendo llegar a poner en peligro la continuidad de las empresas. Las consecuencias en la reputación de la compañía pueden también ser enormes. Parece claro que la ciberseguridad es una actividad tan importante y con un posible impacto tan significativo en el negocio, e incluso en la en la continuidad de las empresas, que la responsabilidad debería caer siempre en especialistas, que afortunadamente cada vez hay más”.
En casi todos los casos los costes de un ciberataque son mayores que las inversiones que una buena protección hubiera requerido
El papel que juega esta figura además es complejo porque “en estos momentos, juega uno de los papeles más complicados ya que tiene que liderar internamente en la empresa la conceptualización de la seguridad IT como un elemento imprescindible para la continuidad de la misma. Por desgracia hemos visto muchos casos en los que se ha priorizado el despliegue urgente de herramientas tecnológicas que permitían la conectividad y el teletrabajo pero que no contaron con un análisis de seguridad suficiente. Esto ha llevado a muchas empresas a la asunción de unos elevados riesgos frente ataques que en muchos casos pueden terminar configurándose como el elemento crítico que impida la continuidad del negocio corporativo. Pensemos que el daño reputacional o incluso las sanciones a las que una empresa puede enfrentarse en estos momentos por una brecha puede terminar siendo la gota que colme el vaso y lleve a la compañía a su cierre”, afirma Miguel López de Barracuda.
Además está el factor coste. No todas las compañías pueden permitirse en sus plantillas a un responsable de seguridad. Por ello algunas lo que hacen es que sea el CIO el que juegue también ese papel. Pero hay también otras opciones. Por ejemplo, desde Sophos disponen de partners que ofrecen servicios de CISO, por lo que no es estrictamente necesario tener a alguien en plantilla para ello, pues las empresas podrán contar con estos integradores ofreciendo dichos servicios, externalizando esta figura y así la empresa puede seguir focalizada en lo que de verdad sabe hacer.
Así que no hay ninguna excusa para no potenciar el departamento de seguridad. Ponga un CISO en su vida.