Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

ciberseguridad ciberataques

La seguridad se abre paso en la empresa

Paradójicamente, este incremento de los ciberataques ha supuesto una ventaja para la seguridad. Y es que, usuarios y empresas, a base de ataques, han ido tomando conciencia de la necesidad de tomar medidas para proteger equipos, datos y aplicaciones. Faltan todavía muchas cosas en las que avanzar: formación de los usuarios, desmontar falsas creencias o considerar la ciberseguridad como una inversión y no un gasto son sólo algunos de los elementos a mejorar, pero lo cierto es que la política de seguridad por parte de las empresas es algo que está mejorando.

A pesar de esta mejoría, la ciberseguridad es uno de los principales elementos para poder llevar a cabo la transformación digital y son múltiples los retos que tiene por delante. Vamos a analizar algunos. En opinión de José María Ochoa, Área Manager de OneseQ (by Alhambra-Eidos) y Co-Director de LAB SEC Blockchain, “el principal reto de seguridad de cualquier compañía es siempre eliminar o minimizar al máximo cualquier brecha de seguridad que pueda afectar a su ecosistema. En muchas organizaciones, a la hora de afrontar la transformación digital, no cuentan con un plan de seguridad que garantice la estabilidad de la compañía, por lo que las consecuencias acaban siendo en algunos casos desastrosas. De ahí que la concienciación en materia de ciberseguridad sea un pilar fundamental en las compañías. Resulta fundamental que, las compañías que no se encuentren capacitadas para mantener sus infraestructuras seguras, se dejen auditar y asesorar por expertos que puedan hacer un estudio del que, entre otras cuestiones, puedan extraer, como punto de partida, un mapa de riesgos e impacto junto con los activos más valiosos a proteger”.

Pero en la era del Big Data, la nube o el IoT, hay un elemento que es clave en lo que se refiere a la ciberseguridad. Ese no es otro que la protección del dato por lo que es cada vez más importante su protección frente a accesos no autorizados o del uso indebido que, de forma inconsciente, puedan hacer los propios empleados de la compañía. En este sentido, Rafael Del Cerro Flores, Presales Security Systems Engineer para el Sur de Europa de Aruba cree que “los principales retos son analizar como se están comportando los propios usuarios en la red para detectar anomalías y posibles usos indebidos, y es necesaria la gestión de la amenaza interna”. Por su parte, Daniel Madero, country manager de MobileIron considera que los principales retos del sector de la ciberseguridad se encuentran en “la desaparición del perímetro de la red corporativa. El puesto de trabajo es móvil y los servicios se van a la nube. Ya no existe la visibilidad y el control sobre la red”.

En definitiva, los principales retos que marcarán las prioridades en ciberseguridad durante los próximos meses son variados. María Campos, VP sales worldwide key account, MSSP y Telcos de Panda Security cree que “por una parte, el incremento de la ingeniería social será uno de los puntos donde hacer foco, dado el elevado número de ataques de phishing que hemos visto durante 2018. Otro reto importante seguirá siendo las contraseñas débiles, con las que aumentan las posibilidades de robos de credenciales. El auge de los dispositivos IoT también cobrarán importancia, ya que la seguridad de estos dispositivos es muy débil y los usuarios no son completamente conscientes de las amenazas que presentan. También se hará foco en las nuevas tendencias de malware, centradas principalmente en robar el dinero de las víctimas; especialmente aquellos malware que infecten ordenadores para minar criptomonedas como Bitcoin”. La portavoz de Panda Security cree además que, la seguridad del Cloud es otro de los grandes retos, ya que la mayoría de las empresas que utilizan estos servicios, confían en que los proveedores de servicios son los responsables únicos de la seguridad, cuando en realidad es responsabilidad de todas las partes implicadas. Esta directiva, con una larga experiencia en el sector añade que también hay que estar atentos a “las amenazas de Inteligencia Artificial, ya que los hackers podrían utilizar esta tecnología para encontrar vulnerabilidades en los sistemas para poder atacarlos e, incluso, podrían llegar a habilitar malwares con IA para que aprendan cómo atacar un ordenador en red evitando ser detectados por las herramientas de ciberseguridad”.

Riesgos innecesarios

Una de las características del mundo de la ciberseguridad es que en numerosas ocasiones y, fruto del desconocimiento, las empresas toman riesgos que son innecesarios. Existen males endémicos, no solo relacionados con riesgos o malas praxis, más bien en relación a la falta de concienciación de la Seguridad a los propios empleados. La compartición de password, accesos no controlados, falta de segmentación en la red y sobre todo visibilidad de todo lo que hay conectado es el principal problema. El problema es que las empresas no pueden defenderse de algo que no conocen, por lo que se vuelve a un punto inicial de dar visibilidad de lo que se tiene para poder aportar las medidas correspondientes. El problema se agrava porque esta visibilidad muchas veces no la puede ofrecer un sistema aislado por sí solo, sino que se deben contar con herramientas abiertas que fomenten la compartición de contexto entre ellas. Para Miguel López, country manager de Barracuda, “uno de los mayores riesgos es considerar que una herramienta de antispam y antimalware perimetral tradicional es una protección suficiente. A día de hoy estas barreras no pueden frenar ataques basados en ingeniería social y robo de credenciales como los ya mencionados BEC y ATO”. Pero hay más. Así por ejemplo, Josep Albors, responsable de concienciación e investigación en ESET, afirma que entre los riesgos innecesarios que se toman por parte de las empresas destacan “la conexión de dispositivos IoT que no son monitorizados ni cuentan con unas medidas de seguridad básicas a redes corporativas suponen una puerta de entrada a los atacantes. Asimismo, las malas políticas de actualización de software y la pobre segmentación de las redes permiten que muchas amenazas sigan afectando a nuestras empresas con gran facilidad”.

Pero, probablemente uno de los principales riesgos que corren las empresas españolas sea precisamente la falta de estrategias de seguridad integrales en el contexto de transformación digital que vivimos. Ya no basta con poner una solución puntual frente a un problema o riesgo puntual. Por lo que el desafío de las empresas es aumentar y mejorar el control de todos los endpoints de su red. En este sentido, el director general de Sophos, Rucardo Maté, considera que “la mayoría de los movimientos laterales que realizan los cibercriminales en sus ataques se producen en los endpoints y recurren a técnica antimalware para avanzar por el sistema y aumentar sus privilegios. Es importante contar con medidas de seguridad como la seguridad sincronizada que promovemos desde Sophos que permite compartir la información entre los endpoints y los firewalls para poder detectar y automáticamente aislar un sistema que sea vulnerable a una posible infección antes de que se extienda por todo el sistema”.

El coste

Este es otro de los principales problemas a los que se enfrentan las empresas a la hora de proteger sus datos. Sobre esto, hay que señalar dos factores: el primero de ellos, tiene que ver con que, todavía, muchas compañías consideran la seguridad como un gasto y no como una inversión por lo que en muchas ocasiones se dejan de tomar las medidas necesarias. Y luego está el coste propiamente dicho y éste, si se quiere tener todo realmente protegido, es elevado.

En realidad no debería considerarse el coste de la seguridad ya que es un elemento necesario en la infraestructura tecnológica de una empresa. Ciertamente, cubrir cada ángulo, cada dimensión tecnológica puede no resultar económico… pero ¿cuál es la alternativa?, ¿no hacerlo? Desde Symantec, Ramsés Gallego, Strategist & Evangelist de la compañía, considera “es importante apostar por la priorización, por definir un mapa de inversiones que, lógicamente, protejan primero las superficies mayores de ataque (el puesto de trabajo, la red, la nube, la movilidad) y posteriormente entornos menos habituales, que supongan un riesgo menor. Pero disponer de una protección de principio a fin, holística, completa, sólida, etc. nos parece instrumental para el éxito. Vivimos tiempos de profundidad y expansión tecnológica, con muchos sistemas, muchos entornos, muchas nubes, sí. Pero, a la vez, vivimos tiempos en los que una aproximación de seguridad que comparta servicios comunes, con una visión ‘de plataforma’, que permita a más de un servicio/producto nutrirse de la inteligencia de amenazas vista en otro entorno es fundamental. Por último, no creo que deba responder si es caro o barato porque, en nuestra opinión, depende del apetito de riesgo de cada organización. Lo que sí sabemos es que fundamental, crítico… y que más allá de caro o barato debe preguntarse en qué medida se puede abordar o no ya que cualquier compañía tiene dimensiones digitales que debe proteger como ocurre con el entorno físico, donde hay tácticas de protección que incluyen una alarma, una entrada reforzada a la entidad, cámaras de vigilancia, cerramientos exteriores más robustos, etc.”.

Ángel Ortiz, Director Regional de McAfee en España cree que “no se trata tanto de una cuestión económica, sino de necesidad. Las inversiones en ciberseguridad deberían estar contempladas en los presupuestos de las organizaciones y nadie mejor que ellas mismas conoce sus necesidades. La realidad es que el panorama de ciberamenazas está en constante evolución y protegerse ya no es una opción. No hacerlo puede exponer gravemente a las empresas a exposición de datos confidenciales, robo de información personal e incluso acceso a sus cuentas bancarias”. No obstante, invertir en ciberseguridad no es algo que tenga que ser necesariamente claro. En este sentido, la portavoz de Panda Security considera que “contar con una infraestructura de ciberseguridad no tiene por qué ser necesariamente tan caro como para no poder invertir en ello. Es un error considerar la ciberseguridad de una empresa como un gasto adicional. En el caso de las pymes, que quizás no cuenten con tanto presupuesto para invertir en ciberseguridad, es importante analizar las amenazas potenciales de cara a buscar modalidades de servicios que puedan resultar más acorde a sus necesidades. Además, es importante formar a los empleados en una concienciación de ciberseguridad, ya que pueden evitar las amenazas internas que en muchas ocasiones ocurren debido a la desinformación”. Por su parte, el portavoz de OneseQ de Alhambra-Eidos, cree que “más que si es caro o barato, yo hablaría en términos de rentabilidad. Es obvio que el volumen de la inversión se determinará por las características de cada organización. No obstante, y, en cualquier caso, es mucho más caro recuperarse de un ciberataque que prevenirlo. Es tan sencillo como preguntarse: ¿cuánto me costaría el parón total de mi compañía durante horas, días, semanas…?

Y es que, aunque a veces caemos en el error de creer que una pyme no necesita invertir en este tipo de cuestiones, podríamos decir que es, más bien, al contrario. Su capacidad de recuperación tras un ataque suele ser menor que la de una gran empresa. Es normal y habitual que las compañías no se encuentren capacitadas para mantener sus estructuras seguras, debido a que la ciberseguridad se encuentra en constante cambio y resulta difícil estar al día y tener capacidad de respuesta. Es por lo que muchas entidades deciden ponerse en manos de compañías proveedoras que puedan ofrecerles soluciones escalables y gestionadas adecuadas a su situación”.

Aunque a priori parezca caro, lo cierto es que contar con una infraestructura de seguridad fuerte y robusta puede, a largo plazo, ser la mejor opción para las empresas. Y es que el coste medio de una brecha de seguridad alcanzó los 102.000€ en 2018, que es un 36% superior a la cifra de 2017 según los datos del informe “El estado de la economía de la seguridad TI corporativa en 2018” de Kaspersky Lab. En este sentido, Alfonso Ramírez, director general de la compañía asegura que “estos crecientes costes son una preocupación para las empresas inmersas en la transformación digital actual. Por ello, y ante este panorama, las organizaciones se están dando cuenta que deben priorizar el gasto en ciberseguridad para que los proyectos de transformación digital funcionen sin problemas y de forma segura. Esto se puede ver en el crecimiento que los presupuestos de seguridad TI han tenido en 2018. De acuerdo con este mismo informe se prevé que las empresas grandes dediquen casi un tercio de su presupuesto TI (7,5 millones €) a la ciberseguridad. Curiosamente, a pesar de que tradicionalmente se consideraba que las empresas más pequeñas eran las que menos gastaban en seguridad, en los últimos doce meses su presupuesto ha pasado desde los 2 mil € hasta los 3,3 mil €”.

En definitiva, el coste puede ser muy elevado si se pretende tener todo controlado, pero lo normal es que éste no sea alto si se establecen los parámetros necesarios. No tomar medidas, sí que supone un coste y es que, como afirma el portavoz de MobileIron, “incumplir la GDPR puede resultar mucho más caro”.

La nube

Uno de los elementos que están cambiando el mundo de la seguridad es la nube. Ya no se trata de proteger los datos y la infraestructura situada en la propia empresa porque muchos datos ya no se encuentran allí sino en el cloud. En este sentido, aparece uno de los errores más comunes por parte de las empresas a la hora de afrontar su política de seguridad y es que muchas de ellas creen, erróneamente, que la seguridad corre por cuenta del proveedor cuando es el cliente el que es responsable de lo que ocurre con sus datos. Para Sergi de la Torre, CTO de Econocloud de Econocom, “cualquier aplicación requiere que se apliquen políticas de seguridad a múltiples niveles y es necesario conocer de antemano quien será responsable a cada uno de los niveles. Por norma general nuestro proveedor cloud, ya sea Econocloud de Econocom o cualquier otro, gestionará la seguridad física así como la continuidad del servicio, mientras que la gestión de la seguridad a nivel de aplicación, la configuración segura de las comunicaciones, el almacenado seguro de los datos, etc. serán responsabilidad del administrador de la aplicación. Conviene siempre asegurarse y realizar auditorias periódicas para garantizar el correcto cumplimiento”.

Cloud, sin embargo, también mejora la seguridad. Y es que, son muchas las aplicaciones de seguridad que corren bajo cloud. En este sentido, Miguel López de Barracuda asegura que “cloud es imprescindible ya que permite dedicar recursos a tareas con mucha mayor efectividad que un planteamiento de seguridad basado en procesamiento local. Un buen ejemplo de ello son los entornos antimalware con Sandbox en los que vemos que el cloud mejora de forma sustancial tanto el nivel de detección y seguridad como la velocidad y escalabilidad de los análisis”. Por su parte, Ignacio Franzoni, SME en Fortinet afirma que Cloud es sinónimo de automatización y de pago por uso (entre otras), por lo que para los desarrolladores de soluciones de seguridad como nosotros cloud es uno de los pilares estratégicos de desarrollo y crecimiento, invertimos en I+D para adaptar los productos a estos modelos, consiguiendo los mismos beneficios que el cloud proporciona”.

En cuanto a cambiar la mentalidad de empresas y usuarios con respecto a quién es el responsable de la seguridad del dato, si el proveedor o el propio usuario, José María Ochoa, de OneseQ de Alhambra-Eidos, considera que “la seguridad es cosa de todos, de la propia organización y de los proveedores con los que cuente la misma. Por tanto, debemos ser conscientes de que este equipo debe existir, debe trabajar conjuntamente y la elección de los miembros externos de este equipo debe de ser la adecuada. El Cloud, como todos sabemos, es un facilitador, permite optimizar los recursos, disponer de un aprovisionamiento inmediato de las nuevas tecnologías, agilizar la adaptación y la integración y reducir las inversiones iniciales a través de un pago por uso. Pero además, haciendo una buena elección del proveedor Cloud, la organización mejorará la seguridad y la protección de datos, le ayudará al cumplimiento normativo tan importante a día de hoy, contará con planes de recuperación ante desastres y dispondrá de manera continuada de una total flexibilidad ante las necesidades del negocio, evidentemente también en seguridad. Un proveedor Cloud de garantía, dispondrá de servicios acreditados por certificaciones que aseguren la calidad del servicio y permitan al cliente adecuarse a procesos de seguridad de la información y cumplimiento normativo sólo con el hecho de acceder a su nube. Proveedores Cloud con certificaciones como la ISO 27018, ISO 27000, ISO 22301 o ISO 20000 son proveedores con servicios Cloud GDPR Compliance que van a hacer que sus clientes estén al día en lo relativo a la protección del dato, la seguridad, el cumplimiento normativo y, además, en eficiencia energética”. El director técnico de Trend Micro, José de la Cruz también considera de suma importancia conocer quién es el responsable de la seguridad de los datos y aplicaciones alojados en el cloud. En su opinión, “al trabajar con entornos cloud debemos comprender que la responsabilidad de la seguridad es compartida: el proveedor se encarga de la infraestructura y el cliente de proteger sus aplicaciones y datos. En este sentido debemos acotar dicha responsabilidad en el momento de la firma del contrato con el correspondiente proveedor cloud. Asimismo, debemos exigir información acerca de las medidas de seguridad que dicho proveedor tiene implementadas en su infraestructura.Una vez acotada la responsabilidad, deberemos implementar mecanismos para proteger la parte que nos corresponde (la no protegida por el proveedor cloud) de idéntica manera que haríamos en nuestra infraestructura local”.

Actuaciones a tomar

Para enfrentarse de la mejor forma posible al complejo panorama de la seguridad, las empresas deben contar con una solución que resuelva la ecuación de manera sencilla, innovadora y altamente efectiva. Un sistema de seguridad por capas que cubra los diferentes componentes de sus sistemas de TI: correo, red, navegación web, puestos de trabajo, wifi, dispositivos móviles y aplicaciones. Pero no solo eso, sino que debido a la complejidad de los ataques de hoy en día es más que conveniente que estas soluciones sean capaces de hablar entre sí, compartiendo información sobre cualquier incidente de seguridad, para conseguir que su fiabilidad aumente. En este sentido, el director general de Sophos considera que “el puesto de trabajo seguirá siendo siempre atractivo para el cibercrimen y, con una solución como Intercept X de Sophos, capaz de detener el malware de día cero, los ataques sigilosos y las variantes exploit desconocidas, e incluye funcionalidades avanzadas antiransomware que permiten detectar ataques desconocidos previos en cuestión de segundos, minimizaremos los riesgos. Y otro factor importante y que más vale no perder de vista es el correcto cumplimiento con el GDPR. En cuestión de seguridad, los datos son un riesgo, no un activo y no solo hay que tener cuidado con lo que almacenamos y dónde lo almacenamos, sino también hemos de poner medidas para que, en caso de que nuestra información se pierda o sea sustraída, no pueda ser utilizada. En este sentido, desarrollamos una solución como SafeGuard Encryption de Sophos, que permite el cifrado sincronizado para resguardar la información a la que se accede desde móviles, portátiles, ordenadores, redes y aplicaciones para compartir archivos en la nube, nos asegurará esta protección extra y nos ayudará a cumplir con el nuevo reglamento europeo”.

Por otra parte, en estos momentos existe un incremento de los datos críticos en servicios SaaS e IaaS, es decir, que están situados fuera del perímetro de la empresa. Ha cambiado totalmente la forma de trabajar, el lugar de residencia de los datos y la forma de acceder a los mismos. Y, sin embargo, los presupuestos de seguridad continúan enfocados en soluciones de seguridad Perimetral principalmente, las cuales son inefectivas en este nuevo entorno en el que nos movemos. Por todo ello, se debe buscar un nuevo paradigma de protección de la información. Se debe de apostar por soluciones que redefinan un nuevo perímetro de seguridad alrededor de los datos que tenemos hoy, alrededor de la nube. En este sentido, Samuel Bonete, country manager de Netskope cree que “esas soluciones pueden ir orientadas en dos líneas. Por un lado el Gobierno de los datos en SaaS, ya sea este SaaS regulado (O365, G-Suite, Salesforce, etc) o no regulado (aplicaciones cloud que los empleados utilizan sin estar aprobadas ni gobernadas por los departamentos de IT). Por otro lado, es también importante el gobierno de la información y revisión continúa de configuraciones en IaaS. Estamos hablando monitorizar de forma continua la postura de seguridad de nuestra infraestructura IaaS (Cloud Security Posture Management) así como de tener control sobre los datos que tenemos albergados en IaaS y como éstos son trasegados entre los diferentes proveedores de cloud pública. Por tanto, y a modo de resumen, podemos hablar de la importancia creciente de controlar tanto los entornos SaaS, bien sea aplicaciones reguladas como Office 365 o AWS, bien sea aplicaciones no autorizadas por el departamento de TI, como los entornos IaaS (AWS, Azure, GCP)”.

El papel de la inteligencia artificial

Una de las herramientas que parece que en los próximos años va a tener una especial relevancia en el mundo de la ciberseguridad es el de la inteligencia artificial. Gracias a ella, es de prever que se puedan atajar numerosos ataques antes de que incluso lleguen a producirse. Como afirma el country manager de MobileIron, “la inteligencia artificial lo que va a proporcionar es añadir capacidad contextual a los sistemas de seguridad, lo que redunda en una mejora de la seguridad implementada”.

Paradójicamente, el incremento de los ciberataques ha supuesto una ventaja para la seguridad. Y es que, usuarios y empresas, a base de ataques

La inteligencia artificial ha llegado para quedarse y la realidad es que los fabricantes ya tienen en el mercado soluciones que empiezan a explorar las ventajas de esta tecnología. Los sistemas más innovadores están implantando ya en la actualidad sistemas basados en IA/ML para detectar los patrones de conducta de las infraestructuras y poder así alertar/adaptar cuando se identifican patrones de comportamiento anómalos. Estos sistemas nos permitirán identificar rápidamente los puntos que merecen de nuestra atención para así corregir de manera ágil y segura. En este aspecto, Sergi de la Torre, CTO de Econocloud de Econocom asegura que “la inteligencia artificial es más fiable cuanta más información dispone. Es por este motivo por el que el campo de la seguridad es uno de los entornos más aptos para este tipo de tecnologías, debido a la ingente cantidad de información que recolectan los sistemas SIEM y todos los sensores desplegados. Estas tecnologías son un gran valor de futuro para la seguridad”. Por su parte, María Campos de Panda Security cree que “la inteligencia artificial (IA) pueden ayudar a detectar, así como analizar ciber amenazas rápidamente de cara a evitar incidentes. En esta línea, la IA ayudará a localizar más rápidamente aquellos parámetros que sobresalgan los patrones normales, aquellos que pueden ocultar un potencial ataque. Además, el aprendizaje automático posibilitará la identificación de posibles vulnerabilidades del ecosistema tecnológico de una organización, especialmente aquellos más sensibles como el correo o los dispositivos móviles. Con el avance de la IA, seremos capaces de automatizar ciertas labores de ciberseguridad sin comprometer el nivel de protección, de tal manera que los activos humanos puedan dedicarse a tareas más complejas”.

El rol del CISO

El CISO demuestra la importancia que las empresas están empezando a dar a las estrategias de ciberseguridad. Buena prueba de ello es que se trata de un cargo de reciente creación. Hace unos años el papel del responsable de la ciberseguridad era desempeñado por el CIO, que normalmente no conocía de forma exacta a lo que se enfrentaba. Por eso las empresas, sobre todo las grandes cuentas, empezaron a priorizar la necesidad de tener a una persona que se encargará de forma exclusiva de la ciberseguridad. Asi que, ¿cuál es el papel que debe jugar esta figira en el engranaje de las organizaciones? Para José María Ochoa, Área Manager de OneseQ de Alhambra-Eidos, “el CISO es una figura que cada vez tiene más fuerza en las medianas y grandes organizaciones (quizá en estas últimas). Seamos realistas, el papel que el CISO hace en una gran corporación, es el papel que hace el responsable IT en una pequeña organización. Lo que pasa que la dedicación, la puesta en marcha y el conocimiento de la seguridad a aplicar en su compañía va a ser menor que la que puede aportar un CISO. Sea como fuere, ambos deben mantener la seguridad de la compañía y es básico que estén alineados con la estrategia de la compañía y que la Dirección de la empresa le dote de las herramientas necesarias para llevar a cabo su plan de seguridad. Uno de los primeros pasos que se está dando es la formación del personal dedicado a la ciberseguridad, sea o no el CISO. Programas formativos como el CCISO o el ECHv10 son programas que ayudan a dar pasos agigantados hacia un plan de garantías que permita minimizar las amenazas, conocer cómo se suceden los ataques y saber dónde están las brechas”. Por su parte, Antonio Martínez Algora, responsable técnico de Stormshield afirma que “el CISO es un actor clave para garantizar la continuidad de negocio ya que no sólo conoce la tecnología sino también el negocio, igual que otros directivos de máximo nivel. Por tanto, conoce cómo afecta cada decisión tomada desde tecnología, o cómo afectaría un ataque en el negocio”.

Los riesgos de IoT

Finalmente, hablamos de un tema candente. IoT es una realidad, pero todavía va a tener mucha más importancia cuando la tecnología 5G y el Edge Computing estén funcionando a pleno rendimiento. Entonces, posiblemente se oirá “Houston, tenemos un problema”. El problema en sí radica en que muchos de los dispositivos y sensores que se fabricaron hace años, se hicieron sin tener en cuenta la seguridad. Tal es así que en la mayoría de los casos no tienen ninguna medida de seguridad. Esto es algo que no ocurre con los nuevos dispositivos, pero ¿qué sucede con los antiguos? El portavoz de ESET no tiene ninguna duda de que este equipamiento obsoleto supone un auténtico problema: “La inseguridad de los dispositivos IoT es una de las principales amenazas debido a que se están conectando a redes corporativas y sirven como puerta de entrada a los ataques de los ciberdelincuentes. Se deben segmentar adecuadamente las redes e instalar medidas eficientes para, en caso de que se vean afectados estos dispositivos, aislarlos del resto de la red”.

Y es que, ya existen varios ejemplos de los últimos dos años de que algunos ataques han sido originados por dispositivos de este tipo y por tanto deben ser tratados como un elemento a aecurizar. En muchos casos estos equipos no han sido concebidos con el mantra “security-by-design” y por tanto pueden representar un problema de Seguridad. Por eso y tal y como afirma el portavoz de Aruba, “es importante que las soluciones de tipo NAC permitan aportar solución a dicha conexión. No se puede negar ni vetar que existen en la red, por lo que se deben aportar las medidas necesarias para garantizar la conexión, primero identificando qué se está conectando a la red mediante el perfilado; y luego asignándole roles de acceso según dicho perfilado. Estas políticas de Seguridad deben ser adaptadas al tipo de dispositivo IoT conectado: ¿Tiene sentido que un sensor de Temperatura envíe varios gigabits de tráfico cada hora? Ahí está la importancia de la segmentación y perfilado: estos dispositivos únicamente deben tener acceso a los recursos necesarios y para ello la Seguridad debe ser adaptativa y flexible. Un día puede haber un dispositivo IoT conectado a una toma de red; más tarde un usuario puede hacer uso de dicha toma y el NAC debe adaptar la política en función de qué se ha conectado: no debe ser una política estática”.

Finalmente, Ramsés Gallego de Symantec considera que “Cuando, como sociedad, decidimos que conectar sistemas industriales -a veces infraestructura crítica- a la red Ethernet de las compañías y, de allí, a Internet, no consideramos los problemas que puede acarrear tener sistemas complejos en la misma topología que por donde viajan nuestros datos. Además, esos sistemas industriales, que fueron diseñados de manera que fueran funcionales, que hicieran lo que debían hacer, pero con nulas medidas de seguridad suponen, quizás, la superficie de ataque más extensa que hayamos conocido hasta ahora. Por ello, desde Symantec pensamos que considerar el entorno industrial, esa ‘Internet de TODAS las Cosas’ como un elemento más es fundamental. A veces no se puede desplegar nada ‘tradicional’ en ese sistema (un anvitirus, un sistema de prevención de intrusiones, …) pero sí se puede y se debe ‘bastionar’, reforzar la seguridad para garantizar que la plataforma únicamente hace aquello para lo que fue diseñada, con tráfico entrante o saliente pero controlado. Ésa es la manera. Y, de nuevo, todo ello visto desde un punto de vista ‘de plataforma’, ‘como un todo’. Es la manera de poder integrar esos sistemas industriales dentro de la visión global de seguridad de la entidad: desde la planta de fabricación hasta el puesto de trabajo, desde la cadena de montaje hasta el datacenter. Ésa es la manera y en eso creemos en Symantec”.

Deja un comentario

Scroll al inicio