La seguridad se ha convertido en un problema de grandes magnitudes para cualquier organización. El incremento de los ciberataques, la mayor sofisticación de los mismos así como la ampliación de la superficie de ataque ha hecho que el departamento de ciberseguridad sea uno de los más importantes de cualquier organización.
La figura del CISO es relativamente reciente. Hasta no hace mucho, la seguridad de una compañía recaía también entre los CIOs, pero eso ha ido cambiando paulatinamente desde que las empresas vieron los peligros de sufrir un ciberataque. Y es que, hasta no hace mucho, la seguridad era un elemento secundario. Sí había que proteger los sistemas, pero muchos directivos consideraban que con tener un antivirus bastaba. El caso, es que los ataques fueron incrementándose, la capacidad de los ciberdelincuentes para atacar, también, pero sobre todo, las nuevas formas de ataque ya no afectaban a un servidor concreto, sino que eran capaces de parar completamente a toda una organización.
De esta forma, los consejos de administración empezaron a preocuparse por este apartado y descubrieron que buena parte de los CIOs no eran especialistas en ciberseguridad. Con la aparición del ransomware y, desde la pandemia, con el auge del teletrabajo, en el que las conexiones y accesos se producen desde cualquier lugar y a través de diferentes dispositivos, el trabajo del CISO se ha convertido en esencial. En general, las empresas se han convencido, por fin, de su importancia, pero aún así sigue habiendo compañías que consideran a la ciberseguridad un gasto más que una inversión.
Josep Mulero, Information Security Officer de LIDL, cree que “en España, tuvo mucho impacto en su día el ataque sufrido por el SEPE. Este hecho ha provocado que las compañías sean cada vez más conscientes de la importancia de la ciberseguridad para protegerse de este tipo de amenazas. No obstante, en algunas empresas, la ciberseguridad todavía sigue siendo percibida como un gasto y no como una inversión, y se actúa de forma reactiva y no proactiva”.
A pesar de que siempre hay personas que siguen pensando que a sus empresas no les va a pasar nada, lo cierto es que cada vez son menos. En general casi todo el mundo es consciente de que en algún momento va a sufrir un ciberataque y si tiene éxito, no sólo puede parar la compañía sino que se producirá una importante crisis de reputación. Por eso, Juan Cobo, Global CISO de Ferrovial, asegura que “una empresa siempre centra su atención en aquello que genera valor para sus stakeholders o en aquello que pone en peligro la generación de valor. De un tiempo a esta parte, la ciberseguridad, o, mejor dicho, las ciberamenazas, constituyen uno de los riesgos más relevantes a los que las empresas tiene que hacer frente por el peligro real que suponen para la generación de valor. Es una de las consecuencias naturales de la digitalización exponencial y de la dependencia tecnológica creciente de cualquier entorno o proceso empresarial”. La clave para que mejore la visión que las empresas tienen de la ciberseguridad es la de “valorar los riesgos que corre cada empresa al adoptar y tratar ciertas tecnologías y darle valor tanto a su información como a su operación. Todas estas variables y su conocimiento harán que las organizaciones valoren la ciberseguridad no solo desde el punto de vista de la defensa si no como una aportación de valor al negocio”, explica Francisco García Lázaro. Corporate Information Security Sr. Director de Palladium Hotel Group.
Estrategia
Hablábamos de que antaño, la labor que hoy realizan los CISOs la desempeñaban los CIOs para quienes el mundo de la ciberseguridad estaba en un segundo plano. Hoy, se ha mejorado, pero a pesar de la importancia que está cobrando la seguridad entre las empresas, muchas de ellas todavía creen que las defensas se establecen sólo con tener los mejores productos del mercado. Y sin embargo falta lo fundamental: tener una estrategia de ciberseguridad. Para establecer de forma correcta una política de ciberseguridad, Gabriel Moliné, CISO de Leroy Merlin, cree que “es necesario diseñarla desde la sencillez y la claridad. Se trata de un documento clave dentro del marco normativo de seguridad de una empresa. Debe contener los objetivos de control de más alto nivel y a la vez debe ser un documento accesible para cualquier persona con acceso a los sistemas de información de la compañía. Con el proceso actual de convergencia en seguridad corporativa no solo debe incluir los aspectos clásicos de ciberseguridad, sino que se deben incluir también los aspectos de seguridad física”.
Y tampoco vale con el diseño de la estrategia. Es decir, diseñar una política de ciberseguridad que sea una especie de hoja de ruta permanente es un error. De la misma forma que los ciberatacantes están continuamente ideando nuevas fórmulas, las defensas también deben evolucionar. Por ejemplo, hasta hace poco, las empresas que sufrían ataques de ransomware podían minimizar los daños y los costes simplemente haciendo una copia de seguridad de los datos. Pero la doble extorsión ha cambiado el juego, y las empresas deben ahora prepararse para la publicación de los datos robados, además del cifrado, durante un incidente. Por eso la estrategia de defensa también debe evolucionar. Tal y como afirma Francisco García Lázaro, “la política de seguridad debe ser diseñada de forma que no quede en un simple montón de documentos en un repositorio. Debe ser algo vivo y que dé respuesta a los problemas tecnológicos que surjan en la organización. Cierto es, que hay una parte protocolaria pero fundamental, como es la aceptación por parte de la dirección. La parte más importante es que debe ser conocida, y en ello, el departamento de seguridad tiene el rol de evangelizador de la política. En nuestro caso, tenemos una norma en nuestro departamento que dice, “todo lo dicho debe ser escrito”, esto evita interpretaciones erróneas, reflejando en las diferentes capas de la política las instrucciones claras para su cumplimiento”.
Los mayores riesgos
Suplantación de identidad, accesos indebidos, phishing,… las variantes del malware son casi infinitas, con una estrella que brilla por encima del resto: el ransomware. Según el estudio “El estado del ransomware” realizado por Sophos, un 51% de empresas ha sufrido un ataque de este tipo. Y da igual el sector o el tamaño, aunque es cierto que las más grandes, por el hecho de que el cibercriminal entiende que tiene mayores posibilidades de obtener un mayor rédito económico, tienen más posibilidades de sufrir un ataque de ransomware. El problema para las organizaciones ya no es tanto el apartado económico (un buen ciberseguro llega a pagar lo gastado en un rescate) como el bloqueo de sistemas y datos y que estos ataques son cada vez más sofisticados. “Es evidente que existen muchos eventos que nos pueden preocupar, pero desde mi punto de vista, las versiones más modernas de ataque de ransomware, donde se utilizan diferentes técnicas, diferentes vectores de entrada y con impactos terribles como son la perdida de operativa, doble extorsión, uno sobre el cifrado y otro sobre el data leak, y otras medidas coercitivas como puede ser una ataque de denegación de servicio sobre tu página de ventas, por ejemplo, son un punto de inflexión con respecto a otros tipos de ataques”, afirma el Corporate Information Security Sr. Director de Palladium Hotel Group.
Y la preocupación de los CISOs se centra en el bloqueo. Saben que se va a pedir un rescate, pero al final cualquier cosa que se puede resolver con dinero, no es un problema. El verdadero drama es no poder acceder a los datos, aunque se pague el rescate. Y es algo que sucede de forma recurrente. Otro estudio, este de Hornetsecurity, señala que sólo el 9,2% de las empresas que pagaron el rescate recuperaron la totalidad de los datos. El resto o recuperaron sólo una parte o, directamente, no lo hicieron. Así que ese es el mayor temor de los CISOs como señala Josep Mulero de LIDL: “Los mayores riesgos a los que se enfrenta un departamento como el nuestro son aquellos ataques que puedan afectar a la operativa del negocio, que amenacen con la publicación de información confidencial de la empresa o que puedan dañar la imagen de nuestra empresa. Paralelamente, mantener los sistemas actualizados y parcheados para las diferentes vulnerabilidades que se descubren a diario también es un reto importante que afecta principalmente a los equipos de infraestructuras y que debe gestionarse en perfecta armonía con los responsables de seguridad y el CIO”.
Pero aunque el ransomware acapara el mayor protagonismo, el malware acecha en cualquier lugar y bajo diferentes aspectos porque como asegura el CISO de Leroy Merlin, “los departamentos de seguridad nos enfrentamos a sistemas de información cada vez más interconectados y abiertos. Hemos abierto nuestros sistemas para permitir la conexión tanto de los sistemas de los proveedores y partners como de los clientes. Esto supone un reto para la ciberseguridad, ya que cualquier eslabón débil de la cadena puede desembocar en una brecha para nuestra seguridad”.
Las medidas más eficaces
Establecer una correcta estrategia es esencial, pero hay que tener en cuenta que cada compañía tienen unas necesidades diferentes. No es lo mismo los datos de un hospital que los de un restaurante como tampoco lo son las conexiones externas que recibe una multinacional que una pequeña tienda de barrio. Así que cada CISO debe implementar las medidas que se ajusten a estas necesidades, y cada uno de ellos establece unas prioridades. Por ejemplo en el caso de Ferrovial, Juan Cobo afirma que “si hablamos exclusivamente de tecnología, nosotros siempre tratamos de consumirla en modo servicio, aprovechando siempre el potencial de los servicios en nube y apostando por soluciones que llevan embebido el concepto de plataforma, es decir, no priorizando lo mejor de cada tecnología, sino aquella que dispone de capacidades múltiples integradas, que hablan entre sí y que actúan y responden de forma orquestada”.
Por su parte, el ISO de LIDL hace hincapié en los riesgos del correo electrónico. Bajo su punto de vista, “dado que el 90% de los ataques tiene como origen un correo electrónico, a nivel tecnológico considero vitales los sistemas de seguridad en los servidores de correo entrante y los servidores proxy que filtren el acceso a Internet. Mantener los sistemas actualizados y parcheados es otra de las medidas más eficaces. Y por último, también resulta primordial que los empleados de la empresa que tengan acceso a sistemas informáticos, estén plenamente concienciados ante este tipo de riesgos y reciban formaciones periódicas al respecto”.
Gabriel Moliné, CISO de Leroy Merlin considera que “las medidas de seguridad más eficaces son aquellas que nos permiten tener mayor flexibilidad dando unos niveles de seguridad adecuados. En este sentido en Leroy Merlin estamos adoptando la estrategia Zero Trust que nos permite asegurar nuestros sistemas en un ecosistema cada vez más conectado con equipos y sistemas sobre los que no tenemos supervisión”.
Y finalmente, cree que lo importante se encuentra en “la segmentación de las redes, y un buen EDR son las medidas tecnológicas más eficaces si hablamos para un ataque de ransomware, pero debemos tener en cuenta que la solución no solo pasa por la tecnología. La concienciación de todos los colaboradores, la monitorización continua y un equipo capacitado hace que, si bien no elimines el riesgo, minimices la probabilidad y el posible impacto”.
Como ven, prioridades y tecnología para todos los gustos y sabores.
