Las vulnerabilidades cibernéticas hoy en día son tantas, tan diversas y crecen a un ritmo tan acelerado que enfrentarlas se ha transformado en una pesadilla para los encargados de seguridad. La tendencia, además, no hará más que aumentar de aquí en adelante. La seguridad no va a ser más fácil que antes de la transformación digital, pero eso no implica que las empresas no tengan las herramientas para ganar la guerra contra los hackers.
Luis Isselin, country manager de Tenable, puso a las vulnerabilidades y las formas en que las empresas deciden enfrentarlas (o no) al centro de su charla El riesgo cibernético en el contexto de la transformación digital, en el IT Masters Con CDMX: Mind the future.
WannaCry es un buen caso. Desde febrero de 2017 se hizo público que existía un riesgo, una vulnerabilidad. El 80% de las organizaciones o no escucharon o decidieron hacer nada. En marzo del mismo año Microsoft emitió el parche que lo solucionaba, pero las organizaciones también lo ignoraron. Fue recién en mayo que comenzaron los ataques a gran escala. Hubo tres meses para evitar el gran escándalo de seguridad que significó WannaCry, pero las empresas, según Isselin, no tienen la gestión de vulnerabilidades como algo diario y constante.
Lamentablemente, esto no es un caso aislado. Según el informe de Verizon Data breach investigation report 2017, prácticamente el 99.9% de las vulnerabilidades explotadas fueron atacadas después de un año de haber sido reveladas.
El ejecutivo de Tenable, sin embargo, no pone toda la culpa sobre las organizaciones. La gran cantidad de vulnerabilidades que existen en la actualidad (y que se multiplican aceleradamente), impiden una buena gestión de seguridad. “Si hay más de 10,000 vulnerabilidades. ¿Cómo sé cuál tengo que enfrentar primero? ¿Cuál es la que priorizo para proteger los intereses de mi empresa?”
En opinión de Isselin, el problema es que la transformación digital no es un problema de IT: la transformación digital es el negocio. “Nosotros como profesionales de seguridad tenemos que preocuparnos de esto. Si algo pasa, el responsable va a ser el CISO. Por lo tanto, mí responsabilidad es tener visibilidad de los riesgos, porque es posible que el WannaCry de mañana ataque una vulnerabilidad crítica con el potencial de tirar el negocio”.
Por si fuera poco, América Latina se ha transformado en un blanco para los atacantes. La Organización de Estados Americanos reportó hace pocas semanas que los cibercriminales aumentaron considerablemente su actividad en los últimos años, gracias a que notaron que las empresas eran lentas a la hora de protegerse contra vulnerabilidades. Esta es una batalla en la que el atacante, de manera inevitable, tiene la ventaja. ¿Cómo enfrentarlo entonces?
El ejecutivo explica que la estrategia de Tenable frente a esto es la investigación y monitoreo constante de las amenazas, en tiempo real, mediante una plataforma que otorga visibilidad completa y actualizada según los intereses de las organizaciones y el estado mundial de la seguridad.
“Los analíticos de la plataforma Cyber Exposure permiten identificar el valor de los activos en riesgo, los datos de vulnerabilidades y la inteligencia de amenazas en tiempo real, para saber cuál es la vulnerabilidad que merece la atención y la inversión de recursos”. Isselin sumó, además, cuatro preguntas clave que los encargados de seguridad deberían tener siempre presentes:
- ¿Cuál es nuestro nivel de riesgo?
- ¿Donde deberíamos priorizar basados en el riesgo?
- ¿Cómo estamos mejorando en el tiempo?
- ¿Cómo nos comparamos con el resto del ecosistema?
La batalla, en suma, no es fácil, pero partir por la visibilización y la defensa activa es siempre una buena estrategia.