La ciberseguridad en México se ha hecho más relevante para las organizaciones y los directores de Seguridad (CISO, por sus siglas en inglés) han evolucionado al grado que muchos de ellos ya participan en las juntas del Consejo de administración, afirmó Jason Merrick, vicepresidente de Producto de Tenable, compañía especializada en la gestión de la exposición al riesgo.
En entrevista, apuntó que “ha habido brechas de seguridad muy costosas últimamente que pudieron haberse evitado con cosas muy simples. Eso ha hecho que haya más conciencia de la importancia de la seguridad entre las áreas ejecutivas y, a su vez, del manejo del presupuesto”.
De acuerdo con Merrick, los miembros del Consejo ahora “preguntan a los CISO si son susceptibles de ciertas vulnerabilidades”. Al tiempo que su influencia crece, también “tienen que aceptar la nube, el IoT [internet de las cosas] del negocio, la tecnología operativa [OT] y lidiar con mucho riesgo”.
Merrick añadió que “nosotros participamos en la conversación de cómo responder a ese reto”, comentó.
La división en silos, un conflicto
Aun cuando ha mejorado la relación entre las operaciones de IT (ITOps, por su acrónimo en inglés) y los equipos de Seguridad en los últimos 12 meses, de acuerdo con un estudio de The Futurum Group, todavía solo 48% de los encuestados dijeron que tienen establecidos procesos conjuntos y procedimientos para mitigar o recuperarse de un incidente.
“Estamos en un punto de inflexión entre los CISO”, afirmó Merrick, quien como parte de la consolidación de dicho rol observa que los equipos de identidad se mueven de debajo de la estructura del CIO a los del líder de ciberseguridad.
“Estos se enfocan en la seguridad en la nube porque se está volviendo un gran reto para las organizaciones. Sobre todo, porque muchas hicieron lift and shift, y ahora tienen que entender qué activos tienen allá afuera, qué configuraciones y políticas, porque los que movieron esas cargas fueron ingenieros o superusuarios y no tienen una claridad sobre ello”.
Añadió que tampoco tenían una suite de productos para tener visibilidad en su postura de seguridad en la nube, la gestión de las identidades y credenciales, la seguridad de contenedores, y menos en una sola consola.
“Así es como se comienzan a romper las barreras, porque una persona de seguridad tiene más control cuando entiende las credenciales, no solo de los usuarios, sino también de las máquinas. Tener esos datos, el contexto, los hace mejores profesionales”, dijo el entrevistado.
Lecciones aprendidas
Para el VP de Producto de Tenable, México es un gran mercado, dado que entre la base de clientes hay una gran colaboración.
Asimismo, señaló, la amplia presencia de empresas financieras y de manufactura hace que compañías en otros países vean a México como un ejemplo a seguir en la resolución de sus retos de ciberseguridad.
A propósito de retos, las recientes brechas experimentadas por empresas como Coppel y Qualitas, por mencionar solo dos ejemplos de compañías mexicanas, han elevado la conciencia de la importancia de contar con mejores políticas y herramientas que disminuyan la exposición al riesgo. Sin embargo, reconoció Merrick, el presupuesto destinado para ciberseguridad sigue siendo un tema delicado.
La respuesta al presupuesto limitado
El dinero siempre es un reto para la ciberseguridad, especialmente cuando se mezcla con un panorama macroeconómico, pero el directivo de Tenable piensa que la situación ha mejorado y comienza a entenderse la relevancia de invertir en protección de datos.
La complejidad de los ambientes actuales también contribuye a elevar el costo de gestión de la seguridad, porque las organizaciones tienen que modernizar sus aplicativos de manejo de vulnerabilidades conforme transitan hacia ambientes de nube. Por ejemplo: un cliente de Tenable admitió manejar 268 productos de seguridad.
Afortunadamente, hay tendencias que ayudan en la disminución de los riesgos, a través de herramientas que exponen las brechas de seguridad. Por un lado, “los proveedores tenemos cada vez una mayor cooperación entre nosotros para brindar mejores soluciones”; por el otro, las organizaciones colocan un conjunto de productos en un solo portafolio y los integran en una plataforma.
De esta forma, abundó, tienen una mayor visibilidad de la superficie de ataque, con analítica de datos para proveer insights que lleven a la efectividad de los equipos de seguridad IT, de forma tal que puedan priorizar tu tiempo, tener una conversación de negocios en un nivel y otra a nivel técnico para establecer las tareas a realizar.
En ese sentido, Merrick aseguró que Tenable es “único” porque cuenta con una colección de productos y 23 años en el negocio de las vulnerabilidades.
“Podemos recolectar datos de las aplicaciones web, de operaciones de manufactura (IoT), de gestión de identidades, y ofrecemos una plataforma de protección de nube nativa que ofrece visibilidad a lo largo de AWS, Microsoft GSP, Oracle Cloud Infraestructure (OCI), y Azure”, comentó.
Además, también proveen visibilidad de amenazas externas y manejo de la superficie de ataque, tanto para los dominios centrales como subdominios, que incorporan en su plataforma de datos Tenable One.
“Tenemos data analytics, que da visualización de ataques y ayuda con priorización”, dijo y se refirió a Lumin Exposure View, la consola única del CISO, e Inventory, “donde residen en una consola todos activos Tenable”.
La importancia de ser transparentes
El también exejecutivo de Symantec se refirió a las lecciones que las organizaciones pueden aprender del incidente que sufrió Microsoft a principios de este año, víctima de los ciberdelincuentes rusos “Midnight Blizzard”, que extrajeron información de cuentas de su correo electrónico corporativo.
Desde su perspectiva, para cualquier proveedor —como Microsoft o Crowdstrike—, en la industria de la seguridad la máxima debe ser la transparencia.
“Creo que se debe salir y proveer la información que sea humanamente posible. Es decir, si se trató de una brecha de seguridad que pudo ser prevenida o si se cayeron los sistemas. Hay que darle crédito a Microsoft y a Crowdstrike por ser tan transparentes. Desde nuestro punto de vista, la transparencia es lo más importante”, opinó.
El ataque a Microsoft fue causado por una mala configuración. Merrick dijo que Tenable tiene una herramienta que hubiera podido capturar esa mala configuración y prevenir la filtración.
El entrevistado explicó que manejar identidades es especialmente complicado. Se crean a través de humanos, de personas. A un empleado lo colocan en el directorio y el personal de IT le provee sus credenciales, usualmente en el Active Directory, y luego salen a la nube y al mundo SaaS.
“La cuestión es que la organización de Seguridad y el equipo de identidades no está necesariamente involucrados en todo el ciclo de vida y cuando naces al mundo SaaS tienes un superusuario que tiene derechos de administrador. Y esto también sucede en la nube. Identidad y credenciales es una de esas cuestiones que son difíciles de gestionar, porque cuando empiezan a expandirse…después cómo gestionas esas configuraciones”, explicó.
AI en acción
Frente a la oleada de productos que incorporan inteligencia artificial (AI, por sus siglas en inglés), Tenable no se ha quedado atrás.
La empresa con sede en Columbia, Maryland, también tiene una división grande concentrada en AI, enfocada en ayudar a las compañías a lidiar con su estrategia de inteligencia artificial.
“Tenemos una nueva capacidad que se llama AI Aware, que puede escanear el ambiente corporativo para encontrar shadow AI y puede ayudar a reforzar la política de uso y los modelos que no pueden usarse [como plugins o browsers].”
El propio Tenable, añadió, entrena a sus modelos AI con sus datos —no de los clientes—, y se enfoca en que quienes los practican sean tan exitosos como sea posible para agilizar su trabajo.
Su brazo de investigación analiza las vulnerabilidades, desde Zero Day, hasta ataques de integración continua/despliegue continuo (CI/CD, por sus siglas en inglés). “Lo llamamos la base de datos de vulnerabilidades y esto es parte del entrenamiento de nuestros modelos”, señaló.
También ven insights. Por ejemplo: qué tan seguido los clientes hacen escaneos, qué tan pronto remedian vulnerabilidades. “Los hemos hecho por 23 años. Todo ello desde el punto de vista de la predictibilidad y ayudar con explicación y priorización. Una vulnerabilidad es una vulnerabilidad hasta que es una exposición”, apuntó.
Lo que nos hace únicos, agregó, es que podemos detectar un activo. “Por ejemplo: un contenedor que corre en AWS y está mal configurado: tiene cuatro vulnerabilidades críticas y, además, está expuesto y tiene puertos abiertos. Por si fuera poco, tenemos usuarios corporativos que tienen elevadas credenciales y, por lo tanto, estamos a un clic de un ataque de ransomware. Eso es una exposición y esas son las piezas que conjuntamos”, explicó Merrick.
Las recientes brechas de seguridad y los ataques de ransomware, de acuerdo con el entrevistado, ponen en evidencia la premura con la que se deben atender los ambientes de nube.
La cuestión es que la mayoría de las organizaciones batallan mucho en la administración de identidades dentro de sus propios ambientes, y este reto se intensifica cuando se trata de lidiar con cuentas de usuarios y servicios en una o más plataforma de nube.
El consejo, destacó Merrick para finalizar la charla, es que las organizaciones pongan atención en ello y entiendan la urgencia de mejorar sus medidas de ciberseguridad.
