Los nuevos retos en seguridad corporativa

El camino para conseguir una ciberseguridad óptima ha sido siempre cuesta arriba. Primero se dijo que habían dos tipos de compañías, las que han sido hackeadas y las que lo serán; luego se actualizó la frase: existen las que han sido hackeadas, y las que han sido hackeadas pero no lo saben. Hoy la situación es más crítica aún: están las empresas que han sido hackeadas, y las que serán nuevamente hackeadas. Victor Mejía Escamilla, responsable de Servicios de Seguridad & IT de Bestel, preguntó a los 65 expertos asistentes al IT Masters Forum: Cuando sufran una brecha de seguridad o un ataque, ¿quién de ustedes tendría la capacidad de reírse?

Mejía describió en extenso la anatomía de un ataque: cómo los riesgos están más presentes que nunca y basta con realizar una investigación en internet para contar con las armas necesarias para realizar un ataque. Nadie está seguro. Tal y como «el futuro de la tecnología es humano», la mayoría de las veces son las personas el eslabón más débil de la ciberseguridad. La aproximación que deben tener las organizaciones debe considerar la resiliencia. De otra forma los impactos serán, sin ninguna duda, más catastróficos.

Las acciones hacia la resiliencia también pueden, por supuesto, prevenir los ataques. De acuerdo con Mejía, a cada riesgo corresponde una acción posible para minimizar el impacto. El primero de los riesgos es que la información relevante suele ser pública: perfiles de redes sociales son la primera puerta de entrada, pero incluso espacios más ignorados, como la plataforma donde las organizaciones suben sus aplicaciones, pueden ser un vector de amenazas. Múltiples son los casos en que se suben aplicaciones falsas que intentan suplantar el software original, y de esa forma logran conseguir datos personales o financieros de las personas.

El segundo riesgo es el robo de identidad de dominios. Con una pequeña letra cambiada en la URL puedes hacer a la gente caer, incluso en los sitios corporativos. El tercero es el ataque directo a las personas: phishing, spearphishing, whaling, smishing, vishing. Un empleado recibe cuatro correos en promedio de phising a la semana. ¿Cuánto demorarán en morder el anzuelo?

Finalmente, la sofisticación de los ataques informáticos ha alcanzado niveles muy eficientes. Mejía, quien es reconocido por el diseño y puesta en operación del centro de operaciones de seguridad (SOC) de la compañía, mostró una consola de administración de un Ransomware-as-a-Service (RaaS): tenía una interfaz con información detallada de todo tipo y era tan amigable que cualquiera podría operarla. «Estas personas a veces tienen un mejor diagrama de red que el que tienen las propias compañías a las que atacan. Un ransomware tiene un tiempo de preparación e investigación promedio de un año. Cuando explota es recién el final del ataque», explicó.

Lo que las empresas necesitan hacer es prepararse, tener un plan de contención. Evitar que se vuelva una pandemia. Bestel para esto monitorea toda la información relacionada con la compañía, 24×7, lo que incluye la pública, tiendas de aplicaciones, anomalías internas, entre muchas otras. Intentan hackear aquello a lo que las organizaciones usualmente no le ponen atención.

Esto es especialmente relevante por la baja presencia de CISO en las empresas. Consultados respecto a quién contaba con esa figura en su organización, solo cinco IT Masters levantaron la mano. Hoy es posible contar con el servicio de CISO-as-a-Service, para facilitar el acceso y justificar más fácilmente el gasto.

¿Qué deben hacer los CIO hoy para mejorar su ciberseguridad? Mejía propone un camino claro:

En los siguientes 15 días debería:

  • Tener un plan de concientización a usuarios.
  • Un inventario de activos en riesgo.
  • Identificación de riesgos soportado por análisis de vulnerabilidades y pentest.
  • Respaldo de información (Hot & Cold backup).
  • Arquitectura de seguridad con que cuenta.
  • Evaluación de oferta y experiencia de proveedores de IT.

En los siguientes tres meses:

  • Definición de presupuesto para estrategia de seguridad.
  • Selección de proveedores de seguridad IT.
  • Gestión de riesgos y manual de manejo de crisis.
  • Simulacro de contingencia y/o brecha de seguridad.

En los siguientes nueve meses:

  • Evaluación de CISO-as-a-Service.
Christopher Holloway

http://salalacalleymuere.tumblr.com

Director editorial de IT Masters Mag. Experto en gatos, libros y en los intrincados procesos tecnológicos que atraviesan el funcionamiento de las sociedades en todas sus expresiones.

Related posts

Deja un comentario