La adopción de nuevas tecnologías en los dos últimos años ha experimentado un salto exponencial para dar respuesta a las nuevas necesidades de empresas y usuarios. La fuerte apuesta por la digitalización y la emergencia de un nuevo modelo de trabajo híbrido, ha aportado grandes posibilidades, pero también, ha abierto las puertas a nuevas amenazas de ciberseguridad.

Sobre los retos de seguridad que plantean estos nuevos entornos y cómo abordarlos hablamos con Jason Lee, CISO de Zoom.

BitLife Media (BLM): En los dos últimos años hemos visto cómo se ha pasado de hablar de una necesaria apuesta por el trabajo presencial a una fuerte apuesta por el modelo de trabajo híbrido. ¿Cuáles considera que son los grandes retos en seguridad que presentan estos entornos?

Jason Lee (JL): Con el auge del trabajo híbrido, es el momento de que los líderes empresariales se replanteen sus estrategias de seguridad y consideren nuevas soluciones. Estamos viendo escenarios más complicados donde asegurar y habilitar una fuerza de trabajo distribuida. En realidad, todo se reduce a la seguridad contextual de los puntos finales para ampliar la protección de los datos y satisfacer las necesidades de la fuerza de trabajo en todas partes.

Debemos empezar por establecer principios y resultados definidos sobre cómo se manejan los datos en diferentes entornos corporativos u organizativos. Hay que considerar un enfoque de «zero trust» para introducir más comprobaciones antes de proporcionar a los empleados acceso a los datos, además de introducir o seguir desarrollando el programa de formación en seguridad de la empresa, que puede ayudar a contribuir a una cultura general de seguridad.

BLM: Sin duda, el enfoque Zero Trust se ha convertido en uno de los pilares fundamentales de las estrategias de seguridad en las organizaciones. ¿Cómo están gestionando las empresas su aproximación a esta nueva filosofía y qué pasos cree que deben dar para adoptarla?

JL: Como antecedente, el enfoque Zero Trust se caracteriza por no confiar en los usuarios dentro o fuera del perímetro. Para que la verificación sea segura y eficaz, las credenciales de los usuarios deben reforzarse con comprobaciones en el lugar, utilizando herramientas como la autenticación de dos factores y la verificación de dispositivos.

Según un reciente estudio, muchos responsables de la toma de decisiones empresariales se plantean avanzar en el enfoque de la seguridad de Zero Trust, aunque les cuesta adoptarlo. Creo que es importante que los directivos tengan en cuenta que la creación de un entorno de confianza cero no requiere una transformación tecnológica completa, basta con empezar con un plan bien definido.

En primer lugar, hay que identificar los elementos de datos que hay que proteger. Esto podría incluir la propiedad intelectual, los datos de los clientes, la información de las tarjetas de crédito, la PII (información de identificación personal), y más.

El siguiente paso es identificar a todos los usuarios que deben tener acceso a ciertos conjuntos de datos, y asegurarse de que están debidamente formados para manejar datos delicados. A partir de ahí, debemos establecer controles para investigar a los usuarios antes de que se les conceda acceso al nivel de datos adecuado.

BLM: En estos nuevos entornos, las comunicaciones también están en el punto de mira de muchos ciberdelincuentes, especialmente ante el incremento de las video-reuniones, webinars… ¿Cómo cree que va a evolucionar esta tendencia y qué retos de seguridad se necesitarán abordar?

JL: La comunicación por vídeo se ha convertido en una parte indispensable de nuestra vida personal y profesional. Desde 2020, hemos visto un enorme cambio hacia el trabajo híbrido y remoto, con más personas trabajando desde diferentes entornos que nunca antes, y la vídeo comunicación ha sido una parte del éxito de los modelos de trabajo híbrido y remoto.

También sabemos que a los ciberdelincuentes les gusta vigilar las plataformas tecnológicas más populares, por eso es tan importante para nosotros estar un paso por delante de los atacantes. En Zoom hemos trabajado para crear y ampliar un equipo de seguridad de primera clase, hemos introducido un programa de compensación de errores y hemos puesto en marcha muchas funciones de seguridad para los usuarios. Entre ellas se encuentran las contraseñas, las salas de espera, la autenticación, el bloqueo de las reuniones, etc.

También contamos con herramientas para ayudar a gestionar cualquier comportamiento perturbador, incluyendo la eliminación y la denuncia de usuarios perjudiciales directamente al equipo de confianza y seguridad de Zoom.

BLM: En este sentido, ¿cómo se ha producido la integración de la tecnología de Keybase y qué ventajas les ha aportado? ¿Sopesan nuevas adquisiciones para reforzar algunos aspectos de su seguridad o van a trabajar especialmente para optimizar algunas de las demandas de seguridad de sus usuarios?

JL: Como parte del plan de seguridad y privacidad de 90 días de Zoom, adquirimos la empresa de mensajería segura y de intercambio de archivos Keybase para ayudarnos a reforzar la seguridad de nuestra plataforma. A los seis meses de incorporarse a Zoom, el equipo de Keybase puso en marcha nuestra función opcional de cifrado de extremo a extremo (E2EE) para todos los usuarios, gratuitos y de pago, en todo el mundo.

Cuando se activa, esta función utiliza el mismo cifrado AES-GCM de 256 bits que soporta las reuniones estándar de Zoom para ayudar a cifrar la comunicación entre todos los participantes de la reunión que utilizan el cliente de Zoom. La diferencia es que las claves criptográficas sólo las conocen los dispositivos de los participantes en la reunión. Esto significa que terceros -incluido Zoom- no tienen acceso a las claves privadas de la reunión.

Esta adquisición ha supuesto un paso clave para nosotros. El objetivo de Zoom es proporcionar una experiencia segura y sin fricciones a nuestros usuarios, y el equipo de Keybase ha sido una parte importante de esta misión.

Zoom ciberseguridad trabajo remoto videollamadas noticia bit life media

BLM: Otra de las grandes preocupaciones de muchas organizaciones son los ataques de seguridad de terceros que están comprometiendo a proveedores, partners, clientes… ¿Cómo considera que deberá abordarse esta seguridad y cómo trabaja Zoom en este aspecto?

JL: La seguridad de la cadena de suministro y el riesgo de terceros son problemas reales. Los recientes incidentes como el de Log4j han sido una llamada de atención para muchas organizaciones.

Al igual que muchas otras empresas tecnológicas, Zoom trabaja con diversos proveedores y utiliza tanto software con licencia como código abierto. Por lo tanto, es muy importante para nosotros asegurarnos de que todos esos puntos de contacto sean seguros.

En Zoom, tenemos un comité de selección de proveedores que realiza exhaustivas revisiones al verificar los nuevos proveedores. También realizamos auditorías periódicas de nuestros proveedores más importantes y reevaluamos todos los contratos de forma regular. Además, estamos implementando controles integrales adicionales que ayudan a prevenir este tipo de ataques.

En Zoom, a medida que seguimos evolucionando nuestro programa de seguridad, las certificaciones de terceros también desempeñan un papel fundamental. Recientemente hemos ampliado nuestra lista de certificaciones reconocidas por el sector con dos nuevas incorporaciones: ISO/IEC 27001:2013, una norma internacional ampliamente reconocida que especifica las mejores prácticas de gestión de la seguridad y los controles de seguridad integrales; y el informe SOC 2 + HITRUST de Zoom, que proporciona una visión transparente de los controles establecidos que protegen la seguridad y la disponibilidad de nuestra plataforma.

Nuestra asociación con Deutsche Telekom también nos ayuda a abordar las necesidades emergentes de los clientes. Nos hemos comprometido a desarrollar una solución conjunta específicamente para el mercado alemán llamada Zoom X powered by Telekom, una versión de la plataforma Zoom que funcionará dentro de la red de Deutsche Telekom.

Dado que las organizaciones actuales se esfuerzan por lograr una colaboración sin fricciones y gestionar y salvaguardar los datos de los usuarios, queremos proporcionar las herramientas que les permitan alcanzar el éxito. Esta oferta conjunta es un paso importante para ofrecerles las capacidades de protección de datos locales que necesitan sin comprometer la flexibilidad.

BLM: La falta de talento en las organizaciones está afectando a la innovación y la implementación de avances en muchos negocios. ¿Cómo cree que hay que atraer y retener este talento?

JL: El talento ha sido un gran objetivo para nosotros, ya que hemos trabajado para construir y hacer crecer significativamente el equipo de seguridad de la compañía en los últimos dos años.

Cuando buscamos talentos, tendemos a buscar candidatos de diversas formaciones académicas. Aunque los candidatos con títulos en informática e ingeniería son excelentes, también he visto el éxito de los candidatos en otras carreras fuera de esos campos. Por ejemplo, he contratado a personas de otras carreras con una gran capacidad de escritura y pensamiento crítico. Identificar a personas con un gran interés por la seguridad y una pasión por aprender es la receta del éxito.

También me gusta buscar lo que llamo «multiplicadores». Se trata de personas que no sólo hacen un gran trabajo por sí mismas, sino que hacen que todos los que les rodean destaquen también. Eso puede tener un efecto exponencial en el rendimiento de su organización.

BLM: Ante toda esta proliferación de ciberamenazas que estamos viendo, especialmente en los dos últimos años, ¿cree que hay una mayor concienciación de los peligros a los que están expuestas las organizaciones a todos los niveles?

JL: En los últimos años, ha habido muchas noticias sobre filtraciones de datos, ataques de ransomware y ataques a la cadena de suministro. Y creo que esas historias y reportajes han sido muy útiles para proporcionar un contexto a los líderes empresariales sobre las necesidades críticas de las defensas de ciberseguridad.

Pero lo que me parece especialmente interesante es que la forma de trabajar también ha cambiado en los últimos dos años. La superficie de ataque ha crecido con el aumento de personas que trabajan desde casa, se ha vuelto más compleja, y eso puede requerir que los profesionales de la seguridad eduquen a sus socios comerciales acerca de las necesidades relacionadas con la inversión en seguridad.

Esa educación debe debatir cómo las soluciones e iniciativas de seguridad estándar y de referencia ya no son suficientes. Los líderes deben adoptar una tecnología inteligente que siga el ritmo de las amenazas actuales: soluciones que tengan en cuenta la información contextual, el elemento humano y que incluyan controles de seguridad fáciles de usar que todos los empleados puedan entender y aplicar. La seguridad debe impregnar todos los aspectos de la infraestructura de una organización, y ya no podemos confiar sólo en los cortafuegos.

 

 

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre