La aceleración digital, la creciente adopción de la nube y los nuevos entornos de trabajo están abriendo nuevos retos en ciberseguridad para los CISO de las organizaciones de todo el mundo. Y es que, a pesar de las muchas ventajas que conlleva esta creciente adopción de nuevas tecnologías, las amenazas de seguridad continúan proliferando, aumentando su alcance, volumen y sofisticación.
Esto pone de relevancia la necesidad de contar con estrategias y capacidades que contribuyan a prevenir, responder y recuperarse ante los incidentes de seguridad. Es el momento de convertirse en empresas ciberresilientes, capaces de responder ante las cambiantes amenazas, mitigando riesgos y adaptándose al nuevo escenario.
En los entornos actuales, contar con la disponibilidad de sistemas, aplicaciones y datos sin ninguna interrupción garantizando la continuidad empresarial es crucial.
Así ha quedado patente en el evento “De la Seguridad a la Ciberresiliencia” organizado por Kyndryl el pasado 26 de septiembre, un encuentro que ha reunido a un selecto grupo de CISOs y responsables de ciberseguridad de grandes compañías de distintos sectores. Los directivos han tenido la oportunidad de conocer las últimas tendencias alrededor de la ciberresiliencia, así como trasladar sus inquietudes al respecto.
En la jornada se ha analizado en profundidad la importancia de contar con soluciones y servicios que ayuden a las organizaciones actuales a abordar estos nuevos desafíos de ciberseguridad y cómo hacerlo con un socio de confianza.
«El negocio más crítico no debe caer. Hay que estar preparados para cualquier escenario.»
Miguel Ángel Ordóñez, Security & Resiliency Practice Leader de Kyndryl España y Portugal, ha abierto el encuentro en una entrevista realizada por Mónica Valle, periodista especializada en ciberseguridad y moderadora del evento.
En la sesión, Ordóñez ha explicado cómo la compañía enfoca la seguridad y la ciberresiliencia, así como todo el ciclo de vida de los ciberataques. «Queremos ayudar a las organizaciones a conseguir una resiliencia operacional, ya que el negocio más crítico no debe caer ni dejar de funcionar. Eso significa abordar la tecnología y estar preparados para cualquier escenario».
Ordóñez ha hecho hincapié en que desde Kyndryl son conscientes de la importancia de estas disciplinas, y por ese motivo ambas se unen en una propuesta que permite a los equipos seguir funcionando durante el ciclo de vida del ciberataque y conectados bajo unas directrices de continuidad de negocio.
Esto, ha señalado el directivo, «conlleva un conocimiento exhaustivo de las distintas fases del ciclo de vida del ciberataque para estar preparados a la hora de dar una respuesta efectiva». Y, en esta preparación, ha destacado la importancia del intercambio de información gracias al diálogo que establecen con los clientes.
En este aspecto, cobra especial relevancia la seguridad gestionada. El responsable de resiliencia de Kyndryl, ha explicado el valor que proporciona la compañía en esta ámbito, manteniéndose abiertos a las distintas tecnologías existentes, sin ser cautivos de un único fabricante. «En plataformas de gestión de seguridad hemos pasado de gestionar una concreta a gestionar 5 distintas», ha puntualizado Ordóñez.
«Casi cualquier persona puede ser un ciberatacante.» La industrialización del malware está cambiando el juego.
Un panorama en constante cambio
En este nuevo escenario de ciberseguridad, las compañías están evolucionando sus estrategias para ser más ciberresilientes. En un escenario tan cambiante, estar preparados para cualquier eventualidad es crucial. Esto implica tener un enfoque de seguridad inteligente, en el que disponer de la información adecuada es fundamental.
Así lo ha recalcado en el encuentro Bryan Sartin, VP, Security & Resiliency Leader de Kyndryl. «La diversificación del riesgo es lo más importante que debemos entender». En este sentido, el responsable ha destacado cómo la combinación de diferentes informes financieros, o de consumo, entre otros, han constatado cómo los diversos tipos de ataques han evolucionado con muy diferentes propósitos.
A la inicial motivación por darse a conocer y ganar reputación entre los ciberdelincuentes, cada vez más predomina la motivación económica a la hora de llevar a cabo ciberataques. Además, aumentan los objetivos. «Hay una proliferación de los actores de amenazas y de las motivaciones en muchos sectores, y cada vez más en los pequeños negocios».
Junto a esta tendencia, Sartin ha señalado que, en los últimos cinco años, estamos asistiendo a la industrialización del malware, facilitando su extensión a más grupos para llevar a cabo ciberdelitos.
Esto hace que su proliferación sea mucho más rápida y extensa, y lo utilicen cientos e incluso miles de personas. Los ataques son mucho más fáciles de llevar a cabo, sin necesidad de tener grandes conocimientos técnicos. «Casi cualquier persona puede ser un ciberatacante». La industrialización está cambiando el juego.
El factor humano
El origen del éxito de muchos de estos ciberataques hay que buscarlo en el factor humano, algo agravado ante el crecimiento de la superficie de ataque. Las investigaciones apuntan que el 88% de los ciberataques que se producen se deben a errores de los usuarios.
Esto se ha visto reforzado desde la irrupción de la pandemia ante la proliferación del trabajo remoto y con la implementación del modelo de trabajo híbrido.
Además, del 12% restante, dos terceras partes, reconoce que ha sufrido ataques de phishing y de cuatro a cinco intrusiones por una mala gestión de credenciales. En opinión de Sartin, el uso del correo corporativo y la contraseña en distintas plataformas (e incluso para temas personales), facilita a los ciberdelincuentes encontrar información y robarla.
Ante esta situación «la prevención es la mejor estrategia. Es importante entender que los datos son críticos y muchas organizaciones y organismos públicos deberán hacer frente a ciberataques, sean del sector que sean».
Si bien cada vez se invierte más en detección y respuesta, también será fundamental poner el foco en la recuperación de datos, aplicaciones y sistemas para seguir avanzando hacia una seguridad inteligente en un panorama más complicado que nunca.
A esto también contribuirá el auge de nuevas tecnologías, como IoT (Internet de las Cosas), que fomentan la conexión e interconexión total de las personas. Cada vez pasamos más tiempo conectados a Internet desde distintos dispositivos y resulta impensable salir de casa sin el smartphone.
Para Gabriel Bergel, Associate Partner de Seguridad y Resiliencia en Kyndryl, además de CEO y Cofundador de 8.8 Computer Security Conference, esto está llevando a que «vivamos cada vez más preocupados de la vida digital y nuestra vida entera esté online sin ser conscientes de toda la información que ponemos en la red, especialmente en las redes sociales».
El experto ofreció una ponencia en el encuentro poniendo de manifiesto que el “arte del engaño” sigue igual de vigente tanto dentro como fuera de internet a lo largo de los años. Y es que, pese a la experiencia de los usuarios en la red, se siguen cometiendo los mismos errores, algo que los ciberdelincuentes explotan con técnicas de ingeniería social cada vez más refinadas.
Ingeniería social más sofisticada
Hoy en día, alrededor del 85% de las infracciones de ciberseguridad involucran el elemento humano. Ante el aumento de las amenazas, y la aceleración digital que están experimentando muchas organizaciones, minimizar los errores humanos es fundamental para garantizar la seguridad de personas y organizaciones ante el avance de la ingeniería social.
«Es fundamental entrenar y capacitar el factor humano para que no se produzcan estos engaños».
Bergel ha explicado que la ingeniería social consiste en una serie de técnicas que permiten engañar a una persona para obtener algo de información o acceso a un sistema, sin que ésta sea consciente.
El experto ha señalado que existen siete tipos de sesgos importantes en los que se basa la ingeniería social. El primero de ellos es “quid pro quo”, que implica el intercambio de favores y servicios entre el atacante y su víctima. Por otro lado, “baiting” hace alusión a la instalación de un dispositivo externo en un equipo para acceder a él. “Pretexting” implica una llamada telefónica con la que intentan engañar a la víctima para que le de sus datos con un pretexto de urgencia.
En el sesgo denominado “Diversion theft”, o robo de desvío, los atacantes engañan a los objetivos para que redirijan mercancías o información confidencial. Por su parte, “tail gaiting” logra que el atacante obtenga acceso no autorizado a un área restringida aprovechando el descuido o engañando al personal autorizado de ese lugar.
Por último, el tan conocido y temido “phishing”. Utilizando sobre todo el correo electrónico, los atacantes envían mensajes a sus víctimas suplantando una identidad de confianza o simulando ser una fuente fiable para conseguir información, eminentemente personal o financiera.
En los últimos años, la proliferación del phishing ha contribuido al robo de credenciales y para llevar a cabo ataques de ransomware haciendo uso de variantes de phishing como el smishing, el pharming, o el vishing. «Más allá de la compra de tecnología y de intentar ser ciberresilientes, es fundamental entrenar y capacitar el factor humano para que no se produzcan estos engaños», ha destacado Bergel.
Hablan los CISO
Estar preparados es, sin duda, fundamental para evitar ser engañados. Los CISO de las grandes compañías están abordando esta necesaria capacitación de sus empleados desarrollando programas de concienciación, algo paralelo a la optimización de su ciberseguridad.
Para muchos, el avance en sus planes de digitalización, acelerados con la pandemia, unido a la creciente superficie de ataque, les ha llevado a poner el foco en su ciberseguridad para atender esa mayor exposición al riesgo.
No obstante, este impulso digital también ha supuesto una oportunidad para muchas
organizaciones. Así lo han expuesto responsables de ciberseguridad que han participado en la conversación que ha cerrado el encuentro.
David Andrés Hurtado, responsable de Ciberseguridad Industrial y Ciberresiliencia de Naturgy, ha sostenido que «en nuestro caso, teníamos muchos planes de securización
paralizados y los pusimos rápido en funcionamiento. Fue una gran aceleración con una adopción muy rápida por parte de toda la compañía que estaba prevista en meses y se acometió en pocas semanas».
En la conversación ha quedado patente por parte de los participantes que la formación y concienciación de los empleados es uno de los grandes retos que deben afrontar los CISO en un momento en el que la digitalización es clave para que sus negocios sigan avanzando y dando respuesta a los nuevos requerimientos del mercado incorporando la seguridad en todos los proyectos desde el principio.
Para David Moreno del Cerro, director de Tecnología y Seguridad de Grupo Tendam, que aglutina marcas como Cortefiel, Pedro del Hierro, Hoss Intropia, o Women’s Secret, entre otras, el foco ahora está en la transformación del puesto de trabajo. Todo ello desde el punto de vista del administrativo y del punto de venta, con la mirada puesta en proporcionar una mejor experiencia de cliente. «Ponemos el foco en la concienciación de los empleados para que pasen de ser el eslabón más débil a ser el primer nivel de defensa de la compañía», señala el responsable.
Además de la importancia de la concienciación, otro de los grandes retos que deben afrontar los CISO actuales es la gestión de vulnerabilidades. Contar con el escaneo continuo de vulnerabilidades y de servicios que alerten de ellas para trabajar en su resolución es fundamental.
Disponer de programas de detección de vulnerabilidades, tanto internos como externos, es una práctica cada vez más extendida. Así lo ha puesto de relevancia Alejandro Figueroa, Executive Director Corporate Security Spain & Portugal de BBVA, quien ha recalcado que, como entidad bancaria «en todo lo que hacemos, la seguridad y el control está en nuestro ADN».
Incorporar estos controles en los ciclos de producción, realizar pruebas de estrés, o de threat intelligence, entre otras, para asegurar el producto o servicio antes de que esté en manos del cliente es clave.
¿Hay algo más que se pueda hacer? Efectivamente, cada vez más se hace uso de los programas de bug bounty, es decir, programas de recompensa, públicos o privados, que complementan las pruebas internas y que hacen más confiable la propuesta.
El auge de estos programas ha llevado a que incluso el gobierno de Estados Unidos haya llegado a ofrecer hasta 10 millones de dólares a quien ofreciera información sobre el grupo que había detrás del ransomware Conti.
«Hay que saber en qué posición estás para ver dónde poner el foco y optimizar las medidas implementadas».
Impulso a la ciberresiliencia
Los avances en ciberseguridad que las grandes compañías ponen en marcha hoy se hacen con un firme objetivo de ser ciberresilientes. Todas buscan anticiparse a las amenazas, estar protegidas, resistir y recuperarse para que el impacto sea mínimo.
Las normativas que rigen el sistema financiero y el industrial ya cubren parte de las necesidades de estos planes de ciberresiliencia garantizando una alta disponibilidad y garantizando la recuperación en caso de ser atacado. El caso del retail, como ha apuntado Moreno, no cuenta con una regulación tan estricta como otros sectores, pero desde su grupo ya trabajan desde hace tiempo en planes de contingencia y continuidad del negocio.
«La tecnología está muy bien, y hay que seguir invirtiendo, pero las personas son las que hacen todo y hay que poner el foco en ellas», ha sostenido este responsable.
Lograr un equilibrio entre la innovación con nuevas tecnologías, paralelamente a la
incorporación de propuestas de ciberseguridad acordes con las nuevas amenazas, y sin olvidar el componente humano es clave.
No obstante, esta evolución debe ser continua ya que, una vez se consigue un grado de madurez, es importante seguir avanzando con medidas de seguridad adecuadas. Para Figueroa, «es muy relevante saber en qué posición estás para ver dónde pones el foco e ir optimizando esas medidas puestas».
Al término del encuentro, los responsables de ciberseguridad de destacadas empresas que han asistido al acto han tenido la oportunidad de participar en la conversación, corroborando que efectivamente, la innovación tecnológica es imparable y los grandes beneficios que aportará a las organizaciones también supondrá un nuevo objetivo para los ciberdelincuentes.
Es por ello que evolucionar tecnológicamente es clave para las empresas que quieran tener un futuro. Y avanzar en su ciberresiliencia, con todo lo que ello comporta, también lo será.