La colaboración y la cultura siguen siendo cruciales para la seguridad: Chris Krebs
El experto habló sobre la relevancia de la cultura de seguridad y la gestión de identidades para proteger mejor la red empresarial y toda la información corporativa. Krebs también comentó sobre temas como ciberguerra y hacktivismo, como amenazas para las organizaciones públicas y privadas.
En las últimas tres décadas, las amenazas a la seguridad de la información han evolucionado, se han sofisticado y automatizado, incorporando tecnologías de engaño y de ocultamiento, entre muchas otras, para alcanzar sus objetivos. Los defensores de la ciberseguridad han tenido que evolucionar también, desarrollando soluciones y herramientas para detectar amenazas con base en comportamientos anómalos en los procesos o las redes, integrando inteligencia de amenazas y muchas otras tecnologías para salvaguardar la información de empresas y usuarios.
Lo que, al parecer, no ha evolucionado mucho, es el tema de la concientización, de la cultura de seguridad en todos los niveles de una organización. Los usuarios siguen siendo engañados, buscan continuamente la forma de brincarse las políticas para usar las aplicaciones que desean en los equipos de cómputo corporativos, y parecen no terminar de entender la relevancia de acatar las normas establecidas por los departamentos de TI, Sistemas, Seguridad, Recursos Humanos y/o Legal. Y esto, es algo que sigue ocurriendo a nivel global.
No en balde, el experto en ciberseguridad Chris Krebs, comentó durante una comida con medios que es importante crear y reforzar la cultura de la ciberseguridad en toda la organización. “Todos forman parte del equipo para tener éxito”, dijo.
Christopher Krebs se ha desempeñado como profesional de la ciberseguridad y la gestión de riesgos. Fue asesor principal del Secretario adjunto de Homeland Security y trabajó en el sector privado como director de Ciberseguridad de Microsoft. En marzo de 2017, fue nombrado asesor de la Secretaría de Seguridad Nacional de Estados Unidos. Meses después, fue nombrado subsecretario de Infraestructuras de Protección. En 2018 fue designado como director de la recién creada Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, siendo despedido durante la gestión de Donald Trump, poco después de las elecciones presidenciales de noviembre de 2020. Actualmente, Krebs lidera la consultoría cibernética Krebs Stamos Group con Alex Stamos, ex CSO de Facebook. También es asesor de seguridad en firmas como Rubrik y SentinelOne.
Fue precisamente en un evento para clientes y prospectos de SentinelOne donde Chris Krebs recalcó la relevancia de la cultura de la seguridad y la colaboración como primera línea de defensa contra los ciberataques actuales. “Se requiere un enfoque más agresivo para la gestión de identidades, para monitorear quién está en tu red y qué hacen. Y, moviéndose a la nube, estrategias para salvaguardar los activos y gestionar los dispositivos”, dijo.
A final de cuentas, se trata de que las empresas sean capaces de detectar las anomalías, actuar contra ellas, detenerlas y colocar a los dispositivos en cuarentena o fuera de la red rápidamente, y todo lo anterior, con transparencia, agregó Krebs.
El experto explicó que la gestión de identidades y dispositivos forma parte de un enfoque más amplio, como la confianza cero, que abarca 5 pilares:
- Identidades
- Dispositivos
- Redes
- Carga de trabajo de las aplicaciones (ya sea en la nube u otro ambiente)
- Datos
“Se debe organizar una estrategia alrededor de estos cinco pilares, y esa será una buena base para una estrategia de seguridad”, comentó Krebs. Añadió que se debe empezar con el liderazgo, la cultura de concientización, la gestión de activos e identidades, y la recuperación.
El papel del gobierno en la seguridad
Durante la comida con medios, realizada en el marco de un evento de SentinelOne en la Ciudad de México, se le preguntó a Chris sobre la postura y el apoyo de los gobiernos respecto al tema de la ciberseguridad, a lo que respondió que, además de los presupuestos reducidos, falta mucha colaboración entre las áreas internas y las diversas agencias gubernamentales.
En el caso concreto de los EE.UU., y dada su experiencia en el sector, Chris abundó: “no hay un enfoque estratégico, holístico y coordinado en el Congreso de EE.UU. para gestionar los requisitos de TI; en vez de ello, se invierte en ciertas áreas y eso hace que haya más estructuras para gestionar los sistemas de gobierno.”
Krebs añadió que son muchos los proveedores que deben atender a las más de 100 agencias gubernamentales en EE.UU., y cada agencia tiene su propio CISO, con sus propios retos en cuanto al manejo de recursos, así como sus conflictos de liderazgo. “Cuando se acercan los proveedores tal vez no les den la atención debida y al final todo se reduce, como en cualquier lado, a un tema de presupuestos”, dijo.
Además, el tema del abastecimiento o adquisición de productos y/o servicios en gobierno suele ser burocrático y beneficia a algunos vendedores de tecnología y grandes integradores de sistemas –algo que, definitivamente, no es una problemática exclusiva del gobierno estadounidense. Krebs dijo que se ha enfocado a impulsar un modelo de servicio compartido para servicios centrales –como el correo electrónico– donde no se necesitan cientos de contratos para cada dependencia, sino un puñado de gente que centralice los requerimientos, el monitoreo y la respuesta. “Podemos simplificar el enfoque de tecnología, reducir los costos de inversión… pero se han recopilado y mostrado numerosos reportes sobre brechas, y no han generado interés [de los funcionarios públicos], sino que han sido descartados. Creo que se necesita gente con experiencia en ciberseguridad en el Congreso para escalar el tema”, opinó.
Krebs ya había hablado sobre la dificultad de trabajar con el gobierno de EE.UU., durante su conferencia magistral en Black Hat 2022, en agosto. En dicha ponencia, el experto dijo que las pequeñas mejoras en las operaciones cibernéticas del gobierno no son suficientes para evitar las crecientes amenazas. "Todavía es difícil para las organizaciones del sector privado saber con quién trabajar. ¿Es el FBI? ¿Es CISA? ¿Es el Departamento de Energía? ¿Es el Tesoro? Todavía es demasiado difícil trabajar con el gobierno, y la propuesta de valor no es tan clara como debe ser", expresó.
Durante su charla en Black Hat, Krebs explicó los cuatro roles principales del Gobierno: consumidor, ejecutor, defensor y habilitador. En lo que se refiere al consumo, Krebs abogó por que el gobierno use sus fondos masivos para invertir más agresivamente en herramientas del sector privado, sin escatimar tanto en los costos: "El precio más bajo técnicamente aceptable no puede ser el modelo de compras y adquisiciones", advirtió entonces.
Falta reconocimiento para los profesionales del ramo
Tanto Chris Krebs como los ejecutivos de SentinelOne comentaron con los medios su preocupación sobre la falta de visibilidad y reconocimiento del rol de los directores de seguridad de la información, o CISOs. Daniel Bernard, Chief Marketing Officer (CMO) de SentinelOne, dijo que a los CISOs se les suele ver como generadores de costos y no como una fuerza productiva de negocios, por lo que no se les toma mucho en cuenta y no pueden obtener todos los recursos que necesitan. “La mayoría de las organizaciones, a nivel global, siguen relegando el puesto de CISO o director de seguridad debajo del área de TI, le reportan a los CIOs o CTOs, y se refieren a los profesionales de ciberseguridad como “el tipo de la seguridad” en vez de CISO, y trabajan para el tipo de tecnología. Buena suerte para esas organizaciones”, dijo Bernard.
Krebs añadió que, en organizaciones más grandes, donde hay que cumplir con más procesos, hace más sentido que un CISO salga del control de TI, pero “suele haber conflictos al momento de tomar decisiones o implementar, si se tiene que comprar cierta tecnología o no. Y se enfrentan a las áreas que generan el negocio al hacer su trabajo.”
Bernard ofreció un ejemplo de esta rivalidad con los martes de parcheo, donde se suelen enfrentar Seguridad y Operaciones. “Seguridad dice ‘tenemos que aplicar todos estos parches’ mientras que TI dice ‘no entra en nuestro cronograma, tenemos otra ventana de mantenimiento para un programa, lo agendamos para dentro de X días o semanas’”, contó el CMO.
Marlon Palma, director regional de ventas para América Latina y el Caribe, ofreció su visión de esta problemática en la región: “Las compañías se enfrentan a una brecha de habilidades por la falta de recursos capacitados, sobre todo aquellas donde solo hay una o dos personas. Pero SentinelOne automatiza el trabajo. Yo suelo preguntarles: ‘¿quieres un software que te ponga a trabajar o prefieres un software que haga el trabajo por ti? Porque es lo que necesitas, visibilidad, y automatización e integración, interoperabilidad con otras herramientas’. Tenemos que centralizar una serie de herramientas y automatizarlas, darle visibilidad a los clientes que muchas veces están ciegos por no poder ver lo que tienen”, comentó.
Ciberguerra y hacktivismo
Un tema que no pasó por alto durante la comida fue el de hacktivismo y guerra cibernética. Tras los incidentes de ataques a servidores gubernamentales en México, Chile y Perú, el tema aún levanta mucho interés. Al ser cuestionados sobre los ataques cibernéticos entre Rusia y Ucrania, los expertos de SentinelOne se mostraron cautos en sus opiniones, argumentando que antes de etiquetar un incidente como guerra cibernética, primero hay que entender si se trata de una nación defendiéndose de un ataque DDoS, o de un ataque de ransomware, o si están afectando los sistemas de los hospitales en otras naciones que ocasionen la muerte de algunas personas.
En el mundo físico –explicó Krebs– hay barreras significativas entre las naciones que poseen armamento y hay acuerdos internacionales para que no usen su arsenal, pero en el mundo virtual se asume que cada país puede desarrollar algún tipo de arma cibernética, y si la usan o no es otra cosa; “se han establecido normas desde hace 15 años para no atacar infraestructura vital, pero no se han definido como un acto de guerra, a pesar de que podrían ocasionar daños severos”, dijo.
Además, muchos de estos ataques son realizados por grupos de hackers que, si bien son financiados por un gobierno, no son parte del gobierno, y por lo tanto no se pueden calificar estos ataques como un acto de guerra oficial.
Una de las alternativas para frenar la guerra cibernética es interrumpir las redes de soporte a los creadores de ransomware. En septiembre, Krebs participó en la Cumbre de Seguridad de Datos de Rubrik, donde explicó tres estrategias para eliminar los soportes de las redes de operadores de ransomware. De acuerdo con Krebs, la superficie de ataque y la base instalada son altamente vulnerables; segundo, los atacantes han descubierto cómo monetizar las vulnerabilidades, generalmente a través del ecosistema criptográfico; y tercero, existe un refugio seguro histórico –es decir, Rusia– desde donde pueden operar con impunidad.
En la conferencia de Rubrik, Krebs exhortó a perseguir la capacidad de los propios delincuentes para llevar a cabo sus actividades, interrumpiendo su infraestructura de mando y control, interrumpiendo su capacidad para trabajar con otros afiliados y haciendo que duden de sí mismos, para que los grupos se separen y no puedan trabajar juntos.
Volviendo a la mesa de debate, el experto opinó que aún estamos en una etapa temprana en lo que corresponde a una guerra cibernética, pero lo que ya viene sucediendo es el espionaje. “Y a esto se le considera una especie de ataque. Sin embargo, cuando se cruzan las líneas al dañar infraestructura o poner en riesgo a los civiles, dañando los instrumentos de la democracia, atacando los sistemas de votación electoral, eso se considera un ataque de Estados. La pregunta es ¿cómo responder?”, cuestionó Krebs.
Otros cuestionamientos surgieron al hablar de los colectivos hacktivistas que han atacado a países latinoamericanos, como Guacamaya. “Estos grupos tienen una agenda amplia y conocimientos, podrían tener tintes políticos… el tema es si cruzan la línea del activismo a la actividad criminal, con accesos no autorizados a sistemas de cómputo protegidos. Pero también hay un debate ético cuando, como resultado de estas filtraciones, se divulga una cantidad de información sobre corrupción, relación con cárteles de droga que involucra a funcionarios de gobierno… La pregunta entonces es sobre transparencia: ¿la información de esos registros debió ser manejada de una forma más adecuada? ¿Hay que iniciar un proceso contra alguien? Ése es el punto de toda la operación”, finalizó Krebs.