Panorama y nuevos desafíos de las estrategias de ciberseguridad
La evolución de los ataques informáticos, tanto en alcance como en sofisticación, y su mayor impacto económico y de imagen, vuelve imprescindible contar con una estrategia e inversiones de ciberseguridad para prevenir amenazas, dicen expertos chilenos.
La pandemia ha tenido un fuerte impacto en la ciberseguridad de las empresas. De acuerdo con un estudio reciente de Accenture, el 55 % de las compañías más grandes del mundo no logra defenderse actualmente de forma efectiva de los ataques cibernéticos y mientras 82 % de las organizaciones aumentó sus inversiones en este ítem, los ataques exitosos crecieron un 31 % en 2021.
Algunas cifras son muy reveladoras del estado actual del panorama de la ciberseguridad. Por ejemplo, en 2021, se registró un aumento del 50 % en los ataques por semana a las redes corporativas, y el 70 % de las empresas permitía acceder a aplicaciones corporativas desde dispositivos personales, aunque solo el 5 % utilizaba todos los métodos de seguridad.
Considerando este contexto, para Gery Coronel, country manager de Check Point Software para Chile, Argentina y Perú, la evolución de los ataques informáticos, tanto en alcance como en sofisticación táctica y tecnológica, y su impacto económico y en términos de imagen, ha impulsado que la importancia de la estrategia y las inversiones para prevención de amenazas sea actualmente un tema prioritario en la agenda ejecutiva de las organizaciones.
“La aceleración de la transformación digital y el viaje hacia la nube provocaron que las empresas tuvieran que reestructurar sus enfoques de seguridad en plazos imperativos, lo que generó brechas y nuevas oportunidades para los ciberdelincuentes. Con la urgencia para habilitar el acceso remoto, muchas empresas permitieron la conectividad desde computadores domésticos no administrados que a menudo carecían de la estructura de seguridad básica, como parches de software actualizados o antimalware. La conclusión que marca la evidencia cae por su propio peso: Las organizaciones no están preparadas para enfrentar las nuevas generaciones de ataques, lo que amplifica el problema dado el aumento notable de la actividad de amenazas. Bien podríamos decir que, en la carrera entre atacantes y defensores, los primeros llevan una importante ventaja”, diagnostica Coronel.
En otro estudio reciente de Accenture, los ejecutivos a nivel mundial identificaron como las principales amenazas de ciberseguridad que enfrentan actualmente al ransomware, con un 50 %, los ataques de ingeniería social (por ejemplo, el phishing) y las amenazas internas. Las empresas globales identifican la formación cibernética de los empleados (61 %), las copias de seguridad offline (58 %) y los seguros contra ataques (57 %) como las principales medidas que están adoptando para enfrentar el ransomware.
A juicio de David Alfaro, gerente general de Arkavia Networks, las estrategias siguen su adaptación dinámica al entorno. “De hecho, los que no lo hacen corren el grave riesgo de no estar preparados para los cambiantes desafíos. Hay diversos avances en materias jurídicas nacionales, como la discusión sobre la Ley de Protección de Datos personales y la nueva Ley de Seguridad de la Información, que reemplazará a la 19.223. En general, sigue habiendo debilidades en conceptos como las personas y los procesos, dado que generalmente se tiende a focalizar las mejoras en temas de tecnologías. Uno de los principales desafíos es armonizar el avance del comercio digital, la atención en línea y las cadenas logísticas, con la necesidad de estar protegidos. Suele ocurrir que los diversos comercios generan respuestas a necesidades de las personas y no siempre se está a tiempo de agregar la correcta seguridad a esas nuevas prestaciones”, explica.
Ciberseguridad y nuevas tendencias
La superficie “atacable” de la empresa, que antes estaba restringida al centro de datos y a la red interna, se amplió considerablemente con el trabajo remoto, la migración a la nube y el crecimiento de dispositivos conectados a internet, lo que implica que la protección requiera más recursos y conocimientos, que incluyen la capacitación del personal. El factor humano es el eslabón más débil de la cadena, por lo que educar y entrenar a los empleados es imprescindible.
Coronel, de Check Point Software, sostiene que: “en principio, para proteger cualquier superficie vulnerable hay que comprender claramente, como principio operativo y estratégico, que prevenir es mejor que detectar. Particularmente, y para el caso de la nube, tener clara conciencia que la seguridad de la nube no es lo mismo que la seguridad en la nube. Muy probablemente serán necesarios elementos de seguridad adicionales a los que ofrece el proveedor de nube para estar totalmente cubierto”.
Alfaro, de Arkavia Networks, explica que, durante la pandemia, “muchas organizaciones decidieron, por necesidad, mover sus negocios al mundo digital o mejorarlos para lo que ya tenían ahí. En otros casos, hubo que destinar recursos y tecnologías para que las personas pudieran trabajar desde sus hogares, lo que ha conllevado a que conceptos como ‘perímetro de defensa’ o ‘red local’ tengan menos peso en las definiciones de seguridad. Particularmente, porque con el teletrabajo y la fuerte irrupción de tecnologías cloud esa línea se ha terminado de borrar”.
En ese contexto, las amenazas ahora se orientan a aquello que está siendo más usado y demandado, como estaciones de trabajo remotas, plataformas en la nube o cadenas de suministros.
Las tendencias digitales y su proliferación exponencial debido a la pandemia han empujado a la población mundial hacia una nueva trayectoria de digitalización e interconexión. Una de las consecuencias negativas de esto son los cada vez más frecuentes, costosos y dañinos incidentes cibernéticos, que llegan a paralizar servicios e infraestructuras críticas. Así lo determina un estudio reciente de Accenture y el World Economic Forum (WEF), según el cual esta tendencia no muestra signos de desaceleración, sobre todo a medida que las herramientas y métodos sofisticados están cada vez más al alcance de los ciberatacantes.
El informe muestra que hay un importante desafío por delante: solo 19 % de los ejecutivos se siente seguro de que sus organizaciones son ciberresilientes, mientras un 87 % está planeando mejorar la ciberresiliencia reforzando las políticas, los procesos y las normas sobre cómo contratar y gestionar a terceros. Sin embargo, el reporte revela que hay importantes brechas de percepción entre los ejecutivos centrados en la seguridad (CISO y CIO) y los ejecutivos de negocios (directores ejecutivos). De esa forma, mientras el 92 % de los ejecutivos está de acuerdo con que la ciberresiliencia está integrada en las estrategias de gestión de riesgos de la empresa, solo 55 % de los CIO está de acuerdo.
“Debido a esta falta de alineación, se generan decisiones menos acertadas y problemas de seguridad. Esta brecha entre los líderes puede dejar a las empresas vulnerables a los ataques como resultado directo de prioridades y políticas de seguridad incongruentes. Por eso, la comunicación continua es clave. Para crear programas cibernéticos más eficientes, los CIO necesitan cultivar un profundo conocimiento de las operaciones críticas de la empresa y contar con una comprensión horizontal de las funciones que requieren la mayor atención y protección. Para adquirir y mantener estos conocimientos, deben interactuar regularmente con diferentes unidades de negocio que impliquen a múltiples partes interesadas en el desarrollo de la estrategia de ciberseguridad”, enfatiza Claudio Ordóñez, director de Ciberseguridad de Accenture Chile.
A juicio de Francisca Yáñez, gerente de innovación y tecnología de Microsoft Chile: “Si bien las amenazas han aumentado rápidamente en los últimos dos años, hubo una baja adopción de la autenticación de identidad robusta, como la autenticación multifactorial o un inicio de sesión sin contraseña, que es lo que se está intentando implementar en algunos sistemas. Los datos de Microsoft muestran que, en todas las industrias, solo el 22 % de los usuarios de la solución de identidad en la nube de Microsoft, Azure Active Directory (AAD), han implementado una protección de autenticación de identidad robusta hasta diciembre de 2021”.
Consejos para estrategias de ciberseguridad eficientes
Considerando que el 26 % de las compañías no dispone de una solución para sus terminales que pueda detectar y detener automáticamente los ataques de ransomware, según cifras de Check Point Software, y que solo 12 % de las organizaciones que permiten el acceso corporativo desde dispositivos móviles utilizan una solución de defensa contra amenazas, los expertos coinciden en que la prevención es fundamental para poder hacer frente a las amenazas actuales y futuras.
“La inversión en sistemas de prevención contra amenazas informáticas es imprescindible. No estar protegido no es una elección de negocios razonable considerando el riesgo y el impacto que puede afectar no solo a la organización, sino también a sus clientes, proveedores y empleados. El trabajo a distancia no solo amplió la superficie atacable de la empresa, llevándola hasta los domicilios de sus empleados, sino que también permitió que las computadoras familiares utilizadas para descargar juegos o películas fuesen también utilizadas para acceder a las redes empresarias sin la debida protección. Desde luego que una gran parte de las empresas aseguró las conexiones y los accesos, pero el crecimiento de la exposición a las amenazas se amplió considerablemente. Considerando que las organizaciones delictivas detrás de los ataques están cada vez más organizadas y financiadas y persiguen un negocio ilegal muy rentable, lo primero es adoptar el enfoque de ‘prevenir es mejor que detectar’. Resolver las amenazas informáticas una vez que se han materializado lleva inevitablemente a impactos de importancia”, resalta el country manager de Check Point.
Respecto de la estrategia a definir, y los pasos que deben seguirse en toda organización que busque estar protegida frente a ataques a su ciberseguridad, el gerente general de Arkavia Networks sostiene que “para cada negocio es necesario identificar los componentes críticos, validar su nivel de seguridad, mejorarla y robustecerla de modo tal que la actividad laboral de cada empresa no se vea suspendida o impactada por un incidente de seguridad. En internet no hay fronteras ni países: se está presente o no, y lo primero significa que se está expuesto a un alto nivel de riesgo. Hay que estar preparados para usar toda la gama de servicios que hay en él y los que aporten a cada negocio, minimizando la probabilidad de sufrir pérdidas”.
En esa misma línea, Yáñez de Microsoft explica que la estrategia es muy importante, pero tiene que acompañarse de un plan de acción concreto: “Es decir, tenemos que pasar de los principios y la teoría a la acción con sentido de urgencia. Además, es fundamental incluir a toda la organización. La ciberseguridad no es un tema del CISO, el líder de tecnología o el ‘segurito’; es un tema de todos”.
Ella ejemplifica que, según datos de Vasu Jakkal, vicepresidenta corporativa de Seguridad, Cumplimiento, Identidad y Privacidad de Microsoft, un 33 % de los ciberataques a nivel mundial están dirigidos contra las pymes, mientras que 61 % no logra recuperarse de dichos episodios.
La gerente de innovación y tecnología de Microsoft Chile agrega que, con una economía cada vez más digital impulsada por el uso de la nube, es necesario que las empresas formen un compromiso renovado con la educación y las habilidades digitales de cada uno de sus colaboradores. “Es fundamental la preparación, educación, capacitación y reentrenamiento de la fuerza laboral actual para que tengamos hábitos seguros en cuanto a la protección de nuestros datos digitales y que logremos defendernos frente a los ataques cibernéticos”.
Elementos de seguridad adaptable
Claudio Ordóñez, director de Ciberseguridad de Accenture Chile, sostiene que, para enfrentar las amenazas se requiere de una estrategia de ciberseguridad que sea adaptable, con un modelo de seguridad por capas que incluya controles de red, punto final y centro de datos, con la ayuda de la inteligencia proactiva de las amenazas globales.
“Lo que se necesita ahora es mejorar la capacidad de recuperarse rápidamente de un ciberincidente y, sobre todo, capacitar a las personas para impulsar una cultura de ciberseguridad a través de toda la organización”, afirma.
Los cuatro elementos de seguridad adaptable que se pueden aplicar ahora son:
- Mentalidad segura: Priorizar el factor humano. Los líderes de seguridad continúan desempeñando un rol en el mantenimiento del bienestar de la fuerza laboral, que es esencial para la continuidad operativa de la organización y ayudar a mitigar los riesgos para la comunidad en general.
- Acceso seguro a la red: Proteger la infraestructura de la empresa. Los líderes de seguridad pueden informar a los empleados sobre las vulnerabilidades conocidas y asegurarse de que sus equipos sean diligentes en lo que respecta a pruebas e inteligencia.
- Ambientes de trabajo seguros: Ser brillante en lo básico. Dado que los empleados trabajan ahora de manera remota, los líderes de seguridad deben cambiar el enfoque de seguridad de la información de una infraestructura empresarial a un entorno virtual y en la nube.
- Colaboración segura: Proporcionar las herramientas y los equipos para enfrentar los riesgos. Los líderes de seguridad están bien posicionados para evaluar y promover soluciones que permitan a los equipos distribuidos conectarse y colaborar en forma segura, protegida y eficiente, ayudando a sus organizaciones a crear mejores experiencias para los empleados, y mejorando, al mismo tiempo, su productividad.