Llegamos a ustedes gracias a:



Conversando con...

Renato Guimaraes, Microsoft Latinoamérica

Debemos hablar con el negocio sobre el valor de la ciberseguridad

Renato Guimaraes, arquitecto de Soluciones en la Nube de Microsoft para Latinoamérica.

[22/11/2018] Hace unos días estuvo de paso por Lima Renato Guimaraes, arquitecto de Soluciones en la Nube de Microsoft para Latinoamérica, con quien conversamos sobre un tema muy recurrente: La ciberseguridad.

En tiempos en los que el área de ataque se ha incrementado exponencialmente gracias a la Internet, Guimaraes recomienda a las organizaciones utilizar las herramientas de seguridad más recientes, pero también cuidar de las personas, las cuales generalmente son el eslabón más débil de la cadena de seguridad. Igualmente, aconseja a las unidades de TI salir de las cifras de ataques bloqueados, y hablar en términos de cuánto han ahorrado a las empresas al impedir los ataques. TI debe comenzar a hablar sobre la ciberseguridad en términos de valor para el negocio.

¿Existe algún tipo de organización que sea más atacada que otras?

Las instituciones financieras son las más buscadas por los ciberdelincuentes, porque una de las más importantes motivaciones de estos grupos son las económicas. Y las empresas financieras tienen activos valiosos, y atacar una institución financiera va a tener un impacto económico muy fuerte.

¿Se busca ir hacia el dinero o hacia la información que ellas tienen?

Hay varias motivaciones. Hemos visto un caso en México donde buscaron atacar el sistema de transferencias de dinero; entonces lo que se buscó fue acceso directo al dinero. Pero si alguien logra ingresar a una institución como ésta, también busca robar información, esa es la primera motivación.

Si buscas en la Dark Web seguramente estos activos de información como las tarjetas de crédito, los datos personales y otros, se encontrarán ahí porque todos ellos tienen valor, la gente los compra, es una industria estructurada donde se compra información y se vende las herramientas para conseguirla. Hay todo un mercado que se está apoyando estas acciones.

Pero entonces si son las más atacadas deben ser también las que mejor se defienden.

Hay un estudio interesante de la OEA que es un análisis de la ciberseguridad en las instituciones financieras de América Latina y El Caribe que muestra que algunas instituciones están bien, pero hay mucho que mejorar. Estas instituciones tienen que cumplir con muchos requerimientos, pero hay mucho espacio para mejorar.

Por ejemplo, en el incidente de México, seguro los bancos grandes estaban preparados para contestar y no tener problemas, pero los bancos pequeños tuvieron sus problemas. Entonces, todo depende, no se puede garantizar que un banco tenga todos sus controles y procesos implementados como deberían por su estructura y los servicios que brindan.

¿Usualmente qué formas de ataque reciben?

En ese estudio de la OEA, los eventos de seguridad más identificados son el malware (80% de las entidades), violación de políticas de escritorio limpio (clear desk) (63%) y el phishing (57%). El tema del phishing se conecta con nuestro servicio llamado Active Directory, cuando vemos la cantidad de ataques que hemos tenido contra ese servicio, el phishing se encuentra en el top 3 de ataques contra ese servicio.

¿Y a quien va dirigido el phishing?

Este estudio muestra dos escenarios. Si ves los correos de phishing, los más numerosos son los de las instituciones bancarias que solicitan que el usuario comparta su información, pero básicamente hay dos tipos, uno para los clientes y otro para los empleados.

Cuando voy hacia una persona que es cliente del banco, voy a buscar afectar directamente a la persona; cuando voy hacia un empleado la idea es buscar ingresar a la estructura del banco para comprometer una información del banco.

Microsoft tiene una unidad llamada Digital Crime Unit, que se encarga de monitorear y analizar grupos de hackers. Entonces, gracias a ello sabemos que las organizaciones criminales tienen un líder de grupo, personas que desarrollan los virus y las herramientas que se usan; otros encargados de las redes, que buscan distribuir su malware a través de la construcción de botnets y desde ahí ejecutar acciones contra usuarios y empresas. También hay un grupo que se encarga de crear los esquemas de retiro de efectivo.

Entonces, ¿qué tipos de defensas se pueden utilizar?

En Microsoft trabajamos en base a un framework que llamamos protección, detección y respuesta.

Antes teníamos un mundo donde la tecnología estaba cerrada en un contexto que era el perímetro. Se implementaban controles y se protegía bien la entrada. Se invirtió mucho en esto. ¿Qué se ha visto? Que pasar por una defensa de este tipo es muy complicado, pero si yo tengo tu credencial puedo entrar por todos los controles, porque el componente común a todos ellos es la credencial. La credencial me permite pasar por una autenticación y todos los controles que uno implementa no saben si la persona que pasa por ellos es la persona real o si es un delincuente intentando entrar a la empresa.

Nosotros recomendamos que la empresa invierta mucho en el tema de protección de la identidad. La identidad es el nuevo perímetro de la ciberseguridad.

Pero solo proteger la identidad no sirve. Tengo que proteger los dispositivos, los datos y los aplicativos con los que se trabaja, por ello tenemos controles para la protección de la identidad, la protección del dispositivo y la de las aplicaciones que están ahí. Con la credencial de Microsoft se encuentran protegidas a tal punto que si alguien roba mi celular es posible enviar un comando y borrar la información de la compañía.

Cuando hablamos de aplicativos también hablamos de aplicaciones de nube, como Salesforce o OneDrive, donde guardo información. Entonces, si guardo información ahí tengo que proteger la aplicación, ahí también nos enfocamos en la protección.

Ahora, no puedo garantizar que esto es ciento por ciento seguro, nadie puede hacerlo, son muchos componentes. Y ello porque hemos salido de un mundo cerrado a un mundo donde tenemos aplicativos en el celular y en la nube. Por ello la estrategia de defensa antigua ya no se aplica, no puedo garantizar que voy a proteger todo, pero puedo aumentar mi capacidad de detección.

En un ataque, un hacker tarda de 24 a 48 horas para entrar a la empresa, pero la media que se tiene para detectarlo es de 147 días, llegando a 200 días. 147 días da tiempo para que los hackers operen los sistemas de la compañía sin que la gente se dé cuenta. Entonces, debemos tener la capacidad de detectarlo muy rápido para disminuir el impacto del incidente y tener tiempo para reaccionar. Entonces, vamos a invertir mucho en detección.

Cuando hablamos de detección y respuesta, hoy detectamos ataques contra tu correo y lo que hacemos es incrementar el costo del ataque. Eso se llama 'arruinar el ROI del atacante'. Eso se hace no siendo objetivo de los ataques oportunistas y evitando los ataques de ingeniería social creando una cultura de detección, de reporte y de uso de los recursos tecnológicos de forma adecuada. Es un tema que no se detiene.

¿Somos aún reactivos?

Sí, pero las áreas de seguridad tienen que aprender a hablar más con el negocio, a hablar sobre cuál es el valor de la ciberseguridad para el negocio, intentar transformar los ataques que se han evitado; es decir, de todo lo que se está haciendo para que el área de negocio vea que el equipo de ciberseguridad está agregando valor.

Generalmente, seguridad solo gana atención cuando hay incidentes, pero tenemos que aprender a 'vender' mejor todo el valor que la ciberseguridad está agregando a la empresa. Aprender a hablar un poco más del negocio y poner los números claros, no solo el número de ataques que se evitaron sino cuánto no se perdió en el negocio.