Llegamos a ustedes gracias a:



Reportajes y análisis

La ciberseguridad: ¿Qué tan preparados estamos?

[10/09/2019] La ciberseguridad es uno de esos temas que, mejor, no se tocan en algunas organizaciones. En ellas el tema ha sido reducido al de un plan que se ejecutará cuando haya los recursos necesarios para hacerlo, no antes, después de todo, la firma ha operado sin problemas hasta el momento.

Pero eso no era cierto. Algunas organizaciones han despertado de su ilusión de seguridad al conocer que un malware les robaba la información desde hace un buen tiempo. O que el tan desdeñado robo de información se produjo durante el último fin de semana.

Los ciberdelincuentes están a la expectativa del robo de dinero o de la también valiosa información de una empresa, pero aún existen empresas reactivas que esperan a sentir el golpe para recién actuar. Felizmente, cada vez son menos. Ahora conversamos con analistas de seguridad y con empresas que han decidido no ser parte del grupo reactivo; sino prepararse para el entorno actual: el de una constante batalla por la ciberseguridad de la firma.

Martín Fuentes, security business senior manager de CenturyLink.
Martín Fuentes, CenturyLink, seguridad
Las amenazas

"Diría que los tres riesgos más grandes para una compañía, sobre todo si tiene presencia en línea son: el robo de información, que puede ser realizado de manera técnica o no; en segundo lugar los ataques tipo ransomware, que buscan encriptar la información; y en tercer lugar los ataques que buscan generar una indisponibilidad a los sitios o aplicativos que las compañías ponen a disposición de sus usuarios, por ejemplo, los ataques DDoS, sostiene Martín Fuentes, security business senior manager de CenturyLink.

De hecho, de acuerdo a Lenovo, en America Latina, el Perú es el segundo país con mayores ciberataques de ramsomware; el país concentra el 25% de la región, y esto se debe a que los sistemas operativos y software de terceros no se encuentran actualizados, y es por esta falta de actualización que los ciberataques trabajan para vulnerar los sistemas que aún no se han percatado que tienen estas vulnerabilidades.

"Una de cada cuatro empresas medianas (entre 100-150 empleados) ha reportado incidentes de virus en este año, por falta de una estrategia de seguridad. Y en el mundo se destina alrededor del 3% al5 % en inversión de seguridad, mientras que en el Peru es entre el 1% al 5%. Las empresas peruanas son las más vulnerables, sostiene Nataly Risco, brand manager rel de Lenovo.

Obviamente, los objetivos de estos ataques son variados, y dependen del tipo de empresa y de los intereses que tengan los atacantes; pero una cosa es clara: el daño a la empresa afectada es efectivo.

Como sostiene Andrea Fernández, gerente general de Kaspersky para el Cono Sur, un incidente de seguridad conlleva a varias consecuencias para las empresas, entre éstas el impacto financiero (dinero que pierden por el tiempo que la operación normal del negocio se encuentre suspendida), el daño a su reputación (pérdida de confianza por parte de sus clientes), así como la privacidad del cliente (fuga de datos).

"Recientemente, un estudio de Kaspersky reveló que el 57% de las empresas que se vieron afectadas por una fuga de datos a consecuencia de un incidente de seguridad, sufrieron daños en su reputación. Y si a esto le agregamos regulaciones como la GDPR y similares que están entrando en vigor, incluso en América Latina, el impacto a las empresas puede ser devastador, sostuvo la ejecutiva.

Nataly Risco, brand manager rel de Lenovo.
Nataly Risco, Lenovo, seguridad

Entonces, con este entorno, ¿por qué las empresas no terminan de convencerse de que es mejor no esperar a que se les ataque? ¿Por qué las empresas siguen siendo reactivas? Y la pregunta es comprensible dado que, en el entorno TI, los foros, seminarios, conversatorios y demás reuniones siguen multiplicándose y tocando los mismos temas, como si fuera necesario repetir un mensaje que aún no se termina de incorporar.

"Creo que, dentro del proceso de transformación digital, una de las partes más difíciles es generar una cultura de cambio. Estamos acostumbrados, por ejemplo, en una organización de retail, a vender por medios físicos, y cuando uno habla de seguridad en medios informáticos no ven el riesgo y cuando eso ocurre es muy dificil que se aprueben las inversiones para seguridad, explica Fuentes de CenturyLink.

Además, durante mucho tiempo la explicación siempre fue técnica, y es responsabilidad de los profesionales de seguridad empezar a manejar el lenguaje del negocio, para que la alta gerencia entienda el mensaje.

"Las compañías adoptan medidas proporcionalmente a sus necesidades y posibilidades. Lamentablemente, muchas de ellas ven a los sistemas antimalware como un requerimiento para protegerse, y se busca el precio mínimo para estar protegidos sin tener en cuenta el alcance de la protección que proporcionan, señala Carlos Gómez, sales engineer para South Latam de SonicWall.

Dar prioridad a la ciberseguridad

Afortunadamente, no todas las firmas peruanas siguen tratando a la ciberseguridad como un área poco prioritaria. Las organizaciones locales están comprendiendo la importancia de fijar metas de seguridad desde un inicio, y de estar preparados para enfrentar los ataques.

"Le hemos dado una importancia muy alta a la seguridad en la empresa, además se ha convertido en un pilar fundamental. Nosotros hemos reforzado nuestras medidas de seguridad en lo que va del año, porque desde febrero hemos tenido ciertos ataques lo que ha hecho que nos pongamos más dinámicos, más alertas ante este tipo de situaciones, sostiene Yon Manrique, jefe de Infraestructura y Seguridad de TI de Ilender.

De hecho, la firma ha implementado factores de seguridad adicionales a los que ya tenía: una autenticación simple basada en contraseña. Ahora la seguridad cuenta con doble y hasta triple factor, el usuario no solo puede usar una contraseña, sino también un SMS o inclusive el celular para que se pueda autenticar en los servicios de la empresa.

Al interior de la organización, se han realizado campañas de evangelización dirigidas a los usuarios, ya que ellos son los primeros en reportar los problemas de seguridad. Y esto ya se ha convertido en algo cíclico; es decir, se revisa cada cierto tiempo y ahora es un pilar fundamental de la empresa. En estas acciones, sostuvo Manrique, se encuentra comprometida desde la alta gerencia hasta el último operario.

Y, de hecho, esos esfuerzos tuvieron éxito.

"Este año empezamos con mal pie porque tuvimos varios ataques de suplantación de identidad. Por ejemplo, le llegaba a un gerente un correo del GG diciendo que le transfiera dinero a una cuenta. El correo parecía legítimo, pero gracias a las campañas de concientización que realizamos el usuario sospechó de por qué le estaba pidiendo eso, indicó Manrique.

Martín Valdivia, jefe corporativo de seguridad IT de Yanbal.
Martín Valdivia, Yanbal, seguridad

Por supuesto, como se dijo anteriormente, el tema de la seguridad es abordado de diferentes maneras. Por ejemplo, el caso de Yanbal es distinto al de iLender que es una firma financiera y que, por tanto, tiene requerimientos distintos a los de una compañía dedicada a la belleza femenina.

"Somos una compañía cosmética, estamos en la industria de la belleza femenina, y en ese contexto no contamos con regulaciones que nos obliguen a poner seguridad, nosotros ponemos seguridad por el deber ser. El dueño de la compañía es una persona muy preocupada por el tema de la seguridad y nos ayuda muchísimo al poner controles para proteger la información de la compañía, indica Martín Valdivia, jefe corporativo de seguridad IT de Yanbal.

Por supuesto, ello también implica que los usuarios han sido concientizados, siguen cursos virtuales, pasan por una inducción en seguridad y tienen controles en sus equipos.

Otra de las organizaciones consultadas, el Banco de Comercio, más bien ha incorporado los lineamientos de seguridad en la creación de sus productos; es decir, es una seguridad que se incorpora desde el diseño.

"Hemos cambiado el modelo de trabajo, antes trabajábamos en cascadas. Primero empezábamos el desarrollo y luego veíamos las capas de seguridad, de gestión, etcétera. Ahora un gran bloque lo partimos en muchas partes y comenzamos a ver todos los ámbitos; es decir, seguridad, infraestructura, aplicaciones, todo desde el principio, indica Paul Iparraguirre, jefe del departamento de Innovación y Transformación digital del Banco de Comercio.

Tercerizar

Ciertamente, las empresas se están haciendo cargo de sus responsabilidades en cuanto a la seguridad. Pero también es cierto que ofrecer al negocio un nivel de seguridad acorde con el nivel de amenazas existente en la actualidad es difícil. Por ello, muchas han decidido tercerizar la seguridad, tomar servicios gestionados de seguridad para hacer frente a las olas de amenazas y ataques que surgen todos los días.

"La tercerización operativa siempre es una posibilidad y es lo que nosotros recomendamos en CenturyLink cuando la organización no tiene manos; es decir, hoy los desafíos son mayores, hay nuevos proyectos que llevar adelante y, por lo general, los grupos que se encargan de la seguridad no crecen, sostiene Fuentes.

El que la seguridad no crezca significa que la misma gente que hace unos años veía seguridad, hoy además tiene que encargarse de llevar adelante estos proyectos. Entonces, en ese punto tener socios de negocio que estén capacitados en el tema y que puedan llevar adelante sobre todo la parte del día a día es fundamental.

¿Qué es lo que no se puede delegar? De acuerdo con Fuentes, la gestión del riesgo. El responsable de seguridad de una organización debe entender el negocio y entender los riesgos para, en base a ellos, definir contramedidas, riesgos aceptables, contratar seguros y tomar otras medidas. Las decisiones sobre la seguridad no se pueden delegar porque van de la mano con el negocio, mientras que todo lo relativo a tecnologías, controles y operación puede tecerizarse.

Y, de hecho, se terceriza.

"Tenemos personal de seguridad y servicios de compañías que nos ofrecen outsourcing de seguridad. Y estamos pensando incluso contratar un servicio gestionado de seguridad; que ellos se encarguen de administrar los firewalls, antivirus, la encriptación, todas las tecnologías de seguridad que tenemos. Y nosotros enfocarnos más en los procesos de negocio, que es lo que realmente importa, sostiene Valdivia de Yanbal.

Eso no es todo, cuando uno piensa en la tercerización también lo hace porque tener un SOC propio es muy difícil. Como señala Valdivia -que en un tiempo tuvo un SOC interno-, los servicios de SOC son muy demandantes, había que asignar personal 24x7 y por eso ya no se siguió con él, se prefiere un SOC que sea parte de los servicios gestionados que un tercero pueda ofrecer a la compañía.

La nube

Por supuesto, otro de los grandes entornos actuales de la seguridad es la nube. ¿Es distinta la seguridad en este nuevo entorno?

Andrea Fernández, gerente general de Kaspersky para el Cono Sur.
Andrea Fernández, Kaspersky

"La estrategia de ciberseguridad de los sistemas en la nube debe de formar parte de la estrategia de ciberseguridad general empresarial. Lo importante no es dónde se encuentran los sistemas o recursos, sino la propia protección de los activos críticos de la empresa, indica Fernández de Kaspersky.

Según el informe "Comprendiendo la seguridad de la nube: desde los beneficios de adopción hasta las amenazas y preocupaciones, el 33% de las pequeñas, medianas y grandes empresas peruanas está preocupada por los incidentes que afectan a las infraestructuras de TI alojadas por terceros. Sin embargo, el estudio reveló que es más probable que se vean afectadas por debilidades mucho más cercanas. En Perú, el 25% de incidentes en la nube fue causado por técnicas de ingeniería social que afectan el comportamiento de los empleados, mientras las acciones de los proveedores de nube fueron responsables de solo el 13% de éstos.

La investigación también muestra que las empresas deben estar más atentas a la higiene de ciberseguridad de sus empleados y adoptar medidas que protejan su entorno de nube desde adentro. En Perú, solo el 39% de las empresas ha implementado una protección personalizada para la nube. Esto puede ser el resultado de la gran confianza que las empresas depositan en la ciberseguridad del proveedor de infraestructura de nube. Alternativamente, podría ser que éstas tienen un falso sentido de seguridad en que la protección de los terminales podrá funcionar sin problemas en entornos de nube sin restringir sus beneficios.

Y aquí es donde se encuentra uno de los puntos en el que más se hizo hincapié durante las entrevistas: en último término, la seguridad en la nube depende del cliente, no del proveedor.

Si una firma piensa que por subir a la nube puede olvidarse de la seguridad se encuentra muy equivocada.

"Considero que, si le pones las medidas de seguridad adecuadas, afuera [en la nube] estás más seguro, siempre y cuando, tanto el proveedor de nube como nosotros como clientes hagamos nuestra parte; no todo es que el proveedor de nube se encargue de la seguridad. Muchísimas configuraciones de seguridad son internas. Y eso es lo que no se entiende bien, indica Valdivia de Yanbal.

Y por supuesto, hay que tomar en cuenta las diversas formas de nube que podemos contratar y lo que ello implica para la seguridad.

"Si en la nube contrato IaaS, el proveedor solo me da la infraestructura y por la seguridad tengo que preocuparme yo. Si estoy en PaaS, el proveedor tiene cierto nivel de seguridad, pero en las aplicaciones la seguridad corre de mi parte, porque si instalo una aplicación con vulnerabilidades el proveedor no me va a cubrir. En SaaS se tiene una capa de seguridad adicional, porque el software tiene que tener todos los SLA de seguridad que le permitan a la organización un entorno seguro, explica Iparraguirre del Banco de Comercio.

Finalmente

Las empresas con las que hemos conversado nos dan una idea de que se está avanzando en el cuidado de la ciberseguridad empresarial, pero aún faltan algunos temas por resolver. Por ejemplo, sería conveniente que el gobierno coordine un plan de seguridad con las empresas y organizaciones que, aunque no se encuentren dentro de los activos críticos que la DINI está determinando, tienen una importancia considerable para el funcionamiento del país.

"Considero que aún el país tiene un largo camino que recorrer en materia de inversión de tecnología y en específico en la prevención de ciberataques, las empresas deben contar con aliados que puedan ayudar a que sus procesos sean más eficientes y ágiles, y puedan ser seguros ante ataques ya que el costo de inoperatividad es muy alto, indica Risco de Lenovo.

Pero este es solo el inicio. Aún queda mucho camino por recorrer y es necesario compartir experiencias para que todos se puedan defender en conjunto de las amenazas que surgen cada día.

"Si bien hay algunos métodos para el intercambio de información de ciberseguridad entre las diferentes instituciones, hay una distancia bastante grande entre las empresas y el gobierno para manejar de manera mancomunada los retos de seguridad, finaliza Gómez de SonicWall.