[19/06/2020] La vida de un profesional de seguridad no es fácil. Se encuentra en primera línea, peleando una gran batalla contra un enemigo paciente, inteligente y determinado que siempre parece estar un paso por delante. Pero también hay grandes recompensas. La comunidad de seguridad tiene una enorme camaradería; los profesionales de seguridad pueden sentirse bien sabiendo que están haciendo algo importante para su empresa. Y los salarios de seguridad se encuentran entre los más altos de la industria de TI.
A continuación, se presentan seis verdades difíciles que los profesionales de seguridad deben aprender a aceptar y enfrentar.
Probablemente los hackers están dentro de su red en este momento
Todos hemos escuchado el viejo dicho de que hay dos tipos de empresas, las que han sido hackeadas, y las que han sido hackeadas y aún no lo saben. Eso tiene algo de verdad. En promedio, las empresas tardan 200 días en identificar una violación de seguridad, según un estudio realizado por el Instituto Ponemon para IBM. Eso significa que el atacante pasa más de seis meses rebuscando dentro de su red.
Casi el 70% de los CISOs informaron que descubrieron malware oculto en sus redes durante un período de tiempo desconocido, en algunos casos durante más de un año, según una encuesta encargada por Nominet, que ejecuta el registro de nombres de dominio del Reino Unido y ofrece servicios de ciberseguridad.
Incluso las empresas tecnológicas no son inmunes. Por ejemplo, Citrix, en una carta al Fiscal General de California, señaló que los hackers estuvieron dentro de su red desde octubre del 2018 hasta marzo del 2019, eliminando archivos con contenidos como nombres, números de seguro social e información financiera.
Una vez que un hacker ha violado sus defensas, puede tomarse su tiempo para obtener metódicamente credenciales y permisos de administrador que le permitan acceder a datos valiosos almacenados en servidores corporativos, y sigilosamente filtrar esos datos de una manera que evite la detección. E incluso ha habido casos en los que los hackers "escucharon" las comunicaciones corporativas relacionadas con el hackeo, por lo que los invasores sabían qué contramedidas estaba tomando la compañía y, por lo tanto, pudieron evadirlas.
Lo que puede hacer: Considere implementar herramientas de búsqueda de amenazas que creen honeypots y use otras técnicas avanzadas para atrapar a los atacantes antes de que puedan hacer daño.
Puede hacer las cosas de manera correcta y un usuario final descuidado lo arruina todo
Es una situación difícil de procesar. Usted lleva a cabo una amplia capacitación para el usuario final. Incluso, de manera regular, envía phishing falso y luego realiza un seguimiento notificando a los infractores que hicieron clic en un enlace incorrecto con la esperanza de que aprendan de sus errores.
Y, aun así, alguien cae en el spear-phishing, poniendo en riesgo a toda la organización.
Las estadísticas son realmente aterradoras. De acuerdo con el reporte de Verizon Data Breach Investigations, el 32% de todas las violaciones de datos involucran phishing. Y cuando las organizaciones investigaron la causa raíz de los incidentes de ciberespionaje, y la instalación y uso de puertas traseras, el 78% de los casos se produjo con phishing.
Uno de cada 25 correos electrónicos es phishing, y prácticamente todas las empresas (83% por ciento de los encuestados de seguridad de la información global de acuerdo con el reporte de State of the Phish de ProofPoint) han experimentado ataques de phishing.
Por supuesto, los usuarios finales pueden comprometer la seguridad de otras maneras, incluida la pérdida o robo de su dispositivo, o ser víctimas de estafas de ingeniería social en las que comparten contraseñas u otra información de credenciales con usuarios no autorizados.
Lo que puede hacer: Existen servicios anti-phishing de terceros que intentan estar un paso por delante de los últimos trucos de phishing.
Enfrenta escasez crítica de personal y habilidades
Según el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información (ISC2), la principal preocupación entre los profesionales de ciberseguridad (36%) es la falta de personal calificado. El último informe del ISC2 hace sonar la alarma: la brecha de fuerza laboral de seguridad global ha alcanzado los cuatro millones de empleos, principalmente en la región de Asia y el Pacífico (2.6 millones). Pero las cosas no están mucho mejor en América del Norte, donde se estima que la escasez de profesionales de seguridad es de alrededor de 550 mil trabajadores.
Dos tercios de las organizaciones en la encuesta de ISC2 indicaron que tienen una escasez de personal de ciberseguridad, y más de la mitad de las organizaciones (51%) dijeron que la escasez de talento en seguridad está poniendo a la organización en un riesgo de moderado a extremo.
Esos hallazgos están respaldados por una encuesta realizada por la Asociación de Seguridad de Sistemas de Información (ISSA) y la firma de analistas Enterprise Strategy Group (ESG). El 70% de los encuestados dijo que la escasez de habilidades ha tenido un impacto en su organización, y el 62% un aumento de casi 10% respecto al año pasado, dijo que se están quedando atrás en proporcionar un nivel adecuado de capacitación para su personal de seguridad.
Lo que puede hacer: Los expertos recomiendan que las empresas relajen sus rígidos requisitos respecto a las certificaciones específicas o años de experiencia que buscan en los candidatos. Las organizaciones también deberían tratar de reclutar y capacitar a empleados de otras partes de la empresa. La capacitación cruzada es importante, al igual que la integración de los equipos de seguridad con otros grupos, como DevOps o redes. Si la seguridad se convierte en parte del trabajo de todos, eso reduce parte de la carga de los profesionales de seguridad.
IoT crea problemas de seguridad nuevos e imprevistos
Las ventajas de la tecnología IoT son evidentes tanto en entornos empresariales como de consumo: impresión 3D, realidad aumentada y virtual, robots colaborativos, drones, sensores remotos, Industria 4.0, vehículos autónomos, hogares inteligentes, cámaras de seguridad. Un nuevo pronóstico de IDC estima que habrá 41,6 mil millones de dispositivos IoT conectados, o "cosas", que generarán 79,4 zettabytes (ZB) de datos en el 2025.
Pero no es la cantidad de dispositivos lo que puede crear pesadillas de seguridad, sino la forma en que estos dispositivos no seguros pueden afectar sus defensas de seguridad. ¿Los empleados revisan el correo electrónico corporativo en su reloj inteligente? ¿Se están conectando al sistema de seguridad de su hogar desde su laptop de trabajo? Cuando trabajan desde casa, conectados a la red corporativa a través de VPN, ¿alternan entre las aplicaciones corporativas y personales?
Según un análisis del tráfico en la nube realizado por Zscaler, el proveedor de seguridad basado en la nube estaba bloqueando dos mil piezas de malware basado en IoT por mes en mayo del 2019. Ese número se multiplicó por siete, alcanzando 14 mil intentos de malware bloqueados por mes a fines del 2019.
En muchos casos, es posible que los profesionales de seguridad ni siquiera reconozcan algunos de los dispositivos que generan tráfico de IoT y, por lo tanto, crean nuevos vectores de ataque basados en IoT para cibercriminales. Los atacantes ciertamente son conscientes de estas vulnerabilidades potenciales. En el caso de la botnet Mirai del 2016, los atacantes aprovecharon el hecho de que los consumidores rara vez cambian la contraseña predeterminada en las cámaras IP y enrutadores domésticos para lanzar un ataque de denegación de servicio que destruyó una gran parte de Internet. Y nuevas vulnerabilidades dirigidas a dispositivos IoT aparecen todo el tiempo, apuntando a cámaras, DVR y enrutadores domésticos.
Lo que puede hacer: Los profesionales de seguridad deben centrarse en ganar visibilidad de la existencia de dispositivos IoT no autorizados que ya están dentro de la red (Shodan puede ayudar aquí), colocar los dispositivos IoT en una red separada, restringir el acceso al dispositivo IoT desde redes externas, cambiar las credenciales predeterminadas, requerir contraseñas seguras y aplicar actualizaciones periódicas de seguridad y firmware.
A veces se siente incomprendido y subestimado
A menudo, los equipos de seguridad enfrentan una batalla cuesta arriba en varias áreas clave:
- Financiación: Naturalmente, las empresas quieren invertir en áreas que reducen los costos operativos, mejoran los márgenes, crean nuevas fuentes de ingresos, desbloquean la innovación y aumentan la satisfacción del cliente. A menudo, la seguridad se considera un gasto que no produce una recuperación cuantificable y, por lo tanto, los presupuestos de seguridad no siguen el ritmo del panorama de amenazas.
- Soporte ejecutivo: En los niveles más altos de la empresa, las amenazas de seguridad pueden no ser completamente entendidas. En algunas compañías, ejecutivos expertos en seguridad forman parte de la Junta Directiva, pero en muchas no.
- Cooperación de la unidad de negocios: Las unidades de negocios suelen considerar a la seguridad como un inhibidor en lugar de un habilitador. Esto da como resultado que los departamentos evadan a TI y se registren en sus propias aplicaciones de productividad, colaboración o almacenamiento, creando, por supuesto, problemas de seguridad adicionales.
- Resistencia de los empleados: Los empleados suelen ver los procedimientos de seguridad: restablecimientos frecuentes de contraseñas, autenticación de dos factores u otras prácticas de seguridad estándar, como molestias que se deben ignorar o evadir.
Lo que puede hacer: Los profesionales de seguridad deben hacer un esfuerzo concertado para llegar a todos los rincones del negocio; deben construir puentes, crear equipos interdisciplinarios y transmitir el mensaje de que la seguridad es responsabilidad de todos y debe integrarse en cada proceso empresarial.
El estrés, la ansiedad y el agotamiento son parte del trabajo
Sume todas las verdades difíciles enumeradas anteriormente y obtendrá una profesión sujeta a un alto nivel de estrés, ansiedad y agotamiento. Según el Instituto Ponemon, el 65% de los profesionales de SOC dicen que han pensado en renunciar debido al estrés.
En la encuesta de Nominet, el 91% de los CISOs señalan que sufren estrés moderado o alto, y el 60% agrega que rara vez se desconectan. Aún más preocupante, una cuarta parte de los CISOs encuestados piensan que el trabajo ha tenido un impacto en su salud mental o física, y sus relaciones personales y familiares.
Las altas tasas de agotamiento contribuyen a una alta rotación, lo que exacerba la escasez de habilidades, dificultando la vida del profesional de seguridad restante. Es un círculo vicioso.
Qué puede hacer: No hay una respuesta fácil para esta situación, pero los profesionales de seguridad deben abrirse y hablar sobre el estrés con sus colegas, y hacer un esfuerzo decidido para mejorar el equilibrio entre su trabajo y su vida.
Neal Weinberg, CSO (EE.UU.)