Llegamos a ustedes gracias a:



Reportajes y análisis

6 deficiencias en seguridad expuestas por el COVID-19

[20/11/2020] Hace un año, en la primavera del 2019, Mike Zachman hizo un simulacro de seguridad para su compañía, Zebra Technologies Corp.

Zachman, quien como jefe de seguridad supervisa la ciberseguridad, así como la seguridad de los productos y la seguridad física, había enfocado el ejercicio en la continuidad de los negocios para determinar cuán bien se mantendrían los planes de la compañía.

Había organizado eventos similares en el pasado, tanto en un simulacro de ataque rasomware como en un desastre natural que destruyó un centro de datos. Así que, para probar más a fondo su compañía, se le ocurrió un nuevo escenario para el 2019: una pandemia teórica, con trabajadores de oficina sometidos a controles de temperatura.

Zachman asegura que no es previsor sino más bien pragmático: Las compañías globales han tenido que lidiar con el SARS y epidemias localizadas en el pasado, señala, por lo que vio la prueba de la respuesta de su compañía a una pandemia como un movimiento responsable.

El ejercicio puso a prueba la estrategia "3+2" de la compañía, que fue diseñada para asegurar que su recuperación del desastre, la cadena de suministro y la fuerza de trabajo (la "3") así como sus depósitos de reparación y centros de distribución (la "2") fueran lo suficientemente resistentes para manejar el evento.

"Habiendo hecho ese ejercicio, nos encontramos razonablemente preparados cuando llegó el COVID. Todavía era un desafío. Se necesitó mucha gente poniendo mucha energía para asegurarnos de que se ejecutara correctamente. Pero lo que no hacíamos era correr por ahí, diciendo '¿Qué hacemos?'", comenta Zachman.

La compañía tenía un plan de mando y control, y tenía suficientes VPNs para soportar el trabajo remoto generalizado. Sus trabajadores llevaban sus dispositivos consigo, ya que el simulacro de septiembre del 2019 reforzó para ellos la necesidad de llevar sus computadoras portátiles a casa por la noche para garantizar la continuidad del negocio en caso de que surgiera una emergencia repentina.

Sin embargo, Zebra todavía encontró algunas deficiencias en sus operaciones de ciberseguridad que necesitaban ser arregladas, indica Zachman. Descubrió, por ejemplo, que algunas de las configuraciones de sus portátiles no ofrecían una protección adecuada para el acceso remoto a largo plazo obtenido a través de las redes de Internet domésticas de los trabajadores. Y tenía menos visibilidad del tráfico de la red de los portátiles en casa, lo que impulsó a Zebra a acelerar su viaje hacia un entorno más maduro de confianza cero (Zero Trust).

Como muestra la experiencia de Zebra, la pandemia puso al descubierto deficiencias de seguridad incluso en organizaciones bien preparadas. Las deficiencias van desde las menores hasta las más importantes e, independientemente de su tamaño y naturaleza, mantienen a los funcionarios de seguridad de la información muy ocupados a medida que ellos y sus organizaciones avanzan en medio de una incertidumbre continua y de escenarios de trabajo desde el hogar.

"Podría ser: 'Eh, estas son nuestras carencias' o podría ser: 'Estamos más atrasados de lo que pensábamos', pero todo el mundo aprendió algo de COVID", anotó Kory Patrick, líder de prácticas de riesgo y seguridad de la empresa de gestión de servicios de TI TEKsystems.

Las deficiencias de seguridad expuestas

Numerosos informes en los últimos meses han encontrado que el número, los tipos y la severidad de los ataques estaban en aumento en el 2020. NETSCOUT, por ejemplo, informó en su informe de inteligencia de amenazas que cubre la primera mitad del año, que hubo 4,83 millones de ataques durante ese tiempo, un aumento del 15% con respecto al año anterior. Estas estadísticas refuerzan lo que los CISO han estado diciendo desde marzo: que la pandemia está poniendo a prueba constantemente la fuerza de la seguridad de las empresas.

La pandemia también reveló numerosos puntos débiles. Los líderes y expertos en seguridad enumeraron algunas lagunas comunes que han sido expuestas:

Preparación y planificación inadecuadas. Muchas organizaciones se dieron cuenta en los primeros meses de la pandemia de que su atención e inversión en programas de seguridad eran menores de lo necesario, comenta Shelly Waite-Bey, fundadora de Waite SLTS, una empresa de soluciones de seguridad cibernética y servicios de consultoría, y miembro de Women in Cybersecurity (WiCyS). "Había muchos que se quedaron cortos, y esas empresas están rectificando la situación ahora buscando mejorar su seguridad", añade.

De segunda clase con la junta directiva. Kathryn Salazar, vicepresidenta de IS y CISO de McBride, dice que muchos CISO todavía no tienen ese asiento completo en la mesa ejecutiva, y todavía se enfrentan a juntas que no quieren abordar adecuadamente los ciberriesgos, hasta que hay un incidente. "Los CISO no están obteniendo los fondos que necesitan para asegurar sus organizaciones como deberían en este nuevo entorno", señala.

Un informe de octubre del 2020 de SafeGuard Cyber confirma su observación, señalando que sigue habiendo "una desconexión y una tensión significativas entre las necesidades percibidas de seguridad y cumplimiento, y el nivel de planificación de la organización". A pesar de la percepción de riesgo digital en torno a las aplicaciones no autorizadas, los ataques de rasomware, la seguridad de varias pilas de tecnología, solo el 18% de los encuestados citan la seguridad como una preocupación a nivel de la junta directiva".

Continuación de la confianza en las defensas del perímetro. A medida que las organizaciones se esforzaban por permitir el trabajo remoto de sus empleados, muchos CISO se dieron cuenta de que no tenían suficientes VPN para soportar la carga, ni su infraestructura de seguridad era capaz de garantizar que solo las personas autorizadas pudieran acceder solo a los datos que necesitaban en el momento en que los necesitaban. Patrick culpa a la continua y pesada dependencia de las defensas del perímetro, una dependencia que hacía difícil y a veces casi imposible la ampliación segura del trabajo a distancia. Para contrarrestar eso, los expertos dicen que los oficiales de seguridad de la información están acelerando la adopción de soluciones avanzadas de gestión de identidades y acceso, así como los principios de confianza cero.

Problemas con la aplicación de parches. Los eventos del 2020 también expusieron las debilidades de los programas de parcheo en las empresas, sostiene John E. Stoner, un analista de inteligencia de amenazas cibernéticas y miembro del veterano grupo de seguridad cibernética VetSec, así como WiCyS. Stoner dice que algunas organizaciones en general no dedicaron suficiente tiempo a la aplicación de parches, mientras que otras no tenían programas de gestión de activos sólidos que les permitieran gestionar eficazmente los parches. Otras tenían un buen historial de aplicación de parches a los activos corporativos, pero no podían aplicar parches a los dispositivos personales utilizados en el trabajo.

Los hackers también se han dado cuenta de que los ataques exitosos a las vulnerabilidades conocidas que permanecen sin parchear son cada vez más fuertes. "Hemos visto que la falta de parches lleva a intrusiones, incluyendo algunas en grandes empresas", comenta Stoner. El informe de Operaciones de Seguridad 2020 de Arctic Wolf identifica los problemas con los protocolos de parcheo como una cuestión clave, señalando que el tiempo de parcheo de vulnerabilidades críticas ha aumentado en 40 días durante la pandemia.

Visibilidad y controles insuficientes. La consultora en ciberseguridad y vCISO, Gina Yacone, señala que está aconsejando a sus clientes empresariales que consideren las vulnerabilidades que sus nuevos trabajadores remotos están introduciendo. "Estoy preocupada por su red doméstica personal -el enrutador, su Wi-Fi- que en realidad no ofrece protección de nivel empresarial a menos que se adquiera de esa manera", comenta, añadiendo que las redes domésticas generalmente no tienen encriptación y algunas ni siquiera tienen protección con contraseña. Estos escenarios son especialmente problemáticos si las empresas no utilizan redes privadas virtuales (VPN), o si sus trabajadores manejan datos sensibles de cualquier tipo. "¿Están los trabajadores equipados en casa para proteger realmente los datos como se requiere?" pregunta Yacone. Según el informe Arctic Wolf, el número de dispositivos que se conectan a redes Wi-Fi abiertas aumentó un 243% desde marzo, lo que significa que "sin los controles adecuados, las fuerzas de trabajo dispersas geográficamente se enfrentan a mayores riesgos de ataques de redes no seguras".

Al mismo tiempo, las organizaciones que no contaban con una clasificación de datos madura, procesos de gestión de activos sólidos o programas de supervisión maduros han tenido dificultades para obtener la visibilidad que necesitan en esas áreas para asegurarse de que son adecuadamente seguras, comenta Matt Miller, vicepresidente de servicios de asesoramiento sobre la gobernanza de la información global de Consilio, un proveedor de servicios de gestión de riesgos y consultoría jurídica. Cita como ejemplo una empresa cliente con 5,5 millones de números de seguridad social contenidos en seis mil hojas de cálculo que no estaban ni protegidas por contraseña ni encriptadas. Miller dice que tales escenarios enviaron a los equipos de seguridad de la empresa a apresurarse a desarrollar e implementar políticas y soluciones para obtener una mejor visibilidad y control de los puntos finales, el flujo de datos y el tráfico de la red.

Falta de agilidad. Algunos equipos de seguridad tuvieron problemas para ir de un desafío a otro en los últimos meses, indica Miller. Es cierto que tenían una lista desalentadora de crisis que manejar, pero la dificultad resultante de abordar rápidamente las tareas, no obstante, mostró a muchos CISO que sus departamentos de seguridad eran menos ágiles de lo que les gustaría. Los expertos vinculan los límites de la agilidad a cuestiones de larga data dentro del espacio de seguridad, a saber, la falta de personal suficiente y la falta de automatización para liberar al personal de la manipulación de tareas rutinarias y manuales para que puedan trabajar en los proyectos de mayor valor. Independientemente de las razones, las implicaciones son significativas. "La consecuencia de no ser ágiles, de no poder cambiar de puesto con la suficiente rapidez, es que están sobreexpuestos con un nivel de riesgo dramáticamente incrementado", anota Miller, señalando que vio cómo algunas organizaciones tardaban meses en abordar las lagunas de seguridad. "Ahora ha salido a la luz que necesitan ser más ágiles para poder manejar situaciones que están fuera de la norma".

Lecciones aprendidas

Aunque los acontecimientos del 2020 pusieron de manifiesto los puntos débiles del aparato de seguridad de las empresas, los expertos en seguridad dicen que muchas de las cuestiones eran ya problemas conocidos que los CISO tenían previsto solucionar en sus hojas de ruta a largo plazo.

"Muchas organizaciones contaban con un plazo más largo para realizar cambios, pero el COVID aceleró esos planes ya que la pandemia expuso muchos problemas de seguridad de las organizaciones e impactó directamente en la disponibilidad del negocio", indica Patrick.

Ahora que se están llevando a cabo trabajos de reparación.

Patrick y otros dicen que ven que un número cada vez mayor de CISOs se está moviendo hacia, o madurando, su uso de la arquitectura de confianza cero para garantizar mejor la seguridad, a medida que el último perímetro de la red corporativa se disuelve y a medida que los puntos finales proliferan tanto con la fuerza de trabajo remota como con el crecimiento de los dispositivos conectados.

Los CISOs también están fortaleciendo los programas de gestión de puntos finales, y están avanzando en la clasificación y control de sus datos.

Todo esto debería crear una seguridad más fuerte en todo el tablero, un resquicio de esperanza, tal vez, para una nube oscura.

"Veo a los CISO que no estaban particularmente preparados para los eventos particulares de este año", señala Miller, "pero que ahora dicen: 'Echemos un vistazo a cómo mejorar nuestros planes de recuperación de desastres y continuidad de negocios y la prueba futura contra lo que pueda venir a continuación'".