Paradójicamente, este incremento de los ciberataques ha supuesto una ventaja para la seguridad. Y es que, usuarios y empresas, a base de ataques, han ido tomando conciencia de la necesidad de tomar medidas para proteger equipos, datos y aplicaciones. Faltan todavía muchas cosas en las que avanzar: formación de los usuarios, desmontar falsas creencias o considerar la ciberseguridad como una inversión y no un gasto son sólo algunos de los elementos a mejorar, pero lo cierto es que la política de seguridad por parte de las empresas es algo que está mejorando.

A pesar de esta mejoría, la ciberseguridad es uno de los principales elementos para poder llevar a cabo la transformación digital y son múltiples los retos que tiene por delante. Vamos a analizar algunos. En opinión de José María Ochoa, Área Manager de OneseQ (by Alhambra-Eidos) y Co-Director de LAB SEC Blockchain, “el principal reto de seguridad de cualquier compañía es siempre eliminar o minimizar al máximo cualquier brecha de seguridad que pueda afectar a su ecosistema. En muchas organizaciones, a la hora de afrontar la transformación digital, no cuentan con un plan de seguridad que garantice la estabilidad de la compañía, por lo que las consecuencias acaban siendo en algunos casos desastrosas. De ahí que la concienciación en materia de ciberseguridad sea un pilar fundamental en las compañías. Resulta fundamental que, las compañías que no se encuentren capacitadas para mantener sus infraestructuras seguras, se dejen auditar y asesorar por expertos que puedan hacer un estudio del que, entre otras cuestiones, puedan extraer, como punto de partida, un mapa de riesgos e impacto junto con los activos más valiosos a proteger”.

Pero en la era del Big Data, la nube o el IoT, hay un elemento que es clave en lo que se refiere a la ciberseguridad. Ese no es otro que la protección del dato por lo que es cada vez más importante su protección frente a accesos no autorizados o del uso indebido que, de forma inconsciente, puedan hacer los propios empleados de la compañía. En este sentido, Rafael Del Cerro Flores, Presales Security Systems Engineer para el Sur de Europa de Aruba cree que “los principales retos son analizar como se están comportando los propios usuarios en la red para detectar anomalías y posibles usos indebidos, y es necesaria la gestión de la amenaza interna”. Por su parte, Daniel Madero, country manager de MobileIron considera que los principales retos del sector de la ciberseguridad se encuentran en “la desaparición del perímetro de la red corporativa. El puesto de trabajo es móvil y los servicios se van a la nube. Ya no existe la visibilidad y el control sobre la red”.

En definitiva, los principales retos que marcarán las prioridades en ciberseguridad durante los próximos meses son variados. María Campos, VP sales worldwide key account, MSSP y Telcos de Panda Security cree que “por una parte, el incremento de la ingeniería social será uno de los puntos donde hacer foco, dado el elevado número de ataques de phishing que hemos visto durante 2018. Otro reto importante seguirá siendo las contraseñas débiles, con las que aumentan las posibilidades de robos de credenciales. El auge de los dispositivos IoT también cobrarán importancia, ya que la seguridad de estos dispositivos es muy débil y los usuarios no son completamente conscientes de las amenazas que presentan. También se hará foco en las nuevas tendencias de malware, centradas principalmente en robar el dinero de las víctimas; especialmente aquellos malware que infecten ordenadores para minar criptomonedas como Bitcoin”. La portavoz de Panda Security cree además que, la seguridad del Cloud es otro de los grandes retos, ya que la mayoría de las empresas que utilizan estos servicios, confían en que los proveedores de servicios son los responsables únicos de la seguridad, cuando en realidad es responsabilidad de todas las partes implicadas. Esta directiva, con una larga experiencia en el sector añade que también hay que estar atentos a “las amenazas de Inteligencia Artificial, ya que los hackers podrían utilizar esta tecnología para encontrar vulnerabilidades en los sistemas para poder atacarlos e, incluso, podrían llegar a habilitar malwares con IA para que aprendan cómo atacar un ordenador en red evitando ser detectados por las herramientas de ciberseguridad”.

Riesgos innecesarios

Una de las características del mundo de la ciberseguridad es que en numerosas ocasiones y, fruto del desconocimiento, las empresas toman riesgos que son innecesarios. Existen males endémicos, no solo relacionados con riesgos o malas praxis, más bien en relación a la falta de concienciación de la Seguridad a los propios empleados. La compartición de password, accesos no controlados, falta de segmentación en la red y sobre todo visibilidad de todo lo que hay conectado es el principal problema. El problema es que las empresas no pueden defenderse de algo que no conocen, por lo que se vuelve a un punto inicial de dar visibilidad de lo que se tiene para poder aportar las medidas correspondientes. El problema se agrava porque esta visibilidad muchas veces no la puede ofrecer un sistema aislado por sí solo, sino que se deben contar con herramientas abiertas que fomenten la compartición de contexto entre ellas. Para Miguel López, country manager de Barracuda, “uno de los mayores riesgos es considerar que una herramienta de antispam y antimalware perimetral tradicional es una protección suficiente. A día de hoy estas barreras no pueden frenar ataques basados en ingeniería social y robo de credenciales como los ya mencionados BEC y ATO”. Pero hay más. Así por ejemplo, Josep Albors, responsable de concienciación e investigación en ESET, afirma que entre los riesgos innecesarios que se toman por parte de las empresas destacan “la conexión de dispositivos IoT que no son monitorizados ni cuentan con unas medidas de seguridad básicas a redes corporativas suponen una puerta de entrada a los atacantes. Asimismo, las malas políticas de actualización de software y la pobre segmentación de las redes permiten que muchas amenazas sigan afectando a nuestras empresas con gran facilidad”.

Pero, probablemente uno de los principales riesgos que corren las empresas españolas sea precisamente la falta de estrategias de seguridad integrales en el contexto de transformación digital que vivimos. Ya no basta con poner una solución puntual frente a un problema o riesgo puntual. Por lo que el desafío de las empresas es aumentar y mejorar el control de todos los endpoints de su red. En este sentido, el director general de Sophos, Rucardo Maté, considera que “la mayoría de los movimientos laterales que realizan los cibercriminales en sus ataques se producen en los endpoints y recurren a técnica antimalware para avanzar por el sistema y aumentar sus privilegios. Es importante contar con medidas de seguridad como la seguridad sincronizada que promovemos desde Sophos que permite compartir la información entre los endpoints y los firewalls para poder detectar y automáticamente aislar un sistema que sea vulnerable a una posible infección antes de que se extienda por todo el sistema”.

El coste

Este es otro de los principales problemas a los que se enfrentan las empresas a la hora de proteger sus datos. Sobre esto, hay que señalar dos factores: el primero de ellos, tiene que ver con que, todavía, muchas compañías consideran la seguridad como un gasto y no como una inversión por lo que en muchas ocasiones se dejan de tomar las medidas necesarias. Y luego está el coste propiamente dicho y éste, si se quiere tener todo realmente protegido, es elevado.

En realidad no debería considerarse el coste de la seguridad ya que es un elemento necesario en la infraestructura tecnológica de una empresa. Ciertamente, cubrir cada ángulo, cada dimensión tecnológica puede no resultar económico… pero ¿cuál es la alternativa?, ¿no hacerlo? Desde Symantec, Ramsés Gallego, Strategist & Evangelist de la compañía, considera “es importante apostar por la priorización, por definir un mapa de inversiones que, lógicamente, protejan primero las superficies mayores de ataque (el puesto de trabajo, la red, la nube, la movilidad) y posteriormente entornos menos habituales, que supongan un riesgo menor. Pero disponer de una protección de principio a fin, holística, completa, sólida, etc. nos parece instrumental para el éxito. Vivimos tiempos de profundidad y expansión tecnológica, con muchos sistemas, muchos entornos, muchas nubes, sí. Pero, a la vez, vivimos tiempos en los que una aproximación de seguridad que comparta servicios comunes, con una visión ‘de plataforma’, que permita a más de un servicio/producto nutrirse de la inteligencia de amenazas vista en otro entorno es fundamental. Por último, no creo que deba responder si es caro o barato porque, en nuestra opinión, depende del apetito de riesgo de cada organización. Lo que sí sabemos es que fundamental, crítico… y que más allá de caro o barato debe preguntarse en qué medida se puede abordar o no ya que cualquier compañía tiene dimensiones digitales que debe proteger como ocurre con el entorno físico, donde hay tácticas de protección que incluyen una alarma, una entrada reforzada a la entidad, cámaras de vigilancia, cerramientos exteriores más robustos, etc.”.

Ángel Ortiz, Director Regional de McAfee en España cree que “no se trata tanto de una cuestión económica, sino de necesidad. Las inversiones en ciberseguridad deberían estar contempladas en los presupuestos de las organizaciones y nadie mejor que ellas mismas conoce sus necesidades. La realidad es que el panorama de ciberamenazas está en constante evolución y protegerse ya no es una opción. No hacerlo puede exponer gravemente a las empresas a exposición de datos confidenciales, robo de información personal e incluso acceso a sus cuentas bancarias”. No obstante, invertir en ciberseguridad no es algo que tenga que ser necesariamente claro. En este sentido, la portavoz de Panda Security considera que “contar con una infraestructura de ciberseguridad no tiene por qué ser necesariamente tan caro como para no poder invertir en ello. Es un error considerar la ciberseguridad de una empresa como un gasto adicional. En el caso de las pymes, que quizás no cuenten con tanto presupuesto para invertir en ciberseguridad, es importante analizar las amenazas potenciales de cara a buscar modalidades de servicios que puedan resultar más acorde a sus necesidades. Además, es importante formar a los empleados en una concienciación de ciberseguridad, ya que pueden evitar las amenazas internas que en muchas ocasiones ocurren debido a la desinformación”. Por su parte, el portavoz de OneseQ de Alhambra-Eidos, cree que “más que si es caro o barato, yo hablaría en términos de rentabilidad. Es obvio que el volumen de la inversión se determinará por las características de cada organización. No obstante, y, en cualquier caso, es mucho más caro recuperarse de un ciberataque que prevenirlo. Es tan sencillo como preguntarse: ¿cuánto me costaría el parón total de mi compañía durante horas, días, semanas…?

Y es que, aunque a veces caemos en el error de creer que una pyme no necesita invertir en este tipo de cuestiones, podríamos decir que es, más bien, al contrario. Su capacidad de recuperación tras un ataque suele ser menor que la de una gran empresa. Es normal y habitual que las compañías no se encuentren capacitadas para mantener sus estructuras seguras, debido a que la ciberseguridad se encuentra en constante cambio y resulta difícil estar al día y tener capacidad de respuesta. Es por lo que muchas entidades deciden ponerse en manos de compañías proveedoras que puedan ofrecerles soluciones escalables y gestionadas adecuadas a su situación”.

Aunque a priori parezca caro, lo cierto es que contar con una infraestructura de seguridad fuerte y robusta puede, a largo plazo, ser la mejor opción para las empresas. Y es que el coste medio de una brecha de seguridad alcanzó los 102.000€ en 2018, que es un 36% superior a la cifra de 2017 según los datos del informe “El estado de la economía de la seguridad TI corporativa en 2018” de Kaspersky Lab. En este sentido, Alfonso Ramírez, director general de la compañía asegura que “estos crecientes costes son una preocupación para las empresas inmersas en la transformación digital actual. Por ello, y ante este panorama, las organizaciones se están dando cuenta que deben priorizar el gasto en ciberseguridad para que los proyectos de transformación digital funcionen sin problemas y de forma segura. Esto se puede ver en el crecimiento que los presupuestos de seguridad TI han tenido en 2018. De acuerdo con este mismo informe se prevé que las empresas grandes dediquen casi un tercio de su presupuesto TI (7,5 millones €) a la ciberseguridad. Curiosamente, a pesar de que tradicionalmente se consideraba que las empresas más pequeñas eran las que menos gastaban en seguridad, en los últimos doce meses su presupuesto ha pasado desde los 2 mil € hasta los 3,3 mil €”.

En definitiva, el coste puede ser muy elevado si se pretende tener todo controlado, pero lo normal es que éste no sea alto si se establecen los parámetros necesarios. No tomar medidas, sí que supone un coste y es que, como afirma el portavoz de MobileIron, “incumplir la GDPR puede resultar mucho más caro”.

La nube

Uno de los elementos que están cambiando el mundo de la seguridad es la nube. Ya no se trata de proteger los datos y la infraestructura situada en la propia empresa porque muchos datos ya no se encuentran allí sino en el cloud. En este sentido, aparece uno de los errores más comunes por parte de las empresas a la hora de afrontar su política de seguridad y es que muchas de ellas creen, erróneamente, que la seguridad corre por cuenta del proveedor cuando es el cliente el que es responsable de lo que ocurre con sus datos. Para Sergi de la Torre, CTO de Econocloud de Econocom, “cualquier aplicación requiere que se apliquen políticas de seguridad a múltiples niveles y es necesario conocer de antemano quien será responsable a cada uno de los niveles. Por norma general nuestro proveedor cloud, ya sea Econocloud de Econocom o cualquier otro, gestionará la seguridad física así como la continuidad del servicio, mientras que la gestión de la seguridad a nivel de aplicación, la configuración segura de las comunicaciones, el almacenado seguro de los datos, etc. serán responsabilidad del administrador de la aplicación. Conviene siempre asegurarse y realizar auditorias periódicas para garantizar el correcto cumplimiento”.

Cloud, sin embargo, también mejora la seguridad. Y es que, son muchas las aplicaciones de seguridad que corren bajo cloud. En este sentido, Miguel López de Barracuda asegura que “cloud es imprescindible ya que permite dedicar recursos a tareas con mucha mayor efectividad que un planteamiento de seguridad basado en procesamiento local. Un buen ejemplo de ello son los entornos antimalware con Sandbox en los que vemos que el cloud mejora de forma sustancial tanto el nivel de detección y seguridad como la velocidad y escalabilidad de los análisis”. Por su parte, Ignacio Franzoni, SME en Fortinet afirma que “Cloud es sinónimo de automatización y de pago por uso (entre otras), por lo que para los desarrolladores de soluciones de seguridad como nosotros cloud es uno de los pilares estratégicos de desarrollo y crecimiento, invertimos en I+D para adaptar los productos a estos modelos, consiguiendo los mismos beneficios que el cloud proporciona”.

En cuanto a cambiar la mentalidad de empresas y usuarios con respecto a quién es el responsable de la seguridad del dato, si el proveedor o el propio usuario, José María Ochoa, de OneseQ de Alhambra-Eidos, considera que “la seguridad es cosa de todos, de la propia organización y de los proveedores con los que cuente la misma. Por tanto, debemos ser conscientes de que este equipo debe existir, debe trabajar conjuntamente y la elección de los miembros externos de este equipo debe de ser la adecuada. El Cloud, como todos sabemos, es un facilitador, permite optimizar los recursos, disponer de un aprovisionamiento inmediato de las nuevas tecnologías, agilizar la adaptación y la integración y reducir las inversiones iniciales a través de un pago por uso. Pero además, haciendo una buena elección del proveedor Cloud, la organización mejorará la seguridad y la protección de datos, le ayudará al cumplimiento normativo tan importante a día de hoy, contará con planes de recuperación ante desastres y dispondrá de manera continuada de una total flexibilidad ante las necesidades del negocio, evidentemente también en seguridad. Un proveedor Cloud de garantía, dispondrá de servicios acreditados por certificaciones que aseguren la calidad del servicio y permitan al cliente adecuarse a procesos de seguridad de la información y cumplimiento normativo sólo con el hecho de acceder a su nube. Proveedores Cloud con certificaciones como la ISO 27018, ISO 27000, ISO 22301 o ISO 20000 son proveedores con servicios Cloud GDPR Compliance que van a hacer que sus clientes estén al día en lo relativo a la protección del dato, la seguridad, el cumplimiento normativo y, además, en eficiencia energética”. El director técnico de Trend Micro, José de la Cruz también considera de suma importancia conocer quién es el responsable de la seguridad de los datos y aplicaciones alojados en el cloud. En su opinión, “al trabajar con entornos cloud debemos comprender que la responsabilidad de la seguridad es compartida: el proveedor se encarga de la infraestructura y el cliente de proteger sus aplicaciones y datos. En este sentido debemos acotar dicha responsabilidad en el momento de la firma del contrato con el correspondiente proveedor cloud. Asimismo, debemos exigir información acerca de las medidas de seguridad que dicho proveedor tiene implementadas en su infraestructura.Una vez acotada la responsabilidad, deberemos implementar mecanismos para proteger la parte que nos corresponde (la no protegida por el proveedor cloud) de idéntica manera que haríamos en nuestra infraestructura local”.

Actuaciones a tomar

Para enfrentarse de la mejor forma posible al complejo panorama de la seguridad, las empresas deben contar con una solución que resuelva la ecuación de manera sencilla, innovadora y altamente efectiva. Un sistema de seguridad por capas que cubra los diferentes componentes de sus sistemas de TI: correo, red, navegación web, puestos de trabajo, wifi, dispositivos móviles y aplicaciones. Pero no solo eso, sino que debido a la complejidad de los ataques de hoy en día es más que conveniente que estas soluciones sean capaces de hablar entre sí, compartiendo información sobre cualquier incidente de seguridad, para conseguir que su fiabilidad aumente. En este sentido, el director general de Sophos considera que “el puesto de trabajo seguirá siendo siempre atractivo para el cibercrimen y, con una solución como Intercept X de Sophos, capaz de detener el malware de día cero, los ataques sigilosos y las variantes exploit desconocidas, e incluye funcionalidades avanzadas antiransomware que permiten detectar ataques desconocidos previos en cuestión de segundos, minimizaremos los riesgos. Y otro factor importante y que más vale no perder de vista es el correcto cumplimiento con el GDPR. En cuestión de seguridad, los datos son un riesgo, no un activo y no solo hay que tener cuidado con lo que almacenamos y dónde lo almacenamos, sino también hemos de poner medidas para que, en caso de que nuestra información se pierda o sea sustraída, no pueda ser utilizada. En este sentido, desarrollamos una solución como SafeGuard Encryption de Sophos, que permite el cifrado sincronizado para resguardar la información a la que se accede desde móviles, portátiles, ordenadores, redes y aplicaciones para compartir archivos en la nube, nos asegurará esta protección extra y nos ayudará a cumplir con el nuevo reglamento europeo”.

Por otra parte, en estos momentos existe un incremento de los datos críticos en servicios SaaS e IaaS, es decir, que están situados fuera del perímetro de la empresa. Ha cambiado totalmente la forma de trabajar, el lugar de residencia de los datos y la forma de acceder a los mismos. Y, sin embargo, los presupuestos de seguridad continúan enfocados en soluciones de seguridad Perimetral principalmente, las cuales son inefectivas en este nuevo entorno en el que nos movemos. Por todo ello, se debe buscar un nuevo paradigma de protección de la información. Se debe de apostar por soluciones que redefinan un nuevo perímetro de seguridad alrededor de los datos que tenemos hoy, alrededor de la nube. En este sentido, Samuel Bonete, country manager de Netskope cree que “esas soluciones pueden ir orientadas en dos líneas. Por un lado el Gobierno de los datos en SaaS, ya sea este SaaS regulado (O365, G-Suite, Salesforce, etc) o no regulado (aplicaciones cloud que los empleados utilizan sin estar aprobadas ni gobernadas por los departamentos de IT). Por otro lado, es también importante el gobierno de la información y revisión continúa de configuraciones en IaaS. Estamos hablando monitorizar de forma continua la postura de seguridad de nuestra infraestructura IaaS (Cloud Security Posture Management) así como de tener control sobre los datos que tenemos albergados en IaaS y como éstos son trasegados entre los diferentes proveedores de cloud pública. Por tanto, y a modo de resumen, podemos hablar de la importancia creciente de controlar tanto los entornos SaaS, bien sea aplicaciones reguladas como Office 365 o AWS, bien sea aplicaciones no autorizadas por el departamento de TI, como los entornos IaaS (AWS, Azure, GCP)”.

El papel de la inteligencia artificial

Una de las herramientas que parece que en los próximos años va a tener una especial relevancia en el mundo de la ciberseguridad es el de la inteligencia artificial. Gracias a ella, es de prever que se puedan atajar numerosos ataques antes de que incluso lleguen a producirse. Como afirma el country manager de MobileIron, “la inteligencia artificial lo que va a proporcionar es añadir capacidad contextual a los sistemas de seguridad, lo que redunda en una mejora de la seguridad implementada”.

WhatsApp WhatsApp us