Nota realizada por Revista Gerencia
La ciberseguridad se ha convertido en una preocupación importante para las empresas en los últimos años. La creciente dependencia de la tecnología, la digitalización de los procesos y la nube han aumentado la exposición a los riesgos cibernéticos. En consecuencia, estas han tenido que adoptar medidas para protegerse contra los ciberataques. Respecto a los retos de la seguridad en la nube, conversamos con destacados proveedores en la Mesa de Trabajo de Revista Gerencia.
Hoy la mayoría de compañías que contratan servicios de ciberseguridad, a juicio de los proveedores, son empresas medianas o grandes, que manejan grandes transacciones de negocios, donde el impacto de un ataque impulsa la necesidad de invertir en tecnología o servicios. También hay otras más pequeñas que invierten básicamente porque tienen un cliente grande que les exige un estándar o, por ejemplo, están certificadas en ISO 27001 porque trabajan con asociaciones gremiales y, por ende, deben tener un nivel de ciberseguridad mayor que una empresa promedio. Hay firmas que solo tienen 50 empleados, por ejemplo, Fintechs, pero facturan millones y por
el volumen que mueven los niveles normativos son mayores.
En general, “la ciberseguridad ha tomado relevancia en el momento en que ha afectado el ‘bolsillo’ de las compañías, cuando perder información ha sido clave en términos comerciales o su mal uso ha dañado a la organización. Siempre ha sido muy difícil vender servicios en este ámbito porque claramente no hay un retorno de la inversión a la vista. Ahora la seguridad ha tenido más auge por el crecimiento de los datos y las regulaciones que han obligado a preocuparse de esta”, afirma Luis Guarneri, Gerente Comercial de Security Advisor Chile.
Tras la pandemia, el 90% de las empresas incrementó el uso de cloud, según el estudio “Más allá de la Adopción de
la Nube” de Devo. A medida que estas trasladan sus cargas de trabajo y datos a entornos cloud, se plantean nuevos desafíos de seguridad que requieren enfocarse.
“Existía la errónea creencia de que la nube ya ofrecía un nivel de seguridad suficiente, pero las empresas empezaron a darse cuenta que no era cierto. Esto contribuyó a generar conciencia sobre la necesidad de invertir en seguridad”
Según Miguel Satzger, Head of Sales America en Base4 Security, en un principio existía la errónea creencia de que
la nube ya ofrecía un nivel de seguridad suficiente. “Con el tiempo, las empresas empezaron a darse cuenta, especialmente en las áreas de infraestructura y desarrollo, de que esto no era cierto. Percibieron que la seguridad requería el apoyo de una firma consultora para gestionar estos entornos. Esta situación también contribuyó a generar conciencia sobre la necesidad de invertir en seguridad cloud, en lugar de considerarla como un servicio llave en mano”, expresa.
Hoy se observa, además, una tendencia a ir separando el área de TI clásica con el área de ciberseguridad, sobre
todo en empresas medianas y grandes y en otros países, como EEUU. “Cada vez se comprende más que la ciberseguridad es parte del negocio, porque finalmente un ataque no solo cuesta dinero por la inoperatividad que genera por cierto tiempo, sino también por el daño que puede hacer a la marca e imagen de la empresa”, agrega André Goujon, CEO de Lockbits.
Otro elemento que impulsa la preocupación por la ciberseguridad son las regulaciones. “Estas van creciendo en
exigencias y las empresas se van viendo un poco obligadas a implementar tecnologías de seguridad. Cuando una organización se convierte, por ejemplo, en víctima de un ataque, se da cuenta de todas las falencias que tenía. A partir de eso ve que invertir es mucho mejor que tener que responder a un incidente que no solo puede llevar el negocio a algún problema, sino que, además, a la pérdida de reputación, que es sumamente importante para las empresas”, detalla.
Los retos de la nube
Las amenazas siguen creciendo en sofisticación y volumen. Así como la Inteligencia Artificial avanza para apoyar a
las empresas y usuarios, en la Deep web es posible encontrar una suerte de versión maliciosa de chatbot, que permite
hacer exploits de malware. Los proveedores coinciden en que, por lo reciente que son, aún no se sabe el impacto real que tendrán estas herramientas tanto a nivel de protección como de amenaza.
Por otra parte, el ransomware, por ejemplo, que fi gura entre las principales ciberamenazas en el país, dio un paso
más y además de cifrar los datos, como muchas empresas ya tienen backup o planes de contingencia, roba información, de manera que, si la organización no paga el rescate, publica sus datos privados. “Entonces, obviamente hoy hay más conciencia”, agrega el ejecutivo de Lockbits. Además, llama la atención que la mayor amenaza que se observa hoy día en Chile es el phishing, mucho más que el malware, y eso habla de que todavía falta mucha concientización porque el phishing en sí no infecta, sino que puede llegar a través de un correo
electrónico que simula ser de una remitente de confianza. “Falta concientización para que los colaboradores puedan
discernir entre un correo legítimo y uno que no lo es”, añade.
Para el ejecutivo de Security Advisor, el tema de la concientización no es exclusivo de la nube, sino más un tema de cada empresa, que son las encargadas de crear esa conciencia. Los proveedores como Google, Microsoft o AWS brindan una capa básica de seguridad, pero si no tienes encriptada la información para que si alguien la roba no pueda verla, no sirve de nada; si la empresa no sigue invirtiendo en seguridad no basta para protegerse. “El escenario cambió en los últimos años y creció mucho el uso de la nube, por ende, también la cantidad de ataques y la necesidad de tener partners que vean esos ambientes”, añade el profesional de Base4 Security.
Desde la experiencia de Tomás Valdés, Consultor de Preventa de Entelgy Innotec Security, existen dos tipos de clientes, aquellos que le tienen ‘miedo’ a la nube porque la información sale de la organización, y si bien esta ofrece alta disponibilidad y una serie de características, se guían por el desconocimiento; y por otra parte, clientes que afirman que van 100% a cloud, pero no tienen claras cuáles son las medidas de seguridad que esta ofrece, sus diferentes formatos y proveedores. Y efectivamente “representa otros desafíos: la información está fuera de ‘casa’, expuesta y tiene otras medidas de seguridad y la higiene tiene que ser transversal, porque basta que exista un pequeño GAP de seguridad para que esta no sea efectiva”, complementa. La nube amplió la superficie de ataque: las empresas ya no tienen solo su perímetro interno, sino que entran en juego los servicios cloud.
Según André Goujón, “estos muchas veces tienen que ser auditados, porque la nube puede ser muy segura, pero si tienes una aplicación web mal hecha, que no cumple estándares de seguridad, también se está exponiendo la integridad y confidencialidad de la data. Pese a todos los retos que pueda tener aparejados, la nube llegó para quedarse”
Concientización
“Lo primero, para abordar la concientización de una manera seria y continua en el tiempo, tal como debe ser, es conocer el nivel de madurez de la empresa”
Según los proveedores, lo primero, para abordar la concientización de una manera seria y continua en el tiempo, tal
como debe ser, es conocer el nivel de madurez de la empresa. Según explica Luis Guarneri, esto se puede lograr
haciendo una simulación de phishing para ver cuántas personas son engañadas. Agrega que también es muy gráfico explicar casos reales, desde cuando una persona hace clic hasta después cómo impacta, con empresas que han perdido millones de dólares.
Otro aspecto a considerar es el lenguaje que se utiliza. “Nosotros somos expertos en ciberseguridad, pero muchos de
los usuarios finales o colaboradores no y tampoco quieren serlo, entonces hay que analizar muy bien un lenguaje para que sea fácil de entender para toda la empresa. Además, las iniciativas deben ser muy interactivas y prácticas e involucrar a todos: cualquiera que tiene que acceder a un computador, independiente de su rol, debe ser capacitado”, enfatiza el ejecutivo de Lockbits, agregando que, además, desde el punto de vista del usuario, esto no solo es para proteger a la empresa; una “persona cibersegura” también resguarda sus activos personales.
Las acciones aisladas de concientización no sirven de mucho. Por ejemplo, explica Miguel Satzger, “las dos áreas
que más usan la nube son infraestructura y desarrollo, no seguridad, y si no se trabaja en conjunto con el gerente
de estas áreas será inefectivo y tampoco habrá visibilidad de qué se está consumiendo en la nube”.“Debe ser un programa pensado con ciertas etapas anuales y mediciones, que involucre a la alta gerencia, y no solo al área de ciberseguridad y TI, también a RRHH y comunicaciones, porque se necesita un sponsor para que gente
que está acostumbrada a su día a día asuma una nueva actividad. Tiene que ver con la gestión del cambio; para lograr un cambio de comportamiento es necesario ‘tocar’ la fi gura de esa persona y provocar un sentimiento para que se dé una real concientización, es un trabajo de todos”, detalla el ejecutivo de Entelgy.
Los hackers hoy día buscan nuevas formas y métodos para usar ingeniería social y poder obtener credenciales. El
phishing es multicanal: se puede ver en LinkedIn, Instagram, Facebook, WhatsApp, etc., por lo que el usuario tiene que estar más protegido que nunca.
¿Qué soluciones incluye la seguridad cloud?
Hay varios aspectos, por ejemplo, la encriptación, ya que la información está viajando y si lo hace sin ninguna
protección puede ser capturada y descifrada. Otro aspecto es el doble factor de autentificación, que permite acceder
a la nube teniendo no solo la contraseña básica, sino que un segundo nivel de seguridad, por ejemplo, mediante un generador de doble factor.
Para el profesional de Base4 Security, es clave el control de identidades. “El CISO no sabe quién está entrando a hacer qué y qué rol debería tener dentro de ese es paciocloud. Es un tema de visibilidad y de cómo protegerla, dándole identidades y usos certeros a los colaboradores que están entrando a la nube. Por ejemplo, que un desarrollador pueda acceder a un ambiente y solo ver su parte del código, como una primera capa”, asevera.
Es relevante el tema de las vulnerabilidades y no solo de software, sino de configuración. Un servidor que tiene
una IP pública al estar mal configurado tiene un puerto expuesto y los cibercriminales escanean constantemente eso y tratan de ingresar. La mala configuración puede abrir la puerta a un ataque y también el mal manejo de vulnerabilidades.
Según estadísticas de Lockbits, la explotación de las vulnerabilidades sigue siendo lo más detectado en Chile y hay
dos vulnerabilidades en Office 2007 que atraen especialmente la atención tienen más de 10 años de haber sido descubiertas y, sin embargo, siguen siendo muy explotadas por el ciberdelincuente. “Eso habla de que las empresas todavía están ocupando software antiguo y que ni siquiera estaba parchado, entonces eso también podría extrapolarse de cierta forma a la nube”, explica su CEO.
Incluso, agrega el ejecutivo Security Advisor, hay sistemas Legacy que las empresas tienen hace muchos años, sin
actualizaciones ni parcheo; un usuario entra y no sabe que no puede darle clic a un archivo y se infecta la red.
Otra gran problemática cuando se escucha de seguridad cloud es que en cada celular hay muchas aplicaciones SaaS
que permiten enviar información a cualquiera, por lo que es clave cuidar el flujo en todas estas. “Hay muchas empresas que apuntan a un control mucho más fino de la fuga de información en estas aplicaciones, pero muchas otras no y por más que lo hagan en algunas, siempre habrá otras que son parte de Shadow IT, y los grandes casos que vimos acá en Chile de fuga de información, fueron por esta razón, más que por ataques”, detalla Miguel Satzger.
En la seguridad en la nube, a juicio de Tomás Valdés, la estrategia debe considerar dos aristas claves. Una, que la
ciberseguridad es por capas (partiendo por la capa del usuario, de la aplicación y del servidor, etc.) que brindan protección con diferentes soluciones y, a veces, son procesos dentro de las organizaciones que se necesitan desarrollar, es decir, cómo crear el flujo que pueda medir y mejorar en el tiempo. “Y dos, la necesidad de alinearse a un framework o una pauta de los pasos básicos necesarios para estar cubierto y eso incluye abordar tanto la nube como on premise. Esa protección por capas y ese framework pueden ayudar a alinearse y estar más seguro”, expresa.
Políticas, RRHH capacitado y proveedores
Hoy se observan varias empresas queriendo volver atrás, porque no pueden controlar el gasto de la nube o lo desconocen. “Si les preguntas si tienen una política corporativa cloud para ‘hardenizar’ servidores, ambientes, etc., nadie la tiene y eso implica crecer desordenadamente”, explica el ejecutivo de Base4 Security. Cuesta, además, romper con el paradigma del perímetro cerrado donde todo estaba on premise, quizá un poco más controlado, y ahora hay que llevarlo a cloud, explica André Goujón y agrega que “muchas firmas no tienen políticas de seguridad claras sobre el uso de la tecnología en la nube, lo que dificulta tener mayor visibilidad y responder ante un ataque”.
Para el profesional de Entelgy, otro reto es encontrar personal capacitado en todas estas nubes porque básicamente las estrategias de las empresas son multicloud y con la creciente cantidad de soluciones de seguridad se busca unificar múltiples herramientas en una sola, para tener una visión única, y eso es clave, porque si manejamos información de tres nubes diferentes con otros formatos, consolidar eso y tomar acciones de respuesta ante un incidente se vuelve muy difícil. Y hoy los recursos de arquitectura cloud son costosos, cuesta encontrar estos perfiles y es difícil retenerlos.
Escoger al proveedor adecuado también es un reto. A juicio de Luis Guarneri, “debemos ver qué problemática tiene la empresa y qué necesita cubrir, y en base a esa ruta asesorarlas y evaluar si es necesaria una solución de una marca o un servicio”. La criticidad de lo que se está subiendo a la nube también será determinante. “Una empresa puede dejar una parte on premise porque es súper crítica y hay otras cosas que puede ir desarrollando
en la nube; cualquiera sea el camino se debe estar asesorado en vez de emprender un viaje solo que es difícil, con un
partner de confianza y poco a poco ir incorporando elementos propios, con un framework, y conociendo los riesgos
y gastos”, añade Tomás Valdés. Muchos hackers dejan un “minero” en la nube, que empieza a consumir recursos y luego llegan facturas que el cliente no se explica.
Por eso, agregan los proveedores, es clave para las empresas conocer el comportamiento que está teniendo su nube, su espacio de uso, con distintas herramientas de SOC para la trazabilidad de comportamientos en los logs, un
mix que también involucra el lado consultivo, un acompañamiento integral y continuo, para encontrar cuáles son las tecnologías o las características que se necesitan para abordar los “dolores” de la organización y resguardar su información.
Fuente: Revista Gerencia
Link de la nota: nota aquí
