Cambiar una pregunta reactiva y poco útil por seis cuestionamientos activos, puede evitar que su empresa sea víctima de un ataque informático

 

¿Cómo pudo pasarnos esto? Esta es, quizás, la pregunta más inútil que puede ocurrir en una reunión del Directorio de la empresa, en especial si está dirigida al CIO o al CISO, tras haber sufrido una brecha de seguridad. Las organizaciones harían bien en evitar hacerse esta pregunta, planteándose a tiempo unas seis preguntas que les evitarán tener que llegar a realizar la temida pregunta inicial

Según un estudio realizado por la empresa IBM, los costos de las brechas de seguridad han alcanzado un máximo histórico durante el 2022, alcanzado una media de US$ 4.35 millones, lo que representa un aumento del 3% con respecto a 2021 y un máximo histórico en los 17 años que se ha publicado el Informe sobre el costo de una brecha de seguridad de datos.

Si bien la inflación tiene su impacto en el monto, afortunadamente, la adopción del modelo de seguridad de confianza cero ayudó a reducir los costos en USD 1.5 millones y a prevenir el acceso no autorizado a los datos confidenciales. Pero ni aún con estos alicientes el monto dejo de aumentar.

Pero no todas las brechas son del mismo tamaño. El Estudio de IBM señala que existe una categoría mayor, las Mega Brechas, que pueden sufrir las empresas de mayor tamaño y que implican la filtración de 50  millones de registros o más y estas pueden costar aún mucho más, US$332 millones en promedio.

 

Cambiar la reunión del día después por una planificación adecuada

Un popular refrán en español reza que “una vez que el ojo está afuera, no hay Santa Lucía que valga” haciendo referencia hacia la creencia católica de que esta santa es capaz de obrar milagros en la vista…siempre que se tengan ojos.  En seguridad pasa algo parecido, hay varias preguntas qué, de hacerse a tiempo, tienen probabilidades de mejorar la seguridad de su organización, pero que hacerlas después de ocurrido un incidente de seguridad, sólo sirven como una reflexión que traerá beneficios a futuro, pero no resolverá, ni minimizará el problema existente.

Teniendo en cuenta que el estudio de IBM revela que el ciclo de resolución de una brecha de datos no sólo es muy costoso, sino que además supera los 200 días de dedicación, las empresas tienen el deber de abordar la seguridad de una manera mucho más integral y preventiva, ya que de hacerlo de manera reactiva, los costos pueden impactar de manera muy importante a la organización, incluso hasta hacerla desaparecer. A los costos económicos, la productividad reducida y el costo en horas hombre para resolver el problema se suma el impacto reputacional, que puede ser aún más importante que todos los anteriores juntos.

 

Las preguntas necesarias para estar mejor preparado

Esta corta lista de preguntas está diseñada para ayudar a complementar el plan de ciberseguridad que seguramente tendrá su empresa, y que asumimos se cumple a cabalidad.

  1. ¿Estamos cuidando adecuadamente la cadena de suministros?

En la actualidad son muchas las empresas que implementan protocolos de comunicación de empresa a empresa M2M, es decir máquina a máquina, para agilizar l máximo la cadena de suministros. Uso de APIs de terceros obligan a confiar en código desarrollado fuera del control de la organización, formando un complicado e intricado esquema de interconexión, donde ataques a terceros o a repositorios de código usados por terceros pueden llegar a comprometer los entornos propios.

Microsoft afirma sobre estos ataques que “los atacantes buscan protocolos de red no seguros, infraestructuras de servidor no protegidas y prácticas de codificación no seguras. Interrumpen, cambian los códigos fuente y ocultan malware en los procesos de compilación y actualización. Dado que los proveedores de confianza compilan y publican software, estas aplicaciones y actualizaciones están firmadas y certificadas¨.

En estos ataques de la cadena de suministro de software, es probable que los proveedores no sean conscientes de que sus aplicaciones o actualizaciones están infectadas con código malintencionado cuando se publican al público y por lo tanto el código malintencionado se ejecuta con la misma confianza y permisos que la aplicación¨. Dependiendo de la popularidad del software, el número de víctimas puede ser enorme.

Las organizaciones deben asegurarse de que todo el código que ejecutan es seguro, probarlo muy bien antes de incorporarlo a producción  y además implementar soluciones de detección de amenazas y corrección de problemas en todos los puntos de conexión con otros sistemas.

  1. ¿Está activada la protección de doble factor de autenticación en todos los dispositivos que acceden a nuestra red?

Un estudio de Palo Alto Networks muestra que 89% de las organizaciones que fueron víctimas de ataques de compromiso de email corporativo, no habían completado sus procesos de activar el doble factor de autenticación (MFA por sus siglas en inglés) en sus dispositivos, lo cual permite a los atacantes proceder con tan solo obtener una contraseña.

La autenticación de dos pasos implica usar dos de tres factores de autentificación para reconocer la identidad del usuario:

  1. A través de algo que sabemos, como la clásica contraseña, una palabra o pregunta secreta, etc.
  2. A través de algo que tenemos, como una tarjeta física, un certificado digital en un pen drive, un token físico o digital, un smartphone, etc.
  3. A través de algo que somos, es decir, a través de datos biométricos como la huella digital, el iris, el reconocimiento facial, etc.

“Se demostró que la autenticación en dos pasos es la manera más efectiva para evitar el secuestro de las cuentas; sin embargo, muchos usuarios -e incluso empresas- no lo implementan por desconocimiento o falta de conciencia sobre los riesgos a los que están expuestos. Por lo tanto, si bien activar este mecanismo de seguridad es opcional, se debería considerar activarlo siempre para estar más protegidos y de esta manera no depender solamente de una contraseña.”, señala Cecilia Pastorino, investigadora de Seguridad Informática del Laboratorio de ESET Latinoamérica.

  1. En su organización están realmente seguros de ¿quién es quién?

Los ataques relacionados a la identidad (IAM) continúan en aumento, según revela la firma Elevate Security, en su informe 2023 IAM Trends Report, donde señalan que ha ocurrido un aumentado en un 84% durante el periodo 2021-2022. Ese mismo estudio muestra, más adelante, que el 96% de esas compañías afectadas creen que esas brecha hubieran podido evitarse con medidas efectivas de IAM.

Las organizaciones deben usar herramientas nativas de la nube, así como soluciones de terceros para monitorear constantemente cualquier anomalía relacionada con la IAM, incluyendo intento de cambio de privilegios, fugas de credenciales, accesos no autorizados y especialmente cambios en políticas de acceso.

Deben existir planes claros de que hacer en cada caso, con roles claros y definidos para las partes involucradas, con todos los canales de comunicación establecidos, así como las reglas para escalar estos incidentes de manera rápida y efectiva.

Una vez definido el alcance del daño, debe haber procedimientos establecidos para aislarlo, corregirlo y reparar toda la infraestructura de identidades relacionada, así como procedimientos forenses para encontrar y contener las formas en que ocurrieron estos incidentes.

  1. ¿Está correctamente protegida la superficie susceptible a los ataques?

Los ataques modernos suelen ser dinámicos y constantemente se ajustan y cambian sus objetivos, por eso –al tiempo que la superficie digital de la organización crece al agregar más dispositivos conectados– los atacantes buscan aprovecharse de estos dispositivos para usarlos como puerta de entrada a las redes de la organización.

Revisiones constantes de las redes para encontrar dispositivos nuevos, que pueden estar mal configurados, o conservar su configuración predeterminada, son constantemente por los atacantes.

ESET advierte que “La superficie de ataque se puede definir como los activos físicos y digitales que posee una organización, y que podrían ser comprometidos por un atacante y de esta manera facilitar un ciberataque. El objetivo final de los actores de amenazas puede ser desde desplegar un ransomware y robar datos, reclutar máquinas para una botnet, descargar troyanos bancarios, o hasta instalar malware para minar criptomonedas. Por tanto, cuanto mayor sea la superficie de ataque, mayores serán las opciones que tienen los cibercriminales para apuntar a sus objetivos.”

Al respecto, ESET recomienda a las organizaciones:

Primero, comprender el tamaño de la superficie de ataque a través de auditorías de activos e inventarios, pruebas de penetración, escaneo de vulnerabilidades y más.

Siempre que sea posible, reduzca el tamaño de la superficie de ataque y el riesgo cibernético asociado a través de las siguientes acciones:

  • Gestión de configuración y parches según riesgos
  • Consolidar endpoints, deshacerse del hardware heredado
  • Actualización de software y sistemas operativos
  • Segmentar redes
  • Seguir las mejores prácticas de DevSecOps
  • Gestión continua de vulnerabilidades
  • Mitigación de riesgos de la cadena de suministro
  • Implementar medidas de seguridad para los datos (por ejemplo, cifrado fuerte)
  • Buena gestión de identidades y accesos
  • Enfoque Zero Trust
  • Monitoreo continuo de los registros y los sistemas

 

  1. ¿Tiene un departamento de seguridad TI del tamaño adecuado a su empresa?

Sabemos que la mayoría de las empresas consideran el dinero dedicado a seguridad más como un gasto, que como una inversión y ese un grave error conceptual. Sin embargo el esquema típico de contratar más personal, no parece ser siempre el más adecuado, así que antes de hacer crecer el entorno de Ciberseguridad, las empresas deben intentar nuevos caminos.

Antes de contratar más personal es conveniente que las organizaciones realicen diagnósticos sobre su ciberseguridad con expertos externos, que intenten un enfoque de automatización en todos los lugares donde sea posible y que  revisen muy bien sus políticas base al respecto.

La tecnología SOAR –Orquestación de Seguridad, Automatización y respuesta por sus siglas en inglés– es una de las mejores opciones para aumentar la eficiencia de los departamentos de seguridad en las organizaciones de gran tamaño. SOAR es una herramienta de ciberseguridad que recopila datos sobre incidentes de seguridad y permite a los equipos crear flujos de trabajo automatizados para evitar tareas repetitivas y brindar una respuesta rápida a cualquier amenaza o vulnerabilidad. Sin embargo según un estudio reciente de Gartner (junio 2023) la tecnología todavía debe madurar y no cumple bien su trabajo en ambientes de nube híbrida.

Gartner señala que muchas empresas pueden obtener resultados parecidos o incluso mejores usando herramientas de automatización diferentes, en áreas clave como la comprobación de incidentes, sistemas de administración de respuestas ante incidentes y sistemas de inteligencia sobre amenazas (Threat Intelligence).

En todos caso queda claro que la automatización en la detección, manejo y respuesta de incidentes de seguridad es clave para responder a tiempo a las amenazas cada vez más abundantes.

  1. ¿La seguridad de su organización recibe el respaldo que merece?

Esta es una pregunta con múltiples aristas. No se habla acá sólo de los respaldos informáticos, que deben estar funcionando y siendo almacenados de manera correcta, para poder restablecer la infraestructura digital de la empresa en caso de un ataque exitoso. Estos respaldos son fundamentales pero, ante los métodos de ataque actuales, son insuficientes para cubrir todos los aspectos de un posible ataque. Además después de un primer ataque exitoso los datos de la empresa pueden estar ya en manos de los delincuentes, algo que puede dañar profundamente la reputación de la empresa y causar daños a sus clientes, aún cuando la organización sea capaz de restaurar su plataforma correctamente.

Además, vulnerabilidades y brechas que no son explotadas de manera notable, son restituidos al momento de restaurar los respaldos existentes y pueden dejar a la empresa en una condición de vulnerabilidad igual o peor a la que tenía tras el primer ataque.

De acuerdo a un estudio que reveló Verizon, el rasomware no sólo aumentó 13% en el 2022 sino que el costo promedio para una empresa alcanzó los US$4.54 millones, una cifra capaz de llevar a la bancarrota a una vasta cantidad de empresas medianas en ese país.

Ante estos costos tan importantes algunas empresas de seguros han comenzado a ofrecer pólizas de seguro, o de riesgo, para ayudar a las organizaciones a enfrentar estos episodios de secuestro digital. Algo interesante es que, como condición sin equa non, estas aseguradoras exigen que su cliente cumpla ciertas condiciones mínimas en sus departamentos de seguridad TI, lo que ayuda a mantener una auditoria básica y buenos niveles de seguridad.

Por último, el tema de las auditorías de seguridad es fundamental para el buen funcionamiento de cualquier estrategia en esta área. Gartner asegura que para el 2026, las organizaciones que prioricen las inversiones en seguridad basado en un programa de administración continua de exposición, tendrán apenas un tercio de probabilidades de sufrir un ataque al compararse a las empresas que no lo hagan.

Las auditorias de seguridad ayudan entonces a construir una organización menos vulnerable, una organización que quizás no tenga que preguntarse ¿Cómo pudo pasarnos esto?.