Javier Chistik.
Dado el panorama de la seguridad, ¿cuáles son los principales retos hoy para un CISO?
Su tarea no es fácil. Los nuevos procesos organizacionales y de negocios exigen el uso de recursos tecnológicos antes inimaginables. Herramientas como la nube, los dispositivos móviles, las redes sociales y los ambientes virtuales, introducen nuevos puntos de ingreso de ataques o fuga de información.
Adicionalmente, en nuestros países sudamericanos, el CISO debe atender sus responsabilidades con un equipo que normalmente se reduce a la mínima expresión, y no siempre con los conocimientos adecuados para atender las nuevas y complejas tecnologías. El CISO es responsable del manejo de identidad, cumplimiento de normativas, seguridad en operaciones, seguridad en arquitectura, manejo del riesgo, seguridad en el proceso del negocio y de la administración del riesgo, entre otras.
Por otro lado, la tarea de un CISO moderno debe estar enfocada en buscar y diseñar una estrategia de seguridad basada en el riesgo y en el dato sensible y confidencial.
¿Cuáles son las amenazas que están siendo más comunes?
En 2015 se produjeron cambios importantes que modificaron la naturaleza de los ataques cibernéticos. Si bien aún es común el malware de robo de datos que pasa inadvertido, el empleado moderno autónomo podría ser la mayor amenaza para los datos de una organización. Además, existe un nuevo grupo de atacantes que utilizan ransomware y rompen con esta acción encubierta simplemente afirmando que han cifrado datos y piden un rescate por ellos; esto se realiza en una ruta mucho más rápida para obtener ganancias.
Al enfrentarse con nuevas herramientas contra el malware, los atacantes reciclan métodos de ataque del pasado y vuelven a utilizar archivos de Microsoft Office cargados de macros. Además, la creciente migración a la nube con controles inconsistentes está generando también graves desafíos a la seguridad.
¿Qué nuevas tendencias en técnicas de ataque se observan?
Las amenazas a la seguridad cibernética que más impacto tienen según los Laboratorios de Forcepoint son las internas y las avanzadas. Las primeras se refieren a ataques que se originan o reciben colaboración (voluntaria o involuntaria) desde adentro de una organización. Los atacantes se enfocan en empleados que tienen acceso a información privilegiada o socios comerciales y proveedores, y obtienen acceso a las redes mediante la manipulación del personal para que revelen sus credenciales. Con estas, los delincuentes se mueven por las redes, con frecuencia sin ser detectados, hasta que es demasiado tarde. Las fugas de datos provocadas por amenazas internas continúan aumentando y la fuente principal son los empleados involucrados de manera accidental en una amenaza.
De las firmas encuestadas por Forrester que sufrieron una fuga de datos en 2015, se revela que la causa principal fueron los incidentes internos y más del 50% de estos, se debió al mal uso involuntario o a un error de un usuario, conocido como “empleado involucrado de manera accidental en una amenaza”. En este sentido, más que nunca hay que implementar herramientas orientadas a la capacitación, educación y concientización, además de al análisis conductual de los usuarios con el fin de, mediante una especie de “scoring”, ir advirtiéndonos del grado de riesgo que representan, con el objetivo de detener a tiempo cualquier tipo de amenaza interna.
¿Qué implican las amenazas avanzadas”?
Un aumento considerable del tamaño y la complejidad de TI, está transformando rápidamente en obsoleta la visión convencional de una amenaza avanzada. Ahora las organizaciones se enfrentan con “amenazas combinadas” que han expandido su capacidad a medida que los perímetros tradicionales fueron desapareciendo y los datos ahora se transmiten en dispositivos finales, redes, usuarios móviles y la nube.
Estas nuevas complejidades requieren de enfoques novedosos y de soluciones integradas que puedan compartir la inteligencia sobre amenazas y reducir su tiempo de permanencia, lo que aminora la oportunidad de que un atacante logre un movimiento lateral y extraiga datos confidenciales, fomentando un posible ransomware.
La web y el correo electrónico constituyen una amenaza doble: son los principales canales de comunicación y siguen siendo los principales vectores de ataque. Forcepoint Security Labs descubrió que el contenido malicioso en el e-mail aumentó un 250% v/s 2014. Dridex27 (una cepa de malware bancario) y diversas campañas de ransomware fueron en gran medida responsables de este aumento.
¿El cloud trae nuevos retos o amenazas?
A pesar de las muchas ventajas del cloud, algunas organizaciones han demorado más en adoptar esta tecnología debido a preocupaciones por la posibilidad de que estas aplicaciones tengan una protección ineficaz o puedan contraponerse a los requisitos de cumplimiento.
Más del 60% de las organizaciones indica “preocupaciones sobre seguridad” como el motivo más importante por el que han postergado esta adopción. Sin embargo, puede suceder que la resistencia a la adopción de la nube no postergue su uso. Empleados, grupos o incluso divisiones completas con frecuencia migran a la nube, aunque su empresa no lo haga, y de esta forma, evaden esfuerzos de aprobación o de integración formal cuando las soluciones externas satisfacen mejor los requisitos de productividad.
Esto crea la posibilidad de que la tecnología no autorizada afecte la postura de seguridad y de cumplimiento de una organización y la exponga a riesgos no deseados y no planeados. A esto lo denominamos Shadow IT y constituye un gran riesgo para la seguridad de TI. Lamentablemente cuando TI no puede ver los datos, tampoco puede protegerlos adecuadamente y esto genera el entorno perfecto para la pérdida o el robo de datos.
Es por ello que hoy se hace necesario considerar la implementación de soluciones de seguridad de la información basada en nube o, lo que es más efectivo, basada en infraestructura hibrida, protegiendo así de posibles robos o fugas de información en Office 365, Box, Dropbox, Google Drive y otras aplicaciones que transfieren y almacenan datos en nube.
¿La Internet de las Cosas se vislumbra como un punto de entrada creciente de amenazas?
La Internet de las Cosas (IoT) significa que todos los productos, desde televisores hasta refrigeradores, están ahora conectados de manera digital. Aunque una empresa no debe tener un aparato electrodoméstico interconectado, cada dispositivo conectado a la web o la actualización de aplicaciones del equipo de un empleado es un vector potencial de amenaza.
IoT ha cambiado el panorama de seguridad de manera significativa, los desafíos principales siguen siendo del uso empresarial. La conexión a Internet de dispositivos aumenta considerablemente la cantidad de superficies de ataque en una empresa. IoT está listo para explotar y ser una de las principales fuentes de “dolores de cabeza” para los CISOs.
Cuando se conecta un nuevo dispositivo a redes existentes y altamente complejas, es posible que tengan una clase de protocolo de comunicaciones diferentes, siendo un desafío identificar qué tráfico es legítimo y cuál puede ser un ataque de robo de datos. Como resultado de esto, también es posible que esta comunicación no pueda ser monitoreada.
