Ciberseguridad como pilar de crecimiento

 

Como cada año, aquí estamos con nuestro Especial Anual de Seguridad IT, tal vez el especial más demandado de nuestro calendario. ¿Qué es lo más nuevo este año frente a años anteriores, con encima la pandemia en el medio? Más que nunca, el sector pasa de la Seguridad IT a la Ciberseguridad. Ya no hay seguridad IT real sin ciberseguridad, pero puede haber ciberseguridad sin (otra) seguridad, si el entorno es puro online.

Esto es un quiebre de paradigma donde lo online pasa a ser lo central y todos sus tips/rutinas pasan a ser obligatorias, ya no optativas o emergentes. Obviamente, una parte de las empresas marcan esta evolución, mientras otras aún deben transitarla. Pero hoy bancos, retailers, dependencias de gobierno, grandes prestadoras de servicios, tienen lo online como pieza core en su operatoria y cada vez más lo será de aquí en más.

La pandemia, como tanto se dice, no inventa cosas, acelera lo que venía. Y si en marzo 2020 se venía la ciberseguridad completa, ahora ya se vino y se instaló a la fuerza, ante la necesidad de operar remoto.

Todo lo nuevo, como el IoT, la IA, también promueven esto. La seguridad física de cámaras se manejaba fuera de los virus. Ahora que es video IP, se puede hackear. Y así cada rubro. Ya no se puede considerar Ciberseguridad como un nicho dentro de la seguridad. Si no, se está fallando. Y a partir de esta perspectiva, se ven los tips o subtemas que se han vuelto determinantes estos días. Veamos.

•SECaaS

Hasta ahora en América Latina, el desarrollo de la ‘Seguridad como Servicio’ viene siendo muy primario. De hecho, la sigla SECaaS apenas se conoce. Y es uno de los rubros más tendrían que tomar el modelo ‘como servicio’, que tanto prende en otros rubros, por los picos de demanda y la necesidad de actualización permanente.

En 2020 se disparó la seguridad dentro de paquetes mayores como servicio, sobre todo ante objetivos core que la connotan. Pero no se ha lanzado en forma independiente, como un vuelco del rubro en sí mismo. Gran chance para el nuevo año que toma forma.

Si bien durante el año pasado, las aplicaciones SaaS e IaaS basadas en la nube siguieron siendo esenciales para la empresa, y los usuarios utilizaron más dispositivos remotos y móviles para acceder a los datos. El aumento del tráfico cloud empresarial es inevitable y la seguridad como servicio (SECaaS) es uno de los segmentos de las soluciones basadas en la nube con mayor crecimiento, incluso según algunos analistas superará a los segmentos IaaS, SaaS y PaaS.  La dispersión de usuarios y datos obligará a los equipos de seguridad a ver más allá del perímetro tradicional, adaptando sus estrategias para cloud.

A diferencia de anteriores generaciones de productos de servicio de seguridad gestionada, la seguridad como servicio no requiere que el usuario pierda el control sobre sus preferencias de seguridad. En la actualidad, administradores internos pueden controlar sus políticas de seguridad, instalar actualizaciones de los sistemas, etc., a través de una interfaz basada en web. Los administradores internos pueden controlar sus políticas de seguridad y cambiarlas sin necesidad de llamar al proveedor de servicios.

• Detección y Respuesta.

Antes todo era prevención, ahora se sabe que no se pueden evitar los ataques en la era de la ciberseguridad, así que tanto como prevenir, se necesita tener una buena estructura de detección y respuesta cuando los desastres ocurran. Esto obliga a estructuras diferentes a las que se tenia antes, con opciones prefijadas ante escalas de intensidad de ataques.

Las vulnerabilidades se incrementan año a año porque hay más dispositivos, datos y personas conectadas. También cada día hay más organizaciones criminales que se dedican a robar, ya que es un negocio muy lucrativo. En ese sentido, se debe cambiar el foco desde una actitud reactiva, a una actitud proactiva, donde la estrategia de Ciberseguridad de una empresa o institución sea dinámica y continua en el tiempo, además de respetada por todos.

La tolerancia al riesgo que tengamos en la organización dictará que tan estrictas serán las medidas de control que deberemos tomar al adoptar un servicio de seguridad. Si la información que será procesada a través del servicio es altamente sensible, probablemente requeriremos reservarnos el derecho de auditar al proveedor de servicio para garantizar que la confidencialidad, integridad y disponibilidad de la misma estén correctamente gestionadas, pudiendo inclusive pedir documentación con los detalles sobre la manera en que el proveedor atenderá nuestras necesidades de seguridad en la transmisión, procesamiento y almacenamiento de nuestra información.

• El factor Humano

Cuando uno entrevista CISOs, enseguida se les escucha que tan importante como la tecnología, es el comportamiento de los usuarios, ya que nada sirve si ellos no siguen protocolos y metodologías base. ¿Cómo se los puede asegurar? Se dice que la pandemia es un momento justo para concientizar a la gente, porque todo es nuevo y al ser mucho remoto, cumplir los protocolos es claves. Se han lanzado en la región muchos programas al respecto. A aprovechar el momento, entonces.

Protegerse ante los peligros de la era actual implica llevar a cabo procesos de ciberseguridad que se sustenten sobre su efectividad y para hacerlo, hay que conocer las fases en las que aplicarlos.

Es necesario educar a los usuarios y evitar que sean víctimas de la ingeniería social. También deben contar con todas las herramientas disponibles para detectar y eliminar las amenazas externas, así como un manual de acciones ante los riesgos.

Tener una visión integral de la aplicación de sistemas de gestión de seguridad informática y su importancia es fundamental para cualquier profesional del área administrativa y gerencial.

• Simplicidad.

Cuando se habla con los CISOs, ellos se quejan mucho de que hay una enorme cantidad de proveedores cada uno con sus reglas, y como las estructuras grandes de los usuarios son grandes conglomerados de soluciones de distintas marcas, lo que más necesitan los CISOs es simplicidad, un único punto de contacto, visibilidad de todo lo que tienen y cómo va funcionando.

Muchos vendors hoy destacan que ofrecen esta simplicidad con un único punto de contactos, pero a la vez la mayoría debe moverse con canales, y lo deseado no se da en la práctica. ¿Cómo avanzar?

Es necesario eliminar complejidades y simplificar las soluciones en busca de un enfoque holístico. Los procesos de transformación digital de las compañías siguen su curso, pero desde hace tiempo ya, en éstos se ha colado un protagonista, la ciberseguridad. Ésta se ha convertido en un imperativo y en una palanca de consolidación ante un sinfín de amenazas. Tanto es así que según el World Economic Forum, los ciberincidentes ya suponen uno de los principales riesgos para nuestra sociedad. Sin embargo, trazar una estrategia ‘ciber’ no es sencillo, y las compañías ansían poder eliminar complejidades y adquirir conocimientos.

Con el aprendizaje automático, también conocido como Machine Learning, ganando cada vez más terreno, muchas de las tareas se han simplificado. Desde el análisis de grandes cantidades de datos hasta evitar tener que lidiar con tareas repetitivas, el aprendizaje automático permite a los sistemas mejorar la forma en que abordan los problemas.

• Canales

Entre las quejas de los vendors es que para desarrollar el SECaaS, hay pocos no sólo usuarios dispuestos a dar el paso, sin que también hay pocos canales con modelos de negocio firmes para desarrollar la operatoria completa en cloud o ‘como servicio’.

La mayoría integran tecnología en lugar de ofrecer servicios, y se mueven por proyectos en lugar de por contratos de SLAs, etc.

La transición hacia la nube presenta desafíos y esto representa una oportunidad para el canal. Por cada organización dispuesta a sumergirse en un entorno cloud, habrá otras que quieran adoptar un enfoque más reservado y explorar entornos de nubes privadas o híbridas. Cada organización tiene una tolerancia diferente al riesgo y el canal es el mejor posicionado para ayudarle a seleccionar la solución óptima que le ofrezca los beneficios del cloud, mientras mitigan las amenazas con la solución más segura.

• Ultimas amenazas

Para cubrir todas las bases, las organizaciones no solo deben considerar la seguridad de las redes, junto con la protección de datos de extremo a extremo, la seguridad de las aplicaciones y una serie de otros factores. Las vulnerabilidades en los sensores y dispositivos de IoT también deben tenerse en consideración fuertemente.

En la capa de transporte, o capa de red, por ejemplo, los delincuentes tienen la oportunidad de explotar conmutadores y puertos para robar o alterar los datos. En la capa de aplicaciones, como se describe en el OWASP, los hackers de seguridad de aplicaciones buscan aprovechar las vulnerabilidades del sistema y la configuración para acceder a los datos y asumir el control de los dispositivos conectados. Adicionalmente, en la capa del dispositivo, se están utilizando métodos físicos y de ataque cibernético para robar datos o interferir o deshabilitar las operaciones del dispositivo.

Estas amenazas de seguridad de varias capas significan que una única solución de punto para la ciberseguridad ya no puede ser efectiva. En cambio, todas las estrategias de ciberseguridad deberían adoptar un enfoque de múltiples capas que proteja la red, las aplicaciones y los dispositivos de manera adecuada contra posibles ataques.

A medida que comiencen a surgir nuevas amenazas, la seguridad se convertirá en un aspecto absolutamente prioritario en el mercado tecnológico del IoT. La complejidad de las amenazas se deriva de la naturaleza heterogénea y distribuida de la tecnología. Ya hay más de 26.000 millones de dispositivos conectados a internet. Los accesos no autorizados a los dispositivos y redes del Internet de las Cosas serán mucho más frecuentes en 2020 y serán los operadores de red quienes tendrán que comenzar a pararles los pies a los intrusos [4].

Por otra parte, Blockchain ofrece nuevas esperanzas para la seguridad del IoT, por diferentes motivos. En primer lugar, se trata de una tecnología pública. Todos los que participan en la red de nodos de la red de blockchain pueden ver y validar todos los bloques y transacciones almacenados en ella. Además, también permite a los usuarios controlar sus transacciones mediante claves. En segundo lugar, la red de blockchain está descentralizada, de manera que no existe una única autoridad que pueda aprobar las transacciones eliminando la debilidad del Single Point of Failure (SPOF, o punto único de fallo). En tercer lugar, quizás el aspecto más importante: se trata de una tecnología segura, la base de datos sólo puede ampliarse, no se pueden cambiar registros anteriores.

• Amateur vs. Profesional

América Latina viene de una etapa muy negativa, como desde 2018 cuando hubo grandes ataques de Swift bancario. Para salir adelante se necesita de todos. De los vendors y canales que evolucionen, y de los usuarios que maduren. Hoy se siguen pasando ‘la pelota’ de responsabilidades y más allá que muchos tengan razón en temas puntuales, es con el ecosistema que se sale adelante.

Hay como dos estilos de actuación: el amateur, donde todo se mueve por corazonadas, actitudes personalistas, tradición de obrar siempre igual ante las situaciones que se suceden. Y otro profesional que basa su actuación en buenas prácticas, o procesamiento de información para luego decisiones a partir de ellas. No hace falta decir qué necesita la seguridad pasar del estadío actual en América Latina a otro superador, dentro mismo de la pandemia, sin esperar que pase. Al contrario, más urgente resulta.

El SECaaS tiene que tener la evolución del SaaS en software, tiene que haber muchos canales con oferta sólo ‘cómo servicio’, y los grandes usuarios deben dejar de lado muchas limitaciones, más allá de los compliances y reglamentaciones de cada país.

Ir dando pasos de a poco, asociar partners, comunidades de usuarios hacia la dirección correcta, ir de abajo hacia arriba en la maduración de áreas, y buscar que los buenos resultados apalanquen evoluciones mayores.  

Salir de la versión móvil