Hace poco tuvimos la oportunidad (muy divertida e interesante, por cierto) de asistir a una serie de conferencias sobre seguridad de la información y seguridad cibernética. En estos congresos se habló más que nada de desarrollos relativamente nuevos que constituyen tendencias, como NextGen, la Internet de las Cosas (IoT), los ataques de DDoS a través de la IoT, las plataformas de inteligencia de seguridad, etc. El hecho de que algunos de estos términos se hayan puesto de moda no constituye un problema en sí mismo, pero nos empezamos a preguntar si el mundo de la seguridad no estará viendo las cosas de modo equivocado y, por lo tanto, dejando de lado algunos asuntos que necesita abordar.
Principalmente, nos dimos cuenta de que la mayoría de las organizaciones no tienen implementadas las medidas de seguridad básicas, y mucho menos soluciones avanzadas. Entonces, hace falta conocer el punto de partida.
Hoy nos unimos a la celebración del Día de Internet Segura (Safer Internet Day), que se celebra alrededor del mundo cada año con el objetivo de promover el uso responsable y seguro de las nuevas tecnologías. Este año, la fecha acordada fue el 7 de febrero y el lema elegido fue "Sé el cambio. Unidos por una mejor Internet". Con ese espíritu, exploramos una nueva perspectiva sobre la seguridad cibernética, entendiéndola como una meta en sí misma, en lugar de algo que está directamente relacionado con las necesidades de una empresa.
Presta atención a estas 5 lecciones básicas de ciberseguridad.
Lección 1: Comienza con la empresa (y sus riesgos)
Aunque la seguridad en la práctica puede ser excepcionalmente compleja, su esencia es bastante simple. No es nada más ni nada menos que reducir o quitar riesgos, y hacerlos visibles para que la empresa pueda aceptarlos y continuar con su trabajo. Para hacer esto de la forma más eficaz y eficiente posible, nosotros, como especialistas en seguridad, tenemos que entender el funcionamiento de la empresa y no ver la seguridad únicamente desde una perspectiva de TI, sino desde la perspectiva comercial más amplia.
la mayoría de los ataques siguen usando los métodos y debilidades más simples: correos de phishing, archivos adjuntos infectados
Al partir desde la empresa, primero debemos identificar, armar un esquema y categorizar los riesgos del negocio específico. En segundo lugar, tenemos que determinar cuáles hay que tratar y en qué orden.
Al hacerlo, la persona responsable de la seguridad dentro de la empresa tiene que establecer un plan de seguridad que describa cómo se van a ejecutar estos cambios. Es necesario que se pongan metas y plazos claros. Idealmente, debe hacerse de una manera "inteligente", un paso a la vez, para no involucrarse en demasiados proyectos al mismo tiempo.
Lección 2: Crear una hoja de ruta con un objetivo claro, paso a paso
Es esencial definir tu enfoque de seguridad, que deberá ser discutido con los actores pertinentes de la empresa en forma periódica para ir haciendo ajustes donde y cuando sea necesario. Durante la creación y ejecución de la hoja de ruta, los proyectos que se definan contribuirán a reducir los riesgos y a alcanzar el objetivo final.
Es importante no perder de vista los objetivos específicos de la empresa, porque las personas responsables de la tarea no deben "restringir ni obstruir" el negocio con sus medidas de seguridad. Es una tarea que no requiere mucha ciencia y debe tratarse en forma simple. La creación de un plan debe ser algo que todo el mundo pueda entender, incluso quienes no tienen conocimientos de TI. Por supuesto, la TI tiene un rol, pero solo en el último momento, cuando se necesitan implementar soluciones para la ejecución de los proyectos de seguridad.
Lección 3: Cubre los conceptos básicos antes de implementar soluciones más avanzadas
Al analizar lo observado en los congresos a los que asistimos, nos dimos cuenta de que la mayoría de las organizaciones ni siquiera tienen implementadas las medidas de seguridad básicas, y mucho menos soluciones avanzadas. Las presentaciones de las empresas de seguridad sobre estas tecnologías suelen ser asombrosas y ofrecen contenidos interesantes, pero en realidad son demasiado avanzadas para la mayoría de las organizaciones.
Además, la experiencia demuestra que la mayoría de los ataques (alrededor del 90%) sigue usando los métodos y aprovechando las debilidades más simples: correos electrónicos de phishing, archivos adjuntos con malware... Y, por supuesto, el eslabón más débil de todos es el ser humano.
Por lo tanto, las empresas primero necesitan crear soluciones de seguridad básicas para estos riesgos simples antes de poner su atención en tecnologías más avanzadas. Por supuesto, estas otras soluciones también son importantes y deben ser implementadas en el futuro, pero solo después de haber fortalecido los puntos básicos.
A menudo, durante los congresos de seguridad se hace hincapié en las amenazas sofisticadas y las APT (amenazas persistentes avanzadas); sin embargo, empresas como TalkTalk y Ashley Madison podrían haber estado protegidas de los ataques si tan solo hubieran contado con una seguridad básica.
Lección 4: Establecer relaciones apropiadas
La cooperación entre los profesionales de seguridad de TI es esencial. A medida que surgen nuevos desarrollos tecnológicos, los grupos e individuos con intenciones maliciosas utilizan ataques y tácticas cada vez más variados y avanzados. Con el tiempo, las soluciones de seguridad más avanzadas se volverán inherentes a los planes de toda organización. Sin embargo, es necesario poner los cimientos antes de poder edificar una casa. Y para construirla, es necesaria la cooperación entre el arquitecto, el agente inmobiliario, el albañil, el pintor y, por supuesto, el dueño.
Esta idea de construir algo juntos es exactamente lo que debe suceder en el mundo de la seguridad. Tenemos que cooperar intensamente porque, como ocurre en la construcción de una casa, no hay ningún propietario o arquitecto que también sea el mejor en albañilería, pintura o construcción.
Ninguna empresa de seguridad tiene la mejor solución para cada riesgo, por lo que es imprescindible el trabajo conjunto. Quienes causan daño ya están cooperando entre sí, por lo que es hora de que los profesionales de seguridad también lo hagan. Tenemos que empezar con el propietario (la empresa) y los cimientos (la hoja de ruta), y luego forjar relaciones con los contratistas adecuados (los proveedores de seguridad). Recién entonces se podrá construir una casa fuerte, confiable y segura.
Esta idea de construir algo juntos es exactamente lo que debe suceder en el mundo de la seguridad. Tenemos que cooperar intensamente.
Lección 5: Involucra a todos, es el único camino hacia el éxito
Para avanzar en la seguridad y el negocio, tiene que haber comprensión y apoyo por parte de la empresa, y viceversa. Los responsables de seguridad deben ser capaces de proporcionar explicaciones breves y claras para que todos los diferentes actores de la empresa puedan participar. De lo contrario, la empresa (y los directivos) nunca entenderán y no apoyarán lo suficiente los planes que se deben implementar (no importa lo buenos que sean). Como Einstein dijo una vez: "¡Si no puedes explicarlo en forma simple, es que no lo entiendes lo suficiente!".
Autor: Dave Maasland, CEO de ESET Holanda, en cooperación con Fred Streefland, Gerente de Seguridad de TI en LeaseWeb.