LOS GRANDES DESAFÍOS DE LA CIBERSEGURIDAD Cuando protección y talento blindan el negocio 1 ÍNDICE 1. La importancia de la ciberseguridad para el negocio ............................................................................................ 3 2. El estado de la ciberseguridad...................................................................................................................................... 6 3. Ciberseguridad y cumplimiento .................................................................................................................................. 8 4. Proactividad y mejores prácticas, cuando tecnología y talento se unen en la lucha contra la amenaza ........................................................................................................ 9 5. Tendencias en ciberseguridad ................................................................................................................................... 10 6. IoT, endpoints, y escasez de talento: 3 grandes desafíos para la seguridad en las organizaciones........ 12 2 Los grandes desafíos de la Ciberseguridad “Los ataques cibernéticos están aumentando. El 88% de las organizaciones encuestadas sufrió un ataque cibernético en los últimos 12 meses; de ellas, el 56% tuvo que lidiar con una interrupción de sus procesos de negocio”. KPGM 2017 1. La importancia de la ciberseguridad para el negocio La dependencia tecnológica de las organizaciones actuales hace que, en plena era de la transformación digital, cada vez se conozcan más casos de amenazas a negocios y a sus clientes. No es sólo una cuestión de conectividad (cada vez hay más dispositivos conectados, de más tipos diferentes, en todo momento y desde cualquier parte), sino que podría decirse que, en realidad, el mayor obstáculo para la seguridad cibernética es la velocidad a la que evoluciona la amenaza. La sofisticación de sus métodos y el descubrimiento de nuevas tácticas de ataque sucede de forma tan dinámica que causa el aumento en la brecha de talento y recursos de las empresas que tratan de hacerles frente. 3 Los grandes desafíos de la Ciberseguridad WannaCry, Sambacry o Petya son sólo algunos ejemplos de gran repercusión, pero la realidad de las empresas es que, a diario, son objetivo de muchos tipos de ataque diferentes. Hay que tener en cuenta que, si bien las noticias sólo se hacen eco de los ataques a empresas más grandes o con mayor repercusión mediática, como Disney o Telefónica; las corporaciones multinacionales no son el único objetivo de los cibercriminales. “En 2013, los hackers robaron datos de hasta 40 millones de tarjetas de crédito y débito propiedad de los compradores de las tiendas Target. En septiembre de 2014, Home Depot admitió que 56 millones de tarjetas de sus clientes podrían estar en riesgo debido a un ciberataque” Northcentral University El objetivo se amplía y, hoy día, los datos personales y bancarios de los consumidores son una parte sustancial de un buen ciber-botín. Parece una evolución lógica, sobre todo, si se tiene en cuenta la cantidad de información de todo tipo que se comparte con las empresas. Incluso las PYMES conocen, además de nombre completo, dirección, teléfono y datos de la tarjeta de crédito o débito; mucha otra información sobre sus hábitos y datos sociodemográficos que recopilan a lo largo de los años y emplean para el análisis. Si no se protege adecuadamente, este conocimiento puede llegar a manos de organizaciones criminales. 4 Los grandes desafíos de la Ciberseguridad “De mayo de 2015 a mayo de 2016, el 50% de los encuestados de pequeñas empresas dijeron que tenían brechas de datos que apuntaban a información de clientes y empleados” (NCU). Noticias como ésta hacen que una compañía pierda credibilidad y prestigio, que sus clientes abandonen y sus socios se planteen la conveniencia de una alianza de ese tipo. Y es que, si los hackers son capaces de acceder a una base de datos de marketing, les basta con lograr conocer el email de los clientes y empleados para utilizar técnicas de phishing que les ayuden a lograr su objetivo. Este objetivo variará, en función del tipo de atacante. Existen varios perfiles distintos. Según César Cerrudo (hacker profesional) y tal como declara en su contribución para la revista Forbes, los perpetradores de ataques pueden ser: Delincuentes cibernéticos: atacan los sistemas y roban información con fines de lucro. Hackers: pese a que el número de hackers éticos (profesionales que trabajan para beneficiar a las empresas y mejorar su seguridad) va en aumento, también hay hackers maliciosos. Hacktivistas: son personas motivadas políticamente o socialmente. Anonymous sería un ejemplo. Terroristas cibernéticos: aunque no son comunes, podrían llegar a serlo pronto, sirviéndose de la red para preparar o llevar a cabo atentados. Estados nación: son un tipo de organizaciones unidas por un ideal común (nacionalista, religioso, etc.) que cuenta con los medios para lanzar ciberataques contra otros países. Todos estos atacantes pueden dirigirse a individuos, empresas o gobiernos y, de hecho, se espera que “los daños causados por el delito cibernético cuesten al mundo 6 billones de dólares en 2021” (NCU). Con esta perspectiva, a las organizaciones no les queda otra salida que buscar la forma de blindarse. La protección de datos por medio de un firewall ya no es suficiente. Ransomwares, phising y whaling o ataques apoyados por el aprendizaje automático son sólo el principio. Es necesario apostar por la protección proactiva, como la que ofrecen las soluciones de computación cognitiva aplicadas a la seguridad y plantearse nuevas contrataciones. Sin embargo, la búsqueda del talento y el desarrollo de capacidades internas deben considerarse como algo prioritario puesto que “para 2019, la demanda mundial de expertos en seguridad de TI aumentará a 2,5 millones, con una escasez de candidatos de alrededor de 1,5 millones” (ManpowerGroup). “El 43% de los ataques cibernéticos apuntan a las pequeñas empresas y el 60% de ellas terminan teniendo que cerrar sus puertas en los seis meses siguientes a sufrir un ciberataque” Northcentral University 5 Los grandes desafíos de la Ciberseguridad 2. El estado de la ciberseguridad Además del impacto económico de las amenazas de seguridad, esta ola de ataques que va en aumento también tiene un impacto en muchas otras facetas de nuestra vida cotidiana, fruto de nuestra dependencia de la tecnología. Del informe “The Global State of Information Security Survey” de PwC 2017 se pueden extraer 10 hallazgos clave que ayudan a comprender mejor cuál es el estado actual de la ciberseguridad: 1. El gasto anual en ciberseguridad ha permanecido constante, aunque existen variaciones en función del tipo de industria, existiendo sectores que han aumentado el gasto y otros que lo han reducido. 2. Los servicios de salud y financieros han incrementado significativamente su inversión en seguridad, probablemente, como consecuencia de la presión reguladora. 3. Sectores como el retail o las telecomunicaciones han nadado a contracorriente, registrando fuertes reducciones en los presupuestos de seguridad, especialmente en el caso de estas últimas y a pesar de haber sufrido un aumento espectacular (del 70%) en el número de incidentes. 4. La conversión realizada por las organizaciones se dirige a adaptarse a los nuevos requisitos de seguridad necesarios para estar alineadas con las condiciones de los nuevos modelos de negocio; al aseguramiento de los dispositivos del IoT y a impulsar la colaboración entre empresas con fines de seguridad, sobre todo en entornos digitales. 5. El mayor porcentaje de ataques perpetrados están relacionados con la suplantación de identidades, los dispositivos móviles y la tecnología operativa y de consumo. 6. Pese a que, por el momento, la gran mayoría de los ataques proceden del interior de las empresas, se espera que, en un par de años, las amenazas externas los superen. 7. El gobierno de la seguridad avanza por el buen camino y, prueba de ello es que, ante un incidente, los CISO reportan directamente al CEO en lugar del CIO. 8. El desafío más grande relacionado con las migraciones a la nube es gobernar y controlar aplicaciones, datos, y seguridad. 9. El nuevo Reglamento General de Protección de Datos de la UE (RGPD) impone cambios en las organizaciones, que deberán asumir para evitar las sanciones asociadas al incumplimiento, que pueden suponer hasta el 4% de los ingresos anuales. 10. El riesgo más importante lo sufren las grandes compañías basadas en datos, del entorno de internet y las redes sociales, como Google, LinkedIn o Facebook. 6 Los grandes desafíos de la Ciberseguridad 3. Ciberseguridad y cumplimiento El RGPD, que entrará en vigor a finales de mayo de 2018, insta a las organizaciones a adaptarse al nuevo entorno. Con la definición de requisitos se marca la directriz a seguir para obrar la transformación. El objetivo es minimizar la vulnerabilidad de las organizaciones para protegerlas a ellas, pero también a sus empleados, clientes y socios. Las empresas que ya hayan entrado en contacto con el Reglamento habrán descubierto la necesidad de conocer en qué estado se encuentra su seguridad. Saber si sus activos informacionales están protegidos, si se conoce cuáles son los datos sensibles y desde qué dispositivos y aplicaciones los usuarios acceden a la información corporativa es sólo el principio. La autoevaluación previa al plan de seguridad ha de permitir conocer cuál es el riesgo real al que cada organización se enfrenta. Para poder cuantificarlo, resulta necesario tener claros dos puntos: a) Cuáles son los puntos débiles en materia de seguridad. b) Cuál sería el impacto de un ataque para la empresa y sus operaciones. Es aconsejable realizar un mapeo que facilite conocer cuáles son los usuarios, dispositivos y aplicaciones asociados a un mayor nivel de riesgo. No hay que olvidarse que los denominados endpoints son la principal preocupación de seguridad de muchas compañías y las razones quedan patentes en el estudio de Ponemon, “State of Endpoint Report”: 7 Los grandes desafíos de la Ciberseguridad Una vez se ha descubierto la vulnerabilidad asociada al uso del dato y cuando se conozca también la efectividad de las medidas de protección en funcionamiento, es momento de empezar a introducir medidas tecnológicas. De acuerdo a la propuesta del RGPD, entre las acciones a emprender deberían, al menos, encontrarse las siguientes: a) Enmascaramiento y encriptación de datos. b) Monitorización de usuarios privilegiados. c) Gestión de identidades y accesos. d) Sistemas de protección de datos en la nube. e) Controles de transferencia de datos en entornos cloud. f) Soluciones de prevención asociadas a sistemas de alerta. g) Programas de formación e información a los usuarios empresariales. Además de garantizar el cumplimiento del reglamento de protección de la información, al tomar este tipo de medidas, las organizaciones no sólo disfrutan de una mayor tranquilidad en relación a la seguridad de sus activos de datos, sino que comienzan a experimentar otros beneficios derivados, como: Impulso al rendimiento. Mejora de la imagen pública. Fortalecimiento de vínculos con la red. 8 Los grandes desafíos de la Ciberseguridad 4. Proactividad y mejores prácticas, cuando tecnología y talento se unen en la lucha contra la amenaza Un reciente informe de Accenture, defiende que el verdadero desafío que viven las organizaciones es lograr que los niveles directivos, no sólo participen de las políticas de seguridad, sino que se comprometan con ellas y con sus objetivos. De esta forma consiguen que la seguridad se entienda como algo relevante para el negocio. Si bien, aunque CEO y el Consejo de Administración tienen que alcanzar el nivel de compromiso necesario, será el CISO quien juegue un papel clave en el proceso. En él recae la responsabilidad de proponer las iniciativas de ciberseguridad y llevarlas a la práctica con éxito. Para que el proyecto culmine con los resultados esperados, desde Accenture se recomienda observar tres mejores prácticas, que pueden aplicarse como principios rectores: Capturar la imagen estratégica de la ciberseguridad en el negocio: para ello es preciso conocer cuáles son las amenazas más importantes, cuál es su objetivo dentro el negocio, qué medidas de seguridad se han implantado y cuál es su nivel de eficacia, qué alternativas estratégicas existen y qué es preciso conocer de las amenazas que depara el futuro. Evitar perderse en tecnicismos de seguridad en las comunicaciones: es preferible hablar en términos de impacto comercial. Para ello se pueden exponer las potenciales consecuencias derivadas del incumplimiento regulatorio propio, del incumplimiento por parte de socios o proveedores; mencionando también los problemas que podrían surgir en relación con los clientes o la marca. Concienciar a los altos directivos: recurriendo a reuniones, presentaciones y colaboraciones; participando en webinars, mesas redondas y jornadas; priorizando la formación e información del CEO y dándole la posibilidad de conocer nuevas perspectivas, a través de expertos y especialistas en ciberseguridad. Poco se puede hacer en una organización si los líderes no están bien informados y comprometidos. Porque la Alta Dirección debe estar preparada para tomar las decisiones correctas en materia de gestión de riesgos, para impulsar el cambio del negocio hacia los nuevos estándares que le son y serán exigidos y, también, para hacer la mejor inversión en lo que a tecnología de seguridad respecta. El experto investigador en ciberseguridad Dan Geer afirma que “la privacidad tal y como la conocemos, ha muerto”. Por eso, en su discurso de apertura el año pasado en la conferencia Black Hat USA, propuso algunas recomendaciones que conseguirán garantizar un mayor nivel de protección a los datos de las empresas, entre ellas: Reportar de forma obligatoria los fallos e incidencias de seguridad. Lanzar contraataques contra los cibercriminales. Construir resiliencia en sistemas integrados, permitiendo que cada parte pueda blindarse de forma remota. 9 Los grandes desafíos de la Ciberseguridad Crear copias de seguridad fuera de la red. Evitar llevar a cabo online procesos altamente confidenciales y de importancia crítica, como la votación de unas elecciones, puesto que podrían ser manipulados. “Más de 4.000 ataques de ransomware han ocurrido todos los días desde el comienzo de 2016. Eso es un aumento del 300% sobre 2015, donde se vieron 1.000 ataques de ransomware por día.” Sección de delitos informáticos y propiedad intelectual USA (CCIPS) 5. Tendencias en ciberseguridad Según CSO, las tendencias en ciberseguridad para los próximos meses serán las orientadas a cubrir los siguientes 4 riesgos: a) Ransomware: WannaCry, Sambacry o Petya, son ejemplos del nuevo tipo de ataques empleados por los ciberdelincuentes actuales. La amenaza se presenta aprovechando las vulnerabilidades del sistema y los hackers piden el pago de un rescate en bitcoins a cambio de devolver los archivos secuestrados. Las peores consecuencias de estas acciones son las relacionadas con la pérdida de imagen de marca y la disrupción, que afecta a las operaciones y provoca importantes pérdidas. b) Malware móvil: se calcula que cerca del 4% de todos los dispositivos móviles están infectados. Aún más preocupante es el hecho de que aproximadamente un 50% se encuentran ahora mismo en alto riesgo de exponer información confidencial. Los endpoints son uno de los puntos débiles de las organizaciones, puesto que su protección depende del compromiso usuario que, cada vez tiene mayor dependencia tecnológica y emplea más los dispositivos móviles para acceder a los datos sensibles. Cuando no se siguen los protocolos de seguridad, no se actualiza el software, se crean contraseñas débiles, se descargan aplicaciones de origen desconocido o se hace clic en enlaces sospechosos, se está poniendo en jaque a toda la compañía. c) Ataques IoT: la creciente adopción de esta tecnología hace que aumente también el número de cibercriminales interesados en aprovechar su potencial para alcanzar objetivos maliciosos. Miles de millones de nuevos dispositivos de Internet de Cosas están conectados a redes corporativas, proporcionando importantes ventajas al negocio. Sin embargo, si no se saben proteger o no se incluye el IoT en la estrategia de seguridad, se pueden repetir ataques como el de Dyn, que demuestran qué sencillo puede ser hackear una compañía, mucho más si la amenaza se combina con un ransomware destinado a esta clase de dispositivos. d) Piratería política: la tecnología se emplea también con fines poco éticos para propagar desinformación, sembrar discordia o difundir propaganda que ayude a promover determinados objetivos políticos. Es a lo que se dedican los conocidos como Estados nación, que han dejado de centrar sus acciones en el ciberespionaje, para dar un paso más allá. Esto obliga actualizar las evaluaciones de amenazas incluso a las organizaciones que no tienen una implicación política directa. 10 Los grandes desafíos de la Ciberseguridad Además de los firewalls de nueva generación, los antivirus o los software de detección de malware desde Wired recomiendan mejorar la protección de la información corporativa mediante el desarrollo de nuevas capacidades, como: Hackeo ético: teniendo en cuenta que “el coste global de la ciberdelincuencia llegará a 4,9 billones de libras anuales para 2021” es necesario estar bien preparado. Para ello, lo primero es identificar debilidades en la ciberseguridad de la organización. La forma de lograrlo es incorporando en plantilla un nuevo perfil conocido como “hackers éticos”. Porque el modo más efectivo de vencer a un cibercriminal es pensar como uno y, al incorporar a un hacker a la empresa se consigue proteger los principales puntos débiles y, al mismo tiempo, mejorar la preparación de los usuarios de negocio, que son instruidos por alguien con tanta experiencia en este tema. Inteligencia artificial: las nuevas soluciones de computación cognitiva aplicada a la seguridad trabajan en un ciclo de mejora continua que consigue que, gracias a la retroalimentación procedente de toda la organización, los sistemas cada vez estén mejor protegidos, más preparados y puedan responder a mayor velocidad antes cualquier incidente de seguridad. La inteligencia artificial se ocupa de las tareas de ciberseguridad, minimizando el riesgo inevitable cuando de estas tareas se encargaban los humanos y logrando una respuesta mucho más efectiva ante cualquier problema de seguridad que pueda plantearse. 11 Los grandes desafíos de la Ciberseguridad “El 48% de las organizaciones incluye a sus activos de IoT en su estrategia y política de seguridad cibernética y el 33% informan que han obtenido una mejor comprensión del panorama del IoT en los últimos 12 meses. El 31% de los encuestados aseguran haber adquirido una visión general de los dispositivos IoT desplegados, sin embargo, un 17% intentaron alcanzar ese nivel de visibilidad sin éxito y un 35% no trató siquiera de obtener una visión general en los últimos 12 meses” KPGM 2017 6. IoT, endpoints, y escasez de talento: 3 grandes desafíos para la seguridad en las organizaciones En el peor momento, el mundo se enfrenta a una escasez de talento en materia de ciberseguridad. Un reciente estudio del Centro de Seguridad Cibernética y Educación del grupo de Seguridad de la Información Global (ISC) ² proyecta que habrá “un déficit de más de 1,8 millones de profesionales cualificados en cuestiones de ciberseguridad entre 2017 y 2022” (CSO). No es sólo un problema de escasez de oferta formativa, algo en lo que los gobiernos deberían trabajar, sino que, 12 Los grandes desafíos de la Ciberseguridad tal y como afirman algunos expertos en ciberseguridad (Indeed- Security Skills Gap Report), se trata de una cuestión de perspectiva. Por eso, defienden que: Tratar la ciberseguridad como una especialización dentro del campo de la computación en lugar de como una disciplina independiente es un error. La iniciativa debe ser tomada por las empresas y los profesionales, puesto que se trata de una cuestión prioritaria. La mejor alternativa, ahora mismo, consiste en desarrollar programas dentro de las organizaciones que identifiquen a los profesionales mejor cualificados y les ofrezcan capacitación. Porque, lo cierto es que, a pesar de que las empresas ya están avanzadas en sus procesos de reclutamiento, incluso llevando a cabo la búsqueda proactiva de candidatos; durante el proceso de selección, se encuentran con que “sólo en el 12 % de los casos los candidatos están debidamente preparados en el momento de llevar a cabo la contratación”, como demuestra el siguiente gráfico: La amenaza de la ciberdelincuencia se sofistica a gran velocidad y eso supone que cualquier esfuerzo es poco para reducir esta brecha de talento. Las organizaciones deberán prestar atención a 3 aspectos clave en su estrategia de seguridad: 1. Endpoints: los endpoints son el eslabón más débil de la cadena de seguridad de cualquier compañía. Y es que, cuando los límites del puesto de trabajo se difuminan, también lo hacen las responsabilidades, el compromiso y la seguridad. Formación, información y control de accesos, identidades y aplicaciones son la única forma de prevenir que un dispositivo infectado termine afectando a toda la empresa. 2. IoT: privacidad y seguridad son las principales preocupaciones de las empresas que emplean dispositivos de IoT (Ericsson IoT Security). Como muchos dispositivos IoT se colocan en entornos expuestos, deberían entonces contar con los medios para proteger automáticamente su funcionamiento y los datos que contienen. Garantizar su integridad y aplicar técnicas de cifrado son dos acciones a aplicar a los datos sensibles en el almacenamiento no seguro. Los dispositivos conectados también deben presentar la capacidad de recibir actualizaciones de firmware remoto, incluso en caso de infección de malware. 13 Los grandes desafíos de la Ciberseguridad Un Máster en Seguridad Informática permite a los profesionales proteger los activos de datos de la organización para la que trabajan, ya que les ayuda a desarrollar las competencias necesarias para: Comprobar el estado de la seguridad de la compañía, auditando los diferentes activos que la componen. Identificar los activos críticos de la organización y determinar las medidas necesarias para protegerlos y garantizar el correcto funcionamiento de los sistemas. Establecer prioridades de cara a minimizar los riesgos identificados. Detectar de forma proactiva un ataque a los sistemas, apoyándose en herramientas de monitorización, aplicando técnicas de minería sobre el Big Data y ayudando a la compañía a hacer la mejor inversión en software de seguridad de nueva generación. Utilizar las herramientas y protocolos necesarios para mantener la confidencialidad, integridad y disponibilidad de los datos en todo momento. Planificar medidas de contingencia y responder ante incidentes de seguridad, manteniendo la cadena de custodia, analizando el malware y recuperando información. Determinar las metodologías adecuadas para optimizar la gestión de la seguridad digital de la organización. Diseñar una arquitectura acorde con las necesidades de negocio que permita reducir al máximo los riesgos a los que se puedan exponer los diferentes activos. Es difícil conocer con precisión cuándo va a tener lugar el próximo ataque, en qué consistirá la amenaza o cuál será su impacto potencial. Sin embargo, cuando la organización cuenta con profesionales preparados existen posibilidades reales de evitar el riesgo de verse afectado y se puede tener la certeza de que, ante un incidente de seguridad no se perderá información, no se sufrirán disrupciones y los activos de datos del negocio, sus socios y sus clientes estarán a salvo. “El 52% de las organizaciones que sufrieron ataques cibernéticos exitosos en 2016 no están haciendo ningún cambio en su seguridad en 2017” (Barkly). Es hora de cambiar el futuro. ¿Cuentas con los perfiles adecuados en tu equipo de TI? ¿Conoces el Máster en Seguridad Informática de la Universidad Internacional de Valencia? ¿Quieres convertirte en hacker ético o en jefe de investigación de seguridad TIC? 14 Los grandes desafíos de la Ciberseguridad