Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
DESAFÍOS DE LA
CIBERSEGURIDAD
Cuando protección y talento
blindan el negocio
1
ÍNDICE
2. El estado de la ciberseguridad...................................................................................................................................... 6
6. IoT, endpoints, y escasez de talento: 3 grandes desafíos para la seguridad en las organizaciones........ 12
La dependencia tecnológica de las organizaciones actuales hace que, en plena era de la transformación digital,
cada vez se conozcan más casos de amenazas a negocios y a sus clientes.
No es sólo una cuestión de conectividad (cada vez hay más dispositivos conectados, de más tipos diferentes,
en todo momento y desde cualquier parte), sino que podría decirse que, en realidad, el mayor obstáculo para la
seguridad cibernética es la velocidad a la que evoluciona la amenaza.
La sofisticación de sus métodos y el descubrimiento de nuevas tácticas de ataque sucede de forma tan dinámica
que causa el aumento en la brecha de talento y recursos de las empresas que tratan de hacerles frente.
Hay que tener en cuenta que, si bien las noticias sólo se hacen eco de los ataques a empresas más grandes o
con mayor repercusión mediática, como Disney o Telefónica; las corporaciones multinacionales no son el único
objetivo de los cibercriminales.
El objetivo se amplía y, hoy día, los datos personales y bancarios de los consumidores son una parte sustancial
de un buen ciber-botín. Parece una evolución lógica, sobre todo, si se tiene en cuenta la cantidad de información
de todo tipo que se comparte con las empresas.
Incluso las PYMES conocen, además de nombre completo, dirección, teléfono y datos de la tarjeta de crédito
o débito; mucha otra información sobre sus hábitos y datos sociodemográficos que recopilan a lo largo de los
años y emplean para el análisis. Si no se protege adecuadamente, este conocimiento puede llegar a manos de
organizaciones criminales.
Este objetivo variará, en función del tipo de atacante. Existen varios perfiles distintos. Según César Cerrudo
(hacker profesional) y tal como declara en su contribución para la revista Forbes, los perpetradores de ataques
pueden ser:
Delincuentes cibernéticos: atacan los sistemas y roban información con fines de lucro.
Hackers: pese a que el número de hackers éticos (profesionales que trabajan para beneficiar a las empresas y
mejorar su seguridad) va en aumento, también hay hackers maliciosos.
Terroristas cibernéticos: aunque no son comunes, podrían llegar a serlo pronto, sirviéndose de la red para
preparar o llevar a cabo atentados.
Estados nación: son un tipo de organizaciones unidas por un ideal común (nacionalista, religioso, etc.) que
cuenta con los medios para lanzar ciberataques contra otros países.
Todos estos atacantes pueden dirigirse a individuos, empresas o gobiernos y, de hecho, se espera que “los daños
causados por el delito cibernético cuesten al mundo 6 billones de dólares en 2021” (NCU).
Con esta perspectiva, a las organizaciones no les queda otra salida que buscar la forma de blindarse. La
protección de datos por medio de un firewall ya no es suficiente. Ransomwares, phising y whaling o ataques
apoyados por el aprendizaje automático son sólo el principio.
Es necesario apostar por la protección proactiva, como la que ofrecen las soluciones de computación cognitiva
aplicadas a la seguridad y plantearse nuevas contrataciones.
Sin embargo, la búsqueda del talento y el desarrollo de capacidades internas deben considerarse como algo
prioritario puesto que “para 2019, la demanda mundial de expertos en seguridad de TI aumentará a 2,5 millones,
con una escasez de candidatos de alrededor de 1,5 millones” (ManpowerGroup).
“El 43% de los ataques cibernéticos apuntan a las pequeñas empresas y el 60%
de ellas terminan teniendo que cerrar sus puertas en los seis meses siguientes
a sufrir un ciberataque”
Northcentral University
Del informe “The Global State of Information Security Survey” de PwC 2017 se pueden extraer 10 hallazgos clave
que ayudan a comprender mejor cuál es el estado actual de la ciberseguridad:
1. El gasto anual en ciberseguridad ha permanecido constante, aunque existen variaciones en función del tipo
de industria, existiendo sectores que han aumentado el gasto y otros que lo han reducido.
3. Sectores como el retail o las telecomunicaciones han nadado a contracorriente, registrando fuertes
reducciones en los presupuestos de seguridad, especialmente en el caso de estas últimas y a pesar de haber
sufrido un aumento espectacular (del 70%) en el número de incidentes.
4. La conversión realizada por las organizaciones se dirige a adaptarse a los nuevos requisitos de seguridad
necesarios para estar alineadas con las condiciones de los nuevos modelos de negocio; al aseguramiento de
los dispositivos del IoT y a impulsar la colaboración entre empresas con fines de seguridad, sobre todo en
entornos digitales.
5. El mayor porcentaje de ataques perpetrados están relacionados con la suplantación de identidades, los
dispositivos móviles y la tecnología operativa y de consumo.
6. Pese a que, por el momento, la gran mayoría de los ataques proceden del interior de las empresas, se espera
que, en un par de años, las amenazas externas los superen.
7. El gobierno de la seguridad avanza por el buen camino y, prueba de ello es que, ante un incidente, los CISO
reportan directamente al CEO en lugar del CIO.
8. El desafío más grande relacionado con las migraciones a la nube es gobernar y controlar aplicaciones, datos,
y seguridad.
9. El nuevo Reglamento General de Protección de Datos de la UE (RGPD) impone cambios en las organizaciones,
que deberán asumir para evitar las sanciones asociadas al incumplimiento, que pueden suponer hasta el 4%
de los ingresos anuales.
10. El riesgo más importante lo sufren las grandes compañías basadas en datos, del entorno de internet y las
redes sociales, como Google, LinkedIn o Facebook.
El RGPD, que entrará en vigor a finales de mayo de 2018, insta a las organizaciones a adaptarse al nuevo entorno.
Con la definición de requisitos se marca la directriz a seguir para obrar la transformación. El objetivo es minimizar
la vulnerabilidad de las organizaciones para protegerlas a ellas, pero también a sus empleados, clientes y socios.
Las empresas que ya hayan entrado en contacto con el Reglamento habrán descubierto la necesidad de conocer
en qué estado se encuentra su seguridad. Saber si sus activos informacionales están protegidos, si se conoce
cuáles son los datos sensibles y desde qué dispositivos y aplicaciones los usuarios acceden a la información
corporativa es sólo el principio.
La autoevaluación previa al plan de seguridad ha de permitir conocer cuál es el riesgo real al que cada organización
se enfrenta. Para poder cuantificarlo, resulta necesario tener claros dos puntos:
Es aconsejable realizar un mapeo que facilite conocer cuáles son los usuarios, dispositivos y aplicaciones
asociados a un mayor nivel de riesgo. No hay que olvidarse que los denominados endpoints son la principal
preocupación de seguridad de muchas compañías y las razones quedan patentes en el estudio de Ponemon,
“State of Endpoint Report”:
De acuerdo a la propuesta del RGPD, entre las acciones a emprender deberían, al menos, encontrarse las
siguientes:
Además de garantizar el cumplimiento del reglamento de protección de la información, al tomar este tipo de
medidas, las organizaciones no sólo disfrutan de una mayor tranquilidad en relación a la seguridad de sus activos
de datos, sino que comienzan a experimentar otros beneficios derivados, como:
Impulso al rendimiento.
Un reciente informe de Accenture, defiende que el verdadero desafío que viven las organizaciones es lograr
que los niveles directivos, no sólo participen de las políticas de seguridad, sino que se comprometan con ellas
y con sus objetivos. De esta forma consiguen que la seguridad se entienda como algo relevante para el negocio.
Si bien, aunque CEO y el Consejo de Administración tienen que alcanzar el nivel de compromiso necesario, será
el CISO quien juegue un papel clave en el proceso. En él recae la responsabilidad de proponer las iniciativas de
ciberseguridad y llevarlas a la práctica con éxito. Para que el proyecto culmine con los resultados esperados,
desde Accenture se recomienda observar tres mejores prácticas, que pueden aplicarse como principios rectores:
Capturar la imagen estratégica de la ciberseguridad en el negocio: para ello es preciso conocer cuáles
son las amenazas más importantes, cuál es su objetivo dentro el negocio, qué medidas de seguridad se han
implantado y cuál es su nivel de eficacia, qué alternativas estratégicas existen y qué es preciso conocer de las
amenazas que depara el futuro.
Poco se puede hacer en una organización si los líderes no están bien informados y comprometidos. Porque la
Alta Dirección debe estar preparada para tomar las decisiones correctas en materia de gestión de riesgos, para
impulsar el cambio del negocio hacia los nuevos estándares que le son y serán exigidos y, también, para hacer la
mejor inversión en lo que a tecnología de seguridad respecta.
El experto investigador en ciberseguridad Dan Geer afirma que “la privacidad tal y como la conocemos, ha muerto”.
Por eso, en su discurso de apertura el año pasado en la conferencia Black Hat USA, propuso algunas recomendaciones
que conseguirán garantizar un mayor nivel de protección a los datos de las empresas, entre ellas:
Construir resiliencia en sistemas integrados, permitiendo que cada parte pueda blindarse de forma remota.
Evitar llevar a cabo online procesos altamente confidenciales y de importancia crítica, como la votación de
unas elecciones, puesto que podrían ser manipulados.
“Más de 4.000 ataques de ransomware han ocurrido todos los días desde el
comienzo de 2016. Eso es un aumento del 300% sobre 2015, donde se vieron
1.000 ataques de ransomware por día.”
Sección de delitos informáticos y propiedad intelectual USA (CCIPS)
5. Tendencias en ciberseguridad
Según CSO, las tendencias en ciberseguridad para los próximos meses serán las orientadas a cubrir los siguientes
4 riesgos:
a) Ransomware: WannaCry, Sambacry o Petya, son ejemplos del nuevo tipo de ataques empleados por los
ciberdelincuentes actuales. La amenaza se presenta aprovechando las vulnerabilidades del sistema y los
hackers piden el pago de un rescate en bitcoins a cambio de devolver los archivos secuestrados. Las peores
consecuencias de estas acciones son las relacionadas con la pérdida de imagen de marca y la disrupción, que
afecta a las operaciones y provoca importantes pérdidas.
b) Malware móvil: se calcula que cerca del 4% de todos los dispositivos móviles están infectados. Aún más
preocupante es el hecho de que aproximadamente un 50% se encuentran ahora mismo en alto riesgo de
exponer información confidencial. Los endpoints son uno de los puntos débiles de las organizaciones, puesto
que su protección depende del compromiso usuario que, cada vez tiene mayor dependencia tecnológica y
emplea más los dispositivos móviles para acceder a los datos sensibles. Cuando no se siguen los protocolos
de seguridad, no se actualiza el software, se crean contraseñas débiles, se descargan aplicaciones de origen
desconocido o se hace clic en enlaces sospechosos, se está poniendo en jaque a toda la compañía.
c) Ataques IoT: la creciente adopción de esta tecnología hace que aumente también el número de cibercriminales
interesados en aprovechar su potencial para alcanzar objetivos maliciosos. Miles de millones de nuevos
dispositivos de Internet de Cosas están conectados a redes corporativas, proporcionando importantes
ventajas al negocio. Sin embargo, si no se saben proteger o no se incluye el IoT en la estrategia de seguridad,
se pueden repetir ataques como el de Dyn, que demuestran qué sencillo puede ser hackear una compañía,
mucho más si la amenaza se combina con un ransomware destinado a esta clase de dispositivos.
d) Piratería política: la tecnología se emplea también con fines poco éticos para propagar desinformación,
sembrar discordia o difundir propaganda que ayude a promover determinados objetivos políticos. Es a lo que
se dedican los conocidos como Estados nación, que han dejado de centrar sus acciones en el ciberespionaje,
para dar un paso más allá. Esto obliga actualizar las evaluaciones de amenazas incluso a las organizaciones
que no tienen una implicación política directa.
Hackeo ético: teniendo en cuenta que “el coste global de la ciberdelincuencia llegará a 4,9 billones de libras
anuales para 2021” es necesario estar bien preparado. Para ello, lo primero es identificar debilidades en la
ciberseguridad de la organización. La forma de lograrlo es incorporando en plantilla un nuevo perfil conocido
como “hackers éticos”. Porque el modo más efectivo de vencer a un cibercriminal es pensar como uno y, al
incorporar a un hacker a la empresa se consigue proteger los principales puntos débiles y, al mismo tiempo,
mejorar la preparación de los usuarios de negocio, que son instruidos por alguien con tanta experiencia en
este tema.
Inteligencia artificial: las nuevas soluciones de computación cognitiva aplicada a la seguridad trabajan en un
ciclo de mejora continua que consigue que, gracias a la retroalimentación procedente de toda la organización,
los sistemas cada vez estén mejor protegidos, más preparados y puedan responder a mayor velocidad
antes cualquier incidente de seguridad. La inteligencia artificial se ocupa de las tareas de ciberseguridad,
minimizando el riesgo inevitable cuando de estas tareas se encargaban los humanos y logrando una respuesta
mucho más efectiva ante cualquier problema de seguridad que pueda plantearse.
En el peor momento, el mundo se enfrenta a una escasez de talento en materia de ciberseguridad. Un reciente
estudio del Centro de Seguridad Cibernética y Educación del grupo de Seguridad de la Información Global
(ISC) ² proyecta que habrá “un déficit de más de 1,8 millones de profesionales cualificados en cuestiones de
ciberseguridad entre 2017 y 2022” (CSO).
No es sólo un problema de escasez de oferta formativa, algo en lo que los gobiernos deberían trabajar, sino que,
Tratar la ciberseguridad como una especialización dentro del campo de la computación en lugar de como una
disciplina independiente es un error.
La iniciativa debe ser tomada por las empresas y los profesionales, puesto que se trata de una cuestión
prioritaria.
La mejor alternativa, ahora mismo, consiste en desarrollar programas dentro de las organizaciones que
identifiquen a los profesionales mejor cualificados y les ofrezcan capacitación.
Porque, lo cierto es que, a pesar de que las empresas ya están avanzadas en sus procesos de reclutamiento,
incluso llevando a cabo la búsqueda proactiva de candidatos; durante el proceso de selección, se encuentran
con que “sólo en el 12 % de los casos los candidatos están debidamente preparados en el momento de llevar a
cabo la contratación”, como demuestra el siguiente gráfico:
La amenaza de la ciberdelincuencia se sofistica a gran velocidad y eso supone que cualquier esfuerzo es poco
para reducir esta brecha de talento.
1. Endpoints: los endpoints son el eslabón más débil de la cadena de seguridad de cualquier
compañía. Y es que, cuando los límites del puesto de trabajo se difuminan, también lo hacen
las responsabilidades, el compromiso y la seguridad. Formación, información y control de ac-
cesos, identidades y aplicaciones son la única forma de prevenir que un dispositivo infectado
termine afectando a toda la empresa.
2. IoT: privacidad y seguridad son las principales preocupaciones de las empresas que em-
plean dispositivos de IoT (Ericsson IoT Security). Como muchos dispositivos IoT se colocan en
entornos expuestos, deberían entonces contar con los medios para proteger automáticamen-
te su funcionamiento y los datos que contienen. Garantizar su integridad y aplicar técnicas de
cifrado son dos acciones a aplicar a los datos sensibles en el almacenamiento no seguro. Los
dispositivos conectados también deben presentar la capacidad de recibir actualizaciones de
firmware remoto, incluso en caso de infección de malware.
Comprobar el estado de la seguridad de la compañía, auditando los diferentes activos que la componen.
Identificar los activos críticos de la organización y determinar las medidas necesarias para protegerlos y
garantizar el correcto funcionamiento de los sistemas.
Determinar las metodologías adecuadas para optimizar la gestión de la seguridad digital de la organización.
Diseñar una arquitectura acorde con las necesidades de negocio que permita reducir al máximo los riesgos a
los que se puedan exponer los diferentes activos.
Es difícil conocer con precisión cuándo va a tener lugar el próximo ataque, en qué consistirá la amenaza o cuál
será su impacto potencial. Sin embargo, cuando la organización cuenta con profesionales preparados existen
posibilidades reales de evitar el riesgo de verse afectado y se puede tener la certeza de que, ante un incidente
de seguridad no se perderá información, no se sufrirán disrupciones y los activos de datos del negocio, sus
socios y sus clientes estarán a salvo.
¿Cuentas con los perfiles adecuados en tu equipo de TI? ¿Conoces el Máster en Seguridad Informática de
la Universidad Internacional de Valencia? ¿Quieres convertirte en hacker ético o en jefe de investigación de
seguridad TIC?