Nos acercamos ya al próximo año, y como siempre, por estas fechas, toca analizar los retos para el año próximo. Hay que establecer una estrategia a seguir, en materia de seguridad, para afrontar las amenazas que surgirán.
Pero ¿cuáles serán las amenazas más importantes en el año próximo?
Como sabemos, las perspectivas de amenaza de seguridad global evolucionan cada año. Por lo tanto, si pensamos que este año ha sido malo en lo referente a las violaciones de seguridad, preparémonos para 2018.
El Information Security Forum (IFS) prevé que serán 5 las amenazas clave en 2018 las que provocarán un aumento en las brechas de seguridad. Por ello debemos estar preparados. Toda empresa debería realizar un plan estratégico de seguridad para afrontar estos nuevos retos que se presentan.
También estamos viendo que últimamente se está poniendo en entredicho la reputación de grandes compañías y organizaciones, y la gente se pregunta, cómo han podido sufrir o ser víctimas de los ataques producidos. La respuesta es que se está produciendo una mayor sofisticación en los ataques, siendo estos más personalizados o los puntos débiles del objetivo y previendo las defensas que este ha implantado. Por eso, pero no deteriorar más esta reputación, la seguridad debe ir creciendo a la misma velocidad que las amenazas. No hay que dejar de invertir en seguridad ni dar por sentado la total seguridad de un entorno.
Los cinco retos más significativos, que explicaremos a continuación, son los siguientes:
- IoT (Internet of things) Internet de las cosas.
- La cadena de Suministro
- CaaS (Crime-as-a-service) Crimen informático como servicio
- La regulación, que aumentará la complejidad de la gestión de activos críticos
- Las expectativas de la dirección vs. la realidad.
IoT – Internet de las cosas
Cada vez más se están adoptando dispositivos IoT. Esto es una tendencia que va en aumento y no para de crecer. El problema aquí es que, por diseño, la mayoría de estos dispositivos no son seguros.
Está claro que no se puede comparar el nivel de seguridad de un ordenador con el de una nevera, termostato, lampara conectado a la red, esto nos devuelve a un estado de seguridad muy anterior al que se ha conseguido en los ordenadores actuales y tengamos en nuestra red dispositivos vulnerables.
Otro problema es que el mundo de IoT evoluciona y crece muy rápido, esto provoca que las condiciones y los términos sean imprecisos permitiendo en ocasionas a los proveedores utilizar los datos personales de maneras que no contemplaban los clientes.
Desde la perspectiva de las empresas, el mayor riesgo es poder controlar o saber qué información sale de sus redes o que datos están siendo capturados por dispositivos que a priori no son sospechosos, ya que a la hora de securizar, estos dispositivos son muchas veces ignorados. Voy a poner varios ejemplos:
- Una impresora conectada en red, si se accede a ella, un atacante tiene acceso a muchos documentos de una empresa que son impresos, y la mayoría de las veces no se sospecha que se han obtenido a través de esa fuente.
- Vehículos de empresa, ¿quién no conecta su smartphone a él?, está claro que queremos conducir escuchando nuestra música y hablando por el manos libres. Al conectarse al coche nuestro teléfono nos pide autorizaciones, ¿y qué?, ¿cómo van a hackear el coche? Es algo que ni nos lo solemos plantear. ¿Y si lo está? Pues si lo está nos han grabado las conversaciones y además por el GPS sabrán a dónde hemos ido y nuestras pautas.
- Termostatos inteligentes, a lo mejor en una casa no pueden causar mucho daño, pero sube la temperatura en una empresa en su sala de servidores, el daño puede ser muy grande.
En definitiva, llevamos años concienciándonos de cómo mantener seguros nuestros ordenadores, porque también llevamos años usándolos y hemos sido testigos de los problemas acarreados al no hacerlos. Ahora debemos hacer lo mismo con todos estos dispositivos y empezar a ver también los potenciales peligros si no se securizan.
La cadena de suministro
Este es un asunto que viene de años atrás. El problema es que a menudo se comparte una cantidad alta de información valiosa y sensible con los proveedores. Al hacer esto se pierde el control directo sobre los datos. Por lo tanto, esto se traduce en un mayor riesgo de comprometer la confidencialidad, integridad y disponibilidad de esa información.
Los retos que afrontamos son:
- Saber dónde se encuentra nuestra información en cada etapa del ciclo de vida
- Proteger la integridad de esa información mientras se comparte.
Para superar estos retos hay que buscar los puntos más débiles de la cadena de suministro. Pero para hacer esto hay que trabajar junto con los proveedores, ambos de manera proactiva, y así, crear procesos fuertes, escalables y repetibles que nos proporcionen garantías.
CaaS (Crime-as-a-service)
El crimen como servicio no es nuevo, se originó hace ya unos años, pero su crecimiento desde entonces ha sido exponencial y es uno de los grandes retos para la ciberseguridad.
Esta amenaza se origina en la Dark Web (web oscura) y proviene de sindicatos criminales, que desarrollan jerarquías complejas, asociaciones y colaboraciones que imitan a las grandes organizaciones del sector privado. Algunas tienen raíces en las estructuras delictivas existentes y otras han surgido centradas exclusivamente en los ciberdelitos
Estos grupos ofrecen herramientas avanzadas, a personas con menos conocimiento técnico, con fines delictivos. Esto se traduce en que ya no hace falta un conocimiento alto para lanzar un sofisticado ciberataque o realizar una estafa, multiplicando así el número de posibles atacantes.
También en vez de herramientas, ofrecen servicios a la carta, en los que además de ciberdelitos entran delitos tradicionales.
Según un estudio realizado este año por Europol, señala al CaaS como un importante proveedor de ciberdelitos, así como de delitos tradicionales, como puede ser la venta ilegal de armas.
Ha habido también un cambio en los tipos de empresa que son atacados. Antes los ataques más sofisticados se hacían a grandes empresas, ahora, debido a la cada vez mayor facilidad de realizar estos ataques, los ataques son dirigidos a pequeñas empresas. A esto se junta la imposibilidad de la pequeña empresa a hacer un desembolso importante, equiparable a una gran compañía, en materia de seguridad.
Los 5 servicios más populares de CaaS en el campo de los ciberdelitos son:
La Regulación
Las regulaciones agregan siempre complejidad en el cumplimiento. Un claro ejemplo es la RGPD, Reglamento General de Protección de Datos de la Unión Europea, que empezará a ser aplicable a partir del 25 de mayo de 2018.
A partir de la fecha de cumplimiento obligatorio de la RGPD, cada empresa tiene que garantizar que tiene la capacidad, tanto en su entorno como en la cadena de suministro, de ver cómo se tratan, gestionan y protegen los datos personales en cualquier punto del ciclo de vida.
Para poder llevar esto a cabo se van a cambiar muchas configuraciones y en muchos casos la metodología de hacer las cosas. Lo que llevará a cambiar entornos en los que se ha trabajado durante mucho tiempo en securizar y han sido fuertemente testeados por entornos o configuraciones nuevas.
El cumplimiento de esta regulación también repercutirá en un aumento de gasto en recursos para esta tarea, los cuales puede que sean desviados de otros proyectos de seguridad.
Las expectativas de la dirección vs. la realidad
Muchas veces hay una falta de entendimiento por parte de la dirección del trabajo que se hace en materia de seguridad y las implicaciones que este tiene.
En general saben que la seguridad de la información muchas veces no es tangencial, pero en muchos casos, no entienden todas las implicaciones que tiene eso. En muchos casos piensan que el gerente o responsable de seguridad lo tiene todo bajo control, y no saben las preguntas correctas a realizar para poder entender el grado de seguridad que se tiene.
También en otros casos el gerente o responsable de seguridad no sabe traducir o vender el trabajo hecho al ámbito de negocio para que la dirección lo pueda entender mejor.
Por todo lo comentado, muchas veces cuando la dirección aprueba mayores prepuestos en seguridad, creé que esto se traducirá en resultados inmediatos. Pero una compañía totalmente segura es un objetivo inalcanzable. Y aunque se explique esto y llegue a ser entendido por la dirección, lo que le resulta más difícil comprender, es que, llevar a cabo mejoras sustanciales en materia de seguridad de la información lleva tiempo, incluso aunque se cuente con el presupuesto adecuado.
Esto se traduce en que muchas veces no se realizan las estrategias adecuadas, ya que se priorizan las fechas, o “logros” que vender a la dirección (que muchas veces no entienden), que seguir una ruta y realizar un plan integral de seguridad.
Para que tanto la dirección y el equipo de seguridad trabajen y hablen en la misma línea, el responsable o gerente tiene que actuar como vendedor y consultor a la vez. Tiene que saber traducir las ideas y lenguaje de la seguridad al ámbito del negocio, y no sólo traducir esto, sino venderlo y transmitir su importancia para así obtener el presupuesto necesario para llevarlas a cabo.