¿El paso más importante en una estrategia de ciberseguridad? Apostar por las personas

La aceleración en la digitalización de los entornos privados y corporativos, impulsada por la pandemia, y el complejo panorama de ataques cibernéticos al que se enfrentan las empresas han impulsado el nivel de consciencia sobre la ciberseguridad que tienen las organizaciones. Sin embargo, los desafíos persisten en los apetitos desmedidos de riesgo; la falta de visión para minimizar, mitigar o tratar de mejor manera estos riesgos; y la notable brecha de talento en ciberseguridad.

Frente a este escenario, un marco de confianza cero puede ayudar a las empresas a implementar una estrategia de ciberseguridad que adapte los elementos que ya tienen en su entorno, y les permita crecer teniendo en cuenta una adecuada visión y priorización de los riesgos tecnológicos, comenta Erik Moreno, director de ciberseguridad para Minsait México, en entrevista con ComputerWeekly en Español.

El experto subraya, además, que la ciberseguridad “no es un camino de una sola iteración”, ya que es fundamental que la estrategia siga evolucionando, creciendo y modificándose en paralelo con los objetivos comerciales y los procesos empresariales.

Erik Moreno, Minsait.

¿Cuál es tu percepción sobre el crecimiento de la conciencia de ciberseguridad entre las empresas en América Latina?

Erik Moreno: Al hablar de llegar a un estado ideal, en términos de concienciación en las organizaciones, creo que es muy aventurado poder definir este estado de equilibrio porque depende del apetito de riesgo que tenga cada organización, e incluso cada persona y cada directivo dentro de la misma. Y el apetito de riesgo va asociado hacia la visión de negocio, a esa visión de crecimiento.

Evidentemente, si nos comparamos con hace 15 años, hemos crecido mucho más en términos del nivel de concientización de las organizaciones sobre ciberseguridad. Pero el entorno ha cambiado. Hoy vivimos en un entorno mucho más digitalizado, donde el apoyo de dispositivos móviles, de aplicaciones expuestas hacia los clientes, e incluso nuestros mecanismos de compra y de hacer negocios se han modificado. Esa transformación digital, y esa misma evolución de los componentes tecnológicos, nos hacen estar, quizá, todavía por debajo de ese apetito de riesgo actual, pero representa un avance con respecto al pasado.

Yo considero que, en términos generales, las organizaciones tienen mayor concientización, mayor conciencia sobre los riesgos a los cuales estamos expuestos; percibo un incremento en la madurez de ciberseguridad. Sin embargo, no dejo de lado que las amenazas y las ciberamenazas también han ido evolucionando, y este es un camino y una evolución constante que se espera –en un plano utópico– para llegar a superar las amenazas y que vivamos en un estado de equilibrio. Hoy, sin embargo, seguimos por debajo. Todavía hay un gap en términos de conciencia, pero sí hemos evolucionado respecto a los temas de ciberseguridad.

Respecto a la confianza cero, ¿crees que las empresas saben de lo que se trata y lo están aplicando bien?

Erik Moreno:  Si lo veo desde una perspectiva totalmente independiente, hoy las organizaciones quizá no sepan que están utilizando una estrategia de Zero Trust, pero en la implementación tecnológica, sin duda tienen estos principios. ¿Cuál es la diferencia o dónde se podrían ellos dar cuenta? En el momento en el que trasladen su arquitectura desde esa arquitectura por capas –que tradicionalmente se ha llevado en los entornos tecnológicos–a una estrategia o una arquitectura embonable por piezas, como si fuera un rompecabezas. En ese momento van a poderse dar cuenta de que los componentes que ya tienen pueden ser parte de este framework, de este plano de trabajo, de esta práctica holística de Zero Trust.

Quizá hoy siguen viviendo en esta arquitectura de protección por capas, y no son conscientes de que tienen las bases para poder tener una arquitectura Zero Trust. ¿Cuál es el disparador? Se piensa en y se visualiza Zero Trust como una tecnología, y que tengo que cambiar todo mi ecosistema para irme con una marca en particular y hacer una reingeniería de mi esquema hacia Zero Trust. La realidad es que no: Zero Trust no es tecnología, es una arquitectura, una visión de protección. Y si reutilizamos los componentes que tenemos, y sumamos nuevos componentes para poder mitigar los riesgos que hoy no estamos mitigando, seguramente vamos a darnos cuenta de que estamos viviendo en una era de Zero Trust sin que esto represente un cambio tecnológico radical dentro de la estrategia de ciberseguridad. La confianza cero simplemente es no confiar en ningún dispositivo.

El trabajo remoto nos hizo poner más foco en el cuidado de los dispositivos de usuario final, y a esto hay que sumarle ciertos orquestadores para terminar de amalgamar este rompecabezas. Creo que las empresas, sin darse cuenta, tienen principios de Zero Trust; solamente hay que empezar a orquestar todas estas piezas que tenemos en el entorno.

¿Y qué se requiere para esta orquestación? Porque puedes tener componentes de confianza cero, pero si no estás utilizando el framework, al final tienes una cadena con eslabones sueltos. ¿Cómo incorporar todo dentro de este marco?

Erik Moreno: Nuevamente, creo que es la visión de riesgos tecnológicos dentro de la organización [lo que] nos va a dar la visión de dónde están nuestras áreas que requieren mayor foco de protección. Una vez que tengamos identificadas estas áreas, vamos a determinar qué controles de seguridad existen para mitigar esos riesgos. Ahí es donde nos vamos a dar cuenta: “¿Sabes qué?, de 10 piezas de este rompecabezas, quizás tengo cinco”.

Y el paso subsecuente es: “de esas cinco piezas que hoy tengo, ¿qué será primero?, ¿orquestar esas cinco piezas o quizá los otros cinco riesgos que tengo son de mayor peso y de mayor impacto hacia el negocio?”. Entonces podemos implementar otras tecnologías que ayuden a tener las piezas completas del rompecabezas y, ahora sí, quizá apoyarnos de un componente tecnológico que nos ayude a orquestar y tener visibilidad de todos esos comportamientos anómalos en esta arquitectura Zero Trust.

Sin duda, la pieza fundamental para orquestar va a ser la visión de riesgos y, a nivel tecnológico, tener esa observabilidad de todos aquellos comportamientos anómalos para contar con una visión proactiva de las amenazas, no reactiva. Ese también es un segundo error: seguir pensando que monitoreando reactivamente vamos a poder tener un esquema de control.

Entonces, primero es hacer la gestión de riesgos, identificar que tengamos todas las piezas del rompecabezas en casa y si no las tenemos, será una decisión de riesgo comprar nuevos componentes tecnológicos que nos ayuden a mitigar las piezas faltantes, o bien apalancarnos de ciertas tecnologías para tener esta visibilidad y la confianza cero dentro de la organización.

Con toda la complejidad de los entornos de TI, los riesgos en evolución y la brecha de talento, ¿cómo puede una empresa puede salir avante frente a este panorama tan desafiante?

Erik Moreno: Sin duda, la apuesta es por el factor humano, y pese a que existen herramientas como la inteligencia artificial, que nos ayudan a automatizar mucho nuestro trabajo. La apuesta al talento humano debe ser un factor clave.

Esto debe ir de la mano con crear aliados en una cadena de valor, en términos de protección, ya sea con fabricantes, proveedores de servicio y/o con integradores de tecnología. ¿Por qué podemos minimizar la falta de talento con estos tres componentes? Porque, como negocio, te vas a dedicar 100% a generar tu negocio y hacerlo crecer, porque en eso eres experto. Y te haces de estos aliados para poder transferirles el riesgo de la protección de tu organización.

En el momento en el que podamos establecer una estrategia en conjunto –proveedores, clientes y toda la cadena de valor dentro de la entrega de servicios–, seamos conscientes de que cada uno de estos componentes lleva consigo un riesgo, y establezcamos obligaciones, derechos, etc. en torno a esa transferencia de riesgos, tú te vas a poder dedicar a tu negocio y a nosotros –como empresas especializadas en temas de ciberseguridad– nos vas a transferir ese riesgo. [Eso] a través de la entrega de servicios, que no es nada más la implementación tecnológica, sino que es todo un camino de mejora continua.

Nosotros, como organizaciones integradoras de tecnología, empresas de servicios, tenemos que apostar también por el talento, porque no minimizamos el riesgo de no tener este talento, simplemente nos lo estás transfiriendo a nosotros. ¿Cómo hacemos para minimizar este impacto? Con capacitación, concientización, traer a nuevo personal, apostar por nuevas generaciones que traen mucha hambre de aprender.

Y, sin duda, la inteligencia artificial nos ayuda no a reemplazar al factor humano, ni a reemplazar esa inteligencia de amenazas, sino a automatizar las tareas que son mecánicas para focalizar un mayor esfuerzo en las tareas de analítica e inteligencia con los recursos que hoy tenemos.

Para también minimizar un poco el burnout de los expertos de ciberseguridad, ¿no?  

Erik Moreno: Garner habla de esta tendencia del burnout en figuras no nada más operativas, sino ya de nivel gerencial, a nivel CISO, donde se estima que va a haber mucha mayor rotación de personal. ¿Por qué? Por las fuertes presiones en términos de cumplimientos normativos, las excesivas cargas de trabajo y la responsabilidad que llevan los oficiales de seguridad y ciberseguridad en términos de esta resiliencia que está buscando cualquier organización.

En la segunda parte de esta entrevista, el especialista comenta qué deben hacer las empresas para lograr la ciberresiliencia.