En ciberseguridad, hay que adaptarse para proteger

Frente a un escenario en el cual las ciberamenazas y los ataques evolucionan aprovechando nuevas técnicas y tecnologías, tener una postura flexible que permita adaptarse rápidamente es fundamental para los directores y equipos de ciberseguridad. Es la recomendación de Marcelo Felman, director de Ciberseguridad para Microsoft Latinoamérica, quien señala que cada nueva amenaza debe incorporarse al análisis de riesgo.

En esta segunda parte de la entrevista que tuvo con ComputerWeekly en Español, el experto señala cuáles son los factores que las empresas deben considerar con respecto al apetito de riesgo para determinar el nivel de protección que requieren. Asimismo, como complemento a las tres ideas principales que deben considerarse para construir una cultura de defensa digital (explicadas en la primera parte de la entrevista), Felman enumeró los seis pasos básicos que una estrategia de ciberseguridad debe integrar para ser efectiva.

¿Qué deben considerar las empresas al establecer su evaluación del riesgo? ¿Cuál es el punto de equilibrio al hacer esta evaluación?

Marcelo Felman: Creo que la tolerancia al riesgo es algo que cada organización íntimamente va a decidir con base en el sector, la industria, el ritmo al que están innovando, etc. Pero puedo dar algunas ideas. Primero, estoy de acuerdo en que, para encontrar el balance, [hay que] plantear los dos extremos que son:

• ‘voy a volver al papel y desdigitalizarme completamente y hacer todo manualmente’, y ahí seguro que no voy a correr ningún riesgo de ciberseguridad (quizá voy a correr otro tipo de riesgos) y probablemente no voy a poder competir con absolutamente nadie;
• y el otro es ‘digitalicemos y vemos qué pasa; no invirtamos en ciberseguridad y vamos para adelante que de última lo resolvemos’.

Esos son los dos extremos, y ninguno va a ser bueno. Me animo a decir que el 100% de las organizaciones está en algún lugar en medio de ese espectro. Ahí tenemos que valorar, ¿cuál es mi tolerancia? ¿cuál es mi apetito al riesgo? Y creo que la primera pregunta que me tengo que hacer es: ¿cuál es el valor de lo que estoy protegiendo? Porque eso va a ser diferente en cada industria. Pero no solamente tengo que medir el apetito al riesgo a nivel organización, sino también en los subsistemas, lo cual vuelve la foto un poquito más compleja.

Cuando hablamos de tolerancia al riesgo, generalmente hablamos de una matriz que tiene dos dimensiones: ¿cuál es el impacto? y ¿cuál es la probabilidad de que eso vaya a pasar? Pueden existir instancias o ciertos tipos de ataques o de ocurrencias que pueden tener una probabilidad muy baja, pero un impacto gigante, y así hay otras combinaciones.

Estas son algunas herramientas que van a permitir a las organizaciones tomar esa decisión de cuál es el balance adecuado [para ellas], y eso varía con base en un montón de factores como los que mencioné. No hay un tamaño que le ocupe a todos, sino que cada quien tiene que encontrar su propio punto. Y hay industrias reguladas, como los servicios financieros o salud, donde no me puedo dar el lujo de tener un bajo apetito al riesgo, porque no solamente estoy expuesto a consecuencias económicas por no poder operar, o reputacionales, sino también normativas y regulatorias.

Con relación a la IA, se habla de su uso por los ciberatacantes y por los expertos en ciberseguridad, pero mencionabas que, además, hay que considerar la protección de los propios sistemas de inteligencia artificial. ¿Están conscientes de esto las empresas?

Marcelo Felman: Bueno, algunas sí y otras no. El día del aniversario de Microsoft hablábamos de qué pasa cuando me atacan usando inteligencia artificial y cómo me defiendo con inteligencia artificial. Y hay una combinación en el medio que es: si estos sistemas son nuevos, ¿cómo los protejo?

No solamente hay riesgos o consecuencias de ciberseguridad derivadas de malas intenciones, sino que siempre puede haber errores o accidentes. Empleados que, involuntariamente, o sin darse cuenta, usaron un sistema y se exfiltró información accidentalmente. También existe el concepto de las alucinaciones cuando se entrena el sistema y simplemente comete un error, porque no es un sistema determinístico, sino probabilístico. Esas cosas son realidades que suceden y que tenemos que atender.

El otro tema es, ¿qué pasaría si un adversario quisiera explotar este comportamiento para causarle un daño a mi organización? Tenemos que recordar que estos sistemas basados en inteligencia artificial tienen datos de entrenamiento y, por otro lado, tenemos un modelo, que es una super mega ecuación matemática. Cuando juntamos esas dos cosas en un proceso de entrenamiento, obtenemos un modelo entrenado que permite hacer inferencias. Cada vez que hacemos inferencias estamos entrenándolo, el modelo está aprendiendo, está mejorando, es decir que su comportamiento puede evolucionar y cambiar sin que cambie una línea de código. Tenemos que pensar cómo aseguramos esto porque, si soy un atacante, [puedo intentar] sobrecargar el modelo con cierto tipo de interacción y enseñarle –por ejemplo– que si una persona se llama ‘Marcelo’, sí o sí le preste dinero. Es una inyección a la inteligencia artificial, por dar un ejemplo de cosas nuevas sobre las cuales tengo que pensar porque es nueva superficie de ataque.

Así surgen riesgos que yo ni sabía que existían, consecuencia del mundo en el que vivimos, que tenemos que aceptar e incorporar a nuestro análisis de riesgo para saber qué voy a hacer al respecto. Y ahí es donde tenemos que liderar con el ejemplo y abordar esto con la seguridad por diseño, de forma predeterminada.

¿Cuáles consideras que son los elementos básicos de una buena estrategia de ciberseguridad empresarial?

Marcelo Felman: Te comparto seis pasos, seis cosas que deberían ser importantes para hacer real [una estrategia de ciberseguridad efectiva]:

1. Primero, robustecer la identidad. Eso tiene que ser una línea prioritaria. Autenticación multifactorial, contraseñas difíciles de adivinar (ojalá sin contraseñas).
2. Número dos, reducir la superficie de ataque. Puertas que están abiertas, que no necesitan están abiertas, las tengo que cerrar proactivamente. Si el 99,5 % de mi empresa vive y trabaja en México, ¿para qué permito el acceso desde Tailandia? Prefiero gestionar excepciones para los empleados que viajan, en lugar de dejarlo abierto para todo el mundo. Si a mis empleados les doy computadoras con Windows, ¿para qué permito que se me conecten de cualquier otro sistema operativo? Quizás hay 50 empleados en Haití que usan otra cosa, no hay problema, generamos excepciones.
3. Tercero, automatizar la respuesta. No solamente quiero reducir la superficie de ataque, sino que, cuando detecto que algo está mal, quiero actuar en tiempo real, (…) tomar una decisión rápida, pedir un doble factor de autenticación y/o bloquear. Entonces, automatizar la respuesta, no solamente la detección.
4. Cuarto, aprovechar las capacidades inteligentes de la nube. Necesito consolidar la data para poder ver qué está pasando en tiempo real en mi ambiente, y la nube lo hace mucho más fácil porque puedo usarla como un punto de concentración o de consolidación, donde guardo todas esas señales y de esa manera las puedo procesar. Si tengo que conectar 10 entornos diferentes, ¿en dónde los conecto? La forma más fácil es en la nube, porque ya tengo conectores y ya tengo la habilidad de procesar. Tengo que consolidar información, detectar amenazas y responder rápidamente. La forma más fácil es en la nube.
5. Quinto, el autoservicio. Muchos ataques de ingeniería social hoy se enfocan en soporte técnico falso, reclutamiento falso y comercio electrónico falso. Cuando le entregamos herramientas de autogestión y autoservicio a los empleados, estamos reduciendo la posibilidad de que tengan que salir a buscarlas. El autoservicio es prácticamente resistente a la ingeniería social. Una idea más es darle a las personas la habilidad de autorreportarse, de monitorear la propia actividad.
6. Al hacer estas cinco cosas bien voy a poder evitar el 99 % de los ataques, no porque sea imposible, sino porque si soy difícil de atacar el cibercriminal se va a ir otro lado. Pero siempre hay un 1 % extra, y ahí es donde tengo que hablar de ciberresiliencia, y de qué es lo que voy a hacer si me pasa cuando me pase. Porque no es cuestión de si me va a pasar, es cuestión de cuándo me va a pasar, y tengo que estar preparado.

El peor momento posible para ponerme a ver qué es lo que tengo que hacer es durante el incidente, así que tengo que estar preparado, tengo que entender qué me puede pasar, tengo que tener preparado mi botón rojo, acorde al nivel de lo que estoy protegiendo.

Creo que ha habido mucho avance, ha habido mucho progreso. En términos generales, las posturas de seguridad están mejorando, pero creo que siempre vamos a tener que reforzar y seguir evangelizando con la concienciación [sobre ciberseguridad].

¿Crees que la concientización de ciberseguridad a los usuarios debería incluir el tema del respaldo?

Marcelo Felman: Sí, definitivamente. Es una parte tecnológica [que hay que considerar]. No solamente tengo que tener la costumbre de hacer respaldos, también las plataformas tecnológicas deberían darme esa habilidad para hacerlo fácilmente con automatización.

Lea aquí la primera parte de esta entrevista.