Ciberseguridad, de riesgo compartido a prioridad estratégica

Para Marcelo Felman, director de Ciberseguridad para Microsoft Latinoamérica, cualquier persona dentro y fuera de una organización “puede ser el primer paso, o el primer eslabón para un ataque” que puede paralizar a toda una entidad. Por eso, es fundamental que todos los usuarios entiendan su propia responsabilidad dentro de la estrategia de ciberseguridad.

En esta primera parte de la entrevista que tuvo con ComputerWeekly en Español, el experto explicó que al construir una cultura de defensa digital, las empresas deben enfocarse en tres puntos básicos: robustecer la identidad, gestionar la obsolescencia o los sistemas legados, y concientizar a las personas. Felman dijo que espera que herramientas como la inteligencia artificial, aplicada en ciberseguridad, ayude a mejorar aspectos como la respuesta ante incidentes, la gestión de parches y el manejo de la obsolescencia.

En la segunda parte de esta entrevista, Felman comenta qué deben considerar las empresas con respecto al apetito de riesgo y cuáles son los pasos básicos de una buena estrategia de ciberseguridad.

¿Cuáles son los principales retos de ciberseguridad que tienen las empresas en América Latina en este momento?

Marcelo Felman: Son varios, pero creo que puedo resaltar los tres más importantes. El primero, es el aumento en la digitalización, que básicamente habilita una mayor superficie de ataque. ¿Qué significa eso? Que cuantas más cosas tengo, cuantos más activos digitales tengo –servidores, dispositivos, aplicaciones, impresoras, dispositivos de internet de las cosas–, más tengo que pensar en protegerlos porque por más lugares me pueden atacar. Esa es la idea número uno: mayor superficie de ataque y muchas cosas que administrar.

Idea número dos: la visibilidad de los riesgos. Es decir, ¿cómo tengo claridad de cuáles son los riesgos a los cuales estoy expuesto? Porque en cualquier momento dado queremos monitorear la actividad de un montón de cosas al mismo tiempo. Por ejemplo, en una empresa con cinco mil empleados, un miércoles a las 11 de la mañana, hay cinco mil personas trabajando, enviando mensajes con sus teléfonos, ingresando a sitios web con sus computadoras, mandando a imprimir archivos, ingresando a servidores, dispositivos, cámaras de seguridad, intentos de acceso al edificio, empleados que están físicamente en la oficina y otros que no, las bases de datos, los aplicativos. Todo eso, en tiempo real, estoy investigando y tratando de entender cuál de esas actividades le pertenece a un empleado que está haciendo su trabajo perfectamente, y cuál le pertenece a un cibercriminal que robó su identidad y está tratando de perpetrar un ataque desde adentro. Estoy buscando una aguja en un pajar. Es la idea número dos: además de tener más cosas, es más difícil encontrar los riesgos.

La tercera idea es: ¿a qué nos estamos enfrentando? ¿Qué es lo que tenemos enfrente? ¿Cuáles son los riesgos? Yo creo que podemos hablar de un montón de cosas que están pasando en el mundo: activismo, espionaje, ciberguerra. Pero a la que nos tenemos que enfrentar, principalmente, es al cibercrimen, que son grupos criminales que operan como si fueran organizaciones del sector privado, con un incentivo económico, lo que significa que quieren quitarle dinero a las personas, a las empresas, a las instituciones, a todo el mundo por igual. Estos adversarios, a medida que son exitosos, invierten no solamente en crecer, sino en sofisticarse más todavía, en emplear mejores técnicas, en mejorar sus procedimientos, en automatizar para moverse más rápido.

Esos son [los desafíos] más importantes: superficie de ataque, visibilidad de los riesgos, cibercriminales.

¿Crees que las empresas están preparadas para enfrentar estos desafíos de ciberseguridad?

Marcelo Felman: Las empresas no necesariamente están preparadas. Hay veces en que ponernos al día, pagar una deuda técnica de un problema que antes no teníamos, puede ser difícil. Además, este no es solamente un problema tecnológico, también es un problema humano, porque las personas somos el eslabón más débil. Generalmente, somos la primera línea de defensa, por lo que entonces esa preparación es bidimensional, no solamente tecnológica, sino también [corresponde] al comportamiento de las personas.

¿En qué consiste la cultura de defensa digital?

Marcelo Felman: Cuando hablamos de una cultura de defensa digital, me refiero a que tenemos que hacer que la ciberseguridad sea una prioridad para todo el mundo en la organización. Entender que cualquiera de nosotros puede ser el primer paso o el primer eslabón para un ataque que puede paralizar a la organización completa. Entender la responsabilidad que tenemos cada uno de nosotros al hacer clic en un enlace fraudulento, o al entregar involuntariamente el usuario y contraseña en una campaña de phishing. Cualquiera de nosotros puede contribuir positiva o negativamente a eso.

Lo que me gusta enfatizar, cuando hablamos de cultura digital, es enfocarnos en hacer lo básico bien, lo que llamamos ‘higiene digital’ o prácticas higiénicas de seguridad, que es lo que ya sabemos que funciona. Es lo que todos nosotros deberíamos hacer todos los días en el ámbito de la seguridad.

Un tema muy importante es la identidad. Con el COVID y la crisis sanitaria, a medida que todo el mundo se tuvo que ir a trabajar a sus hogares, se relajó el concepto de trabajar pura y exclusivamente desde la oficina y cambió el perímetro de seguridad. Antes, para conectarnos a la red corporativa, teníamos que pasar un control de acceso físico para dejarme entrar. De la noche a la mañana, tuvimos que permitir que cualquier persona que trabaja conmigo, si tenía usuario y contraseña, pudiera conectarse. Entonces, el perímetro de seguridad pasó efectivamente a ser la identidad. Si alguien tenía mi usuario y contraseña, y no había más medidas de protección, estaba dentro. Esta nueva realidad hizo que tengamos que poner mucho más énfasis en la identidad.

Debemos tener presente por qué es importante tener contraseñas difíciles de adivinar y que sean únicas por cada servicio que uso. La autenticación multifactorial debería ser un imperativo; simplemente es tener algo más que una contraseña, quizás recibir un mensaje o tener un chequeo biométrico. Eso detiene el 99,9 % de los ataques basados en robo de identidad. Mejor todavía sería que eliminemos las contraseñas, que nos movamos a este modelo de passwordless, donde no necesitamos contraseñas.

Lo otro que me parece importante es tratar de mantener nuestros sistemas actualizados, en nuestros teléfonos, computadoras, dispositivos de internet de las cosas. Generalmente, las últimas versiones de la tecnología son las más seguras. Cuando recibimos una nueva actualización, a veces contiene un parche de seguridad para parchar alguna vulnerabilidad descubierta.

La tercera es mantener este modelo mental de confianza cero o zero trust, en inglés, que tiene algunas ideas más específicas en ciberseguridad, pero lo importante es mantener este mantra de ‘nunca confío, siempre verifico’. (…) Hay muchísimas campañas que no son ataques puntuales, son campañas, [y hay que] enseñar a las personas a identificar las señales, que generalmente son:

• hay algún tipo de sentido de urgencia
• algo que es demasiado bueno para ser real
• el uso de alguna figura de autoridad
• siempre hay un llamado a la acción o call to action.

Entrenar, capacitar a las personas me parece que es un pilar importante del tema de la cultura digital que, recapitulo, incluye tres cosas: foco en la identidad, foco en la obsolescencia o los sistemas legados, y foco en el comportamiento de las personas y la concientización.

¿Crees que el avance de la automatización puede ayudar a solucionar el problema del parchado, por ejemplo, especialmente con la integración de los sistemas OT?

Marcelo Felman: Me parece [que hay que] mirar la automatización como un fenómeno de dos caras, [porque] por un lado van a surgir nuevos riesgos y por otro van a surgir nuevas ventajas. Riesgos, porque ahora los ataques también son automatizados, especialmente en estas redes operacionales o redes OT, donde –por ejemplo– actualizar el firmware no es tan fácil como en el teléfono. Muchas veces, esas redes están separadas del mundo IT, así que quien gestiona el parche de IT es distinto del ser humano que gestiona las redes. La idea es que nosotros podamos adoptar también esas tecnologías para mejorar nuestras defensas.

El tema del parchado es particularmente complejo porque, generalmente, los desafíos alrededor del parchado son las dependencias, las integraciones cuando yo tengo sistemas lo suficientemente complejos para que si muevo una pieza se me desconfigura todo. Eso es lo que le agrega complejidad. Muchas veces tengo dar un paso atrás y mirar la foto completa, y creo que la automatización me puede ayudar a planificar, a ver esa foto completa. Porque una de las cosas más importantes que puede hacer la inteligencia artificial es ayudarme a modernizar, que es todavía más importante que la gestión de parchado.

Pero, ciertamente, creo que debemos esperar ver un crecimiento en la innovación alrededor del uso de inteligencia artificial aplicada en ciberseguridad y patch management y gestión de la obsolescencia, sin dudas.

Lea aquí la segunda parte de esta entrevista.