¿Lo que todo CISO necesita? Educación constante, controles de cordura y abrazos

Es necesaria una mayor comprensión en las empresas respecto a la seguridad cibernética si se quiere tener una mejor oportunidad de resolver los problemas de seguridad, pide la directora de seguridad de la información (CISO) de Avast, y una de las más respetadas expertas en el tema a nivel mundial, Jaya Baloo.

En entrevista exclusiva para ComputerWeekly en Español, la ejecutiva cuenta cómo fue enfrentarse con un ataque en los primeros días de su llegada a la empresa en 2019, y le ofrece a los profesionales de ciberseguridad y seguridad de la información una serie de consejos sobre cómo mantenerse siempre actualizados a través de una educación constante, y la forma efectiva de enfrentar las presiones de sus puestos con el apoyo de un buen equipo y una red social cercana.

Jaya Baloo, que fue reconocida como una de las principales 100 CISO globales de 2017, comentó que el ransomware sigue siendo una de las principales amenazas –al grado que ella ya le llama ransomewhen, un juego de palabras que implica que seguramente su empresa será atacada por el malware– y subrayó la importancia de las reuniones entre pares para intercambiar información y seguir aprendiendo.

Nota del editor: Esta entrevista ha sido editada por claridad y concisión.

Según una publicación del blog de HPE, se enfrentó a una violación de datos en su primer día de trabajo. ¿Cómo lidió con eso?

Jaya Baloo

Jaya Baloo: Fue una muy buena manera de comenzar un nuevo trabajo, porque significaba que tenía que empezar a trabajar. Cuando me uní a Avast, realmente no sabía cómo estaban organizados los diferentes departamentos, no sabía a quién necesitaba para qué y era mucho estrés. Sin embargo, también fue realmente productivo, fue como si estuviera bebiendo de la manguera contra incendios por todas las cosas que necesitaba aprender muy rápidamente para comprender el impacto del ataque y también lo que había que hacer.

No necesité los primeros cien días, necesité el primer mes para entender todo lo que necesitaba y luego descubrir un plan para seguir adelante, lo cual fue genial. También hace que sea mucho más fácil cuando tienes algo así como una especie de incidente polarizador en la empresa porque hizo que todos los demás también se dieran cuenta de qué era lo más importante que necesitábamos para el próximo año. El incidente me ayudó a construir mi equipo y obtener mi presupuesto. No es algo que le desearía a cualquier otro CISO entrante, pero siempre debes poder buscar las oportunidades frente a la adversidad.

¿Qué tipo de habilidades cree que un CISO debe tener hoy para estar listo para enfrentar riesgos e infracciones, siempre que lleguen?

Jaya Baloo: Creo que educarte constantemente es definitivamente lo más importante, pero no puedes saberlo todo, todo el tiempo, por lo que tener un buen equipo a tu alrededor es súper importante. Ser capaz de hacer las preguntas correctas al equipo, asegurándote de que todavía estás mirando las cosas y hablando no solo hacia el interior de tu equipo, sino con otros compañeros, ya sea en tu industria o sector.

También es importante consultar a tus pares a nivel nacional y regional, porque los actores de amenazas tienden a moverse a través de un sector y también hay, muy a menudo, actores locales o regionales que hacen uso de eventos específicos para tratar de hacerle phishing a una empresa o hacer otro tipo de técnicas de ataque. No puedes aprender mucho si solo te miras a ti mismo, así que realmente tienes que equiparte para tener suficientes ángulos diferentes para examinar el mismo problema.

Muchos medios están hablando del ransomware como el "pan de cada día" de los ataques. En tu opinión y experiencia, ¿cuáles son las principales amenazas que la mayoría de las empresas deben tener en cuenta y qué tienen que hacer para evitar convertirse en víctimas?

Jaya Baloo: Ransomware. De hecho, ya no lo llamo ransomware; lo llamo ransomewhen, porque parece que es cuestión de tiempo antes de que golpee. Mi mayor preocupación son estos ataques de extorsión dual, donde los atacantes no solo exigen un rescate para obtener un código de descifrado, sino que también amenazan con liberar tus documentos públicamente si no se paga el rescate. Me parece realmente difícil para muchas empresas seguir el consejo de 'no pagues el rescate', aunque sigo pensando que eso es lo más sensato. Si no quieres ser aterrorizado, no juegues con terroristas ni trates ni negocies con ellos. Dicho esto, no es lo más fácil de hacer para muchas empresas. A menudo tienen muy poco o ningún remedio más que tratar de recuperar sus datos. En este caso, animo a trabajar en una etapa increíblemente temprana con la policía y la única solución a largo plazo es realmente tener copias de seguridad online y offline, hacer todos los esfuerzos necesarios para evitar que ocurran vulnerabilidades y luego tratar de educar a tu fuerza laboral. Todo esto es realmente bueno, y funciona. Muchos ataques de ransomware se frustran en esas etapas tempranas.

Me parece realmente difícil para muchas empresas seguir el consejo de 'no pagues el rescate', aunque sigo pensando que eso es lo más sensato. Si no quieres ser aterrorizado, no trates ni negocies con terroristas.

Lo que todavía me preocupa, sin embargo, es la prevalencia de la nueva generación de ataques que presentan los wipers. Los wipers son de naturaleza puramente destructiva, ya que no se puede recuperar nada. Una vez más, aquí las copias de seguridad son súper importantes. Creo que nos corresponde a nosotros, como comunidad de seguridad, trabajar a nivel local y regional, pensar en cómo podemos rastrear mejor a los diferentes tipos de actores criminales y estatales que están ocupados creando y desplegando wipers. Porque conoces esa tríada de disponibilidad, integridad y confidencialidad. Si no tienes la disponibilidad, todas las demás apuestas no sirven. Realmente necesitamos asegurarnos de detener y cortar los wipers de raíz.

Hay muchos pasos que las empresas pueden tomar para protegerse de los hackers. Las empresas deben asegurarse de tener múltiples capas de defensa, incluidos antivirus, firewall, detección de intrusiones, actualizar su firmware y software de forma regular e implementar los derechos de acceso de uso adecuados para sus empleados. También es extremadamente importante que las empresas tengan en cuenta el factor humano al considerar la mejor manera de asegurar su negocio. Los humanos cometen errores y a los hackers les gusta explotar los errores humanos, por lo que es vital que las empresas discutan las mejores prácticas de seguridad con sus empleados. Las pruebas de penetración son una excelente manera para que las empresas vean dónde se encuentran sus debilidades y qué podrían explotar los hackers online y offline. Las pruebas de penetración deben realizarse varias veces al año, ya que los hackers siempre están buscando y encontrando nuevos recursos para hackear a las empresas.

También hay una táctica llamada ‘defensa adelantada’, donde en lugar de tener una defensa en profundidad, que estaría dentro de tu territorio, llevas el ataque más hacia el enemigo. Sacar el ataque de tu propio conjunto de dispositivos y redes, y lo que quiero decir con esto no es necesariamente pasar a la ofensiva contra los atacantes, pero creo que todos necesitamos una mejor comprensión de los atacantes mismos. Cómo están atacando, qué infraestructura están utilizando y cómo están apoyando esa infraestructura. Hay tantos atacantes ahora que, por ejemplo, con su infraestructura de comando y control todavía están utilizando algoritmos generados por dominios, lo que significa que nos resulta muy difícil poder rastrearlos y vencerlos. Necesitamos pensar de manera más inteligente sobre cómo obtener una mejor imagen de los atacantes. Podríamos empezar, por ejemplo, haciendo cosas realmente simples como tener una taxonomía común. No siempre sabemos cómo identificar a un atacante, porque tenemos diez nombres diferentes para ellos, por lo que la industria podría comenzar con algunas tácticas simples. Nuestra capacidad para entender a los atacantes y sus herramientas y procedimientos, y tener eso en una especie de simple mecanismo canónico en el que todos podamos hablar el mismo idioma, sería súper útil cuando se trata de llegar a ellos antes de que puedan llegar a nosotros.

En 2021, asistió a un evento en el que entrevistó a algunos hackers éticos con respecto a la capacidad del hacking para salvar vidas. Como resultado de ese evento, ¿diría que el hacking ético realmente ayuda a salvar vidas?

Jaya Baloo: Sí, el hacking ético ayuda a salvar vidas. He hablado con un par de directores de hospitales que han utilizado hackers éticos para comprender el nivel de amenazas que tienen en su hospital. Realmente hay una traducción directa de utilizar una especie de hacking exploratorio para comprender cuáles son tus debilidades, poder resolverlas y estar en condiciones de salvar vidas. Las instalaciones médicas y la infraestructura crítica están siendo atacadas el día de hoy, y si tuvieran conocimiento preventivo de dónde se encuentran sus debilidades, podrían prevenirlos antes de que ocurran. Solía ser el CISO de KPN, y allí solíamos manejar la infraestructura nacional del 911. Hubo la misma historia, tratamos de hacerlo, encontramos vulnerabilidades, las arreglamos y eso significa que cada vez que marcas el 911 en los Países Bajos, alguien responde. Las llamadas pasaron, no hubo ningún problema, porque específicamente probamos esa infraestructura.

Como mujer, ¿qué tan difícil fue para usted alcanzar el trabajo que tiene en este momento?

El equilibrio es clave, y siempre se ha tratado de buscar y encontrar un equilibrio entre las diferentes partes de tu persona y hacer que todo tu potencial te satisfaga.

Jaya Baloo: En general, tienes el escepticismo inicial y dudas. Sin embargo, no sé si eso se debe a ser mujer. Creo que los hombres también pueden tener eso. Creo que siempre se trata de probarte a ti misma y para las mujeres puede ser que tengas que probarte a ti misma más de una vez. He tenido mucha suerte, porque siempre he tenido gente que me ha ascendido, sin que yo tenga que hacer [lo todo] siempre por mí misma y no creo que todo el mundo sea tan afortunado. Es realmente importante reconocer que necesitamos ser capaces no solo de apoyar a las mujeres, sino también de apoyar a todas las personas que son diversas y también a los aspectos de la neurodiversidad y la diversidad de género. Realmente necesitamos pensar más allá de hombres contra mujeres. Hay tantas otras personas que tienen menos ventajas y que necesitamos ayudar.

¿Cuál es la lección más importante que ha aprendido trabajando en la industria de la ciberseguridad?

Jaya Baloo: La importancia de equilibrar las diferentes consideraciones y aceptar que nunca vas a eliminar completamente los riesgos, pero vas a tratar de reducirlos lo mejor posible. Es necesario que haya un equilibrio en términos de cuánto dinero, esfuerzo, presupuesto y personas se están destinando a un conjunto particular de problemas. Encuentro que la seguridad cibernética no es el único lugar donde se debe encontrar este equilibrio, pero hay mucho ruido de las tácticas de “shock and awe” [conocidas como Dominio rápido) que están sucediendo en nuestra industria en este momento. Es necesario que haya un mayor grado de comprensión general dentro de las empresas cuando se trata de seguridad cibernética, si queremos tener una mejor oportunidad de resolver realmente los problemas de seguridad.

¿Qué tipo de amenazas espera Avast para el futuro y cómo se está preparando la empresa para hacer frente a estos nuevos riesgos?

Jaya Baloo: Somos una empresa como cualquier otra empresa. Creo que siempre hemos sido un objetivo realmente interesante, por el tipo de servicios que prestamos, pero también por la cantidad de clientes que tenemos. Las personas están aprovechando la marca Avast para organizar varios tipos de ataques, no solo contra nosotros, sino que abusan de la confianza que tiene nuestra marca para propagar malware mediante la comercialización de malware bajo la marca Avast para apuntar a las personas. Necesitamos hacer un mejor trabajo para comprender la huella de la marca, la que es creada legítimamente por nosotros, así como la huella secundaria potencial que crearían los atacantes para atraer a las víctimas que usan nuestra marca como su atractivo.

¿Cuál es la lección más importante que Jaya Baloo quiere compartir con sus colegas CISO?

Jaya Baloo: Sigue adelante y sigue aprendiendo, y no olvides dar o tomar un abrazo de vez en cuando. Creo que con la ridícula cantidad de estrés al que se enfrentan los CISO, a veces perdemos de vista las cosas realmente importantes que también tenemos que hacer. Los CISO son parte de una empresa más grande; tratar de reducir los riesgos y todo el estrés puede causar una visión de túnel. Abrazos, encontrar amigos en la empresa y saber que tienes esa responsabilidad conjunta y que no todo está en los hombros de los CISO. Realmente animaría a todos a encontrar apoyo social. Recibo el mío de mi equipo. Recibo la mayor inspiración y apoyo de mi propio equipo. Abrazos y controles de cordura, eso es lo que todo CISO necesita.

¿Qué puede compartir para alentar a más mujeres a participar en la industria de ITC/InfoSec?

Jaya Baloo: Si realmente lo piensas, todas las industrias han sido tradicionalmente dominadas por hombres. No puedo pensar en una sola industria que no lo fuera. La entrada masiva de mujeres en el trabajo a una escala significativa solo ocurrió hace unos 50 años. Todavía hay muchas profesiones dominadas por hombres, no solo la industria de la infosec. Realmente se trata de tratar de descubrir cómo podemos positivamente no solo ingresar a la industria nosotras mismas, sino empoderar a otras mujeres para que también lo hagan y qué tipo de cosas podemos hacer para avanzar y ayudar a otras personas a descubrir lo genial que es y elevar sus propias carreras.

Hablo mucho en público y hablo para mostrar lo que es posible, para que otras mujeres escuchen sobre mi experiencia y puedan inspirarse. Sin embargo, a veces me sorprenden los tipos de preguntas que todavía me hacen, como: '¿Es posible tener una carrera en tecnología y tener una familia?'. Yo misma tengo tres hijos, viajo mucho para dar charlas y tengo un trabajo en el que también viajo, así como puestos externos fuera de mis labores en Avast. No es fácil, y nadie dijo que iba a serlo. El equilibrio es clave, y siempre se ha tratado de tratar de encontrar un equilibrio entre las diferentes partes de tu persona y hacer que todo tu potencial te satisfaga. Tu potencial como humana, esposa y madre, pero también como alguien que quiere tener una carrera satisfactoria y objetivos más académicos.