Guía definitiva para la planificación de la ciberseguridad empresarial

¿Qué es la ciberseguridad?

En el fondo, la ciberseguridad es el proceso de proteger las redes, los sistemas, las aplicaciones y los datos de TI de ataques, intrusiones y otras ciberamenazas. Esas amenazas provienen principalmente de atacantes externos, pero algunos incidentes de ciberseguridad involucran a empleados y otras personas internas que pueden actuar de manera maliciosa o causar problemas de seguridad inadvertidamente. En su informe anual más reciente sobre violaciones de datos en empresas, publicado en mayo de 2020, Verizon dijo que el 30% de las 3.950 violaciones que documentó durante 2019 involucraron a actores internos.

Los programas de ciberseguridad incorporan una variedad de procesos y herramientas diseñadas para ayudar a las organizaciones a disuadir, detectar y bloquear amenazas. Por lo general, están a cargo de un departamento o equipo de ciberseguridad dirigido por el CISO, el CSO u otro ejecutivo senior. Sin embargo, una máxima entre los profesionales de la seguridad es que todos en una organización son responsables de la seguridad de la información.

Eso hace que la concientización sobre ciberseguridad en toda la organización y la capacitación de los empleados sean vitales para programas exitosos, como se explica en un artículo sobre la construcción de una cultura de ciberseguridad en las empresas escrito por Mekhala Roy. Los equipos de seguridad "deben mirar realmente hacia afuera y no hacia adentro", dijo Candy Alexander, presidenta de Information Systems Security Association (ISSA) International y CISO de NeuEon Inc.

¿Por qué es importante la ciberseguridad en los negocios?

Las protecciones de ciberseguridad débiles o defectuosas pueden provocar problemas comerciales graves. Las violaciones de datos que obtienen acceso a los registros de los clientes y otra información confidencial son una consecuencia de alto perfil de las intrusiones y ataques a la red. Algunos ejemplos destacados incluyen una brecha de varios años al Marriott International Inc. que expuso los datos personales de 500 millones de clientes; una vulnerabilidad de 2017 en la agencia de calificación crediticia del consumidor Equifax que afectó a 147 millones de personas en los EE.UU., y dos violaciones importantes en Yahoo, una en 2014 que involucró registros de 500 millones de cuentas de usuario y la otra exponiendo las 3 mil millones de cuentas que tenía la compañía cuando ocurrió en 2013.

Además de la pérdida potencial de negocios debido a la mala publicidad y las relaciones dañadas con los clientes, estas infracciones tienen un impacto financiero tangible. Por ejemplo, Equifax acordó en julio de 2019 pagar hasta $700 millones de dólares en multas y restitución a las víctimas de su incumplimiento como parte de un acuerdo con las agencias estadounidenses y los gobiernos estatales. Jamil Farshchi, quien fue contratado como CISO de la compañía después de la violación, dijo en una sesión durante la conferencia virtual CyberSecure del MIT Technology Review en diciembre de 2020 que Equifax también ha gastado $1.5 mil millones de dólares en mejoras de ciberseguridad desde la violación.

Otros tipos de ataques apuntan directamente a extraer dinero de las organizaciones. Estos pueden incluir programas de ransomware, que los atacantes utilizan para cifrar archivos de datos y luego exigir pagos para descifrarlos. Los ataques distribuidos de denegación de servicio (DDoS) que cierran sitios web y otros sistemas en línea también se utilizan para intentar que las empresas paguen dinero a los atacantes. En general, Verizon dijo en su informe de mayo de 2020 que el 86% de los incidentes de ciberseguridad confirmados en 2019 fueron motivados financieramente.

¿Cuáles son los beneficios comerciales de la ciberseguridad?

El mayor beneficio que brindan una sólida seguridad de red y otras protecciones de ciberseguridad es la capacidad de evitar problemas comerciales. Las organizaciones pueden continuar operando sin problemas, sin interrupciones o impactos financieros de los ataques habilitados por una ciberseguridad laxa. Para ayudar a mostrar a los ejecutivos de negocios y a los miembros de la junta cómo las iniciativas de seguridad contribuyen a ese resultado, los equipos deben rastrear varias métricas sobre ciberseguridad, como intentos de intrusión detectados, tiempos de respuesta a incidentes y comparaciones de desempeño con los puntos de referencia de la industria.

Los esfuerzos de ciberseguridad también pueden dar sus frutos de manera más amplia al ayudar a las empresas a alcanzar sus objetivos estratégicos y operativos. En otra sesión de la conferencia CyberSecure, Michael Paisley, director de seguridad y resiliencia del proveedor de seguridad de correo electrónico Mimecast, dijo que muchos equipos de ciberseguridad piensan en su propósito "en términos de 'detener la violación'. Pero si está haciendo eso, no necesariamente se está alineando con los objetivos organizacionales". Paisley agregó que tener una "conversación de mayor calidad" con la alta gerencia y la junta debería ser una de las prioridades para los CISO y sus equipos.

¿Qué desafíos de ciberseguridad enfrentan las empresas?

La ciberseguridad es intrínsecamente desafiante, e incluso lo que parece ser una estrategia bien diseñada puede deshacerse por un solo punto débil. Otra máxima entre los profesionales de la seguridad es que necesitan detener todos los ataques para tener éxito, mientras que los atacantes solo necesitan romper las defensas de una organización una vez. Al tratar de evitar que eso suceda, los equipos de ciberseguridad enfrentan una serie de desafíos:

• amenazas de seguridad y métodos de ataque en constante evolución;
• aumentar las oportunidades de ataque a medida que crecen los volúmenes de datos, las operaciones digitales y el trabajo remoto;
• nuevas necesidades de seguridad impulsadas por la expansión del uso de la nube e internet de las cosas (IoT);
• adversarios sofisticados y bien financiados, incluidos los esfuerzos de delitos cibernéticos patrocinados por el Estado;
• el uso de tecnologías de inteligencia artificial y aprendizaje automático para automatizar ataques;
• limitaciones de presupuesto, personal y recursos;
• escasez de trabajadores con habilidades en ciberseguridad; y
• falta de conciencia sobre la seguridad cibernética entre los usuarios comerciales.

En un artículo sobre cómo abordar los principales desafíos de ciberseguridad, el autor de seguridad Michael Cobb citó "un coro creciente de advertencias de expertos en ciberseguridad de que se deben realizar cambios drásticos" para hacer frente a las amenazas actuales y futuras. Eso puede requerir costosas inversiones en nuevas herramientas y procesos, dijo Cobb. Pero, escribió, una estrategia que no compromete completamente los recursos para las capacidades de ciberseguridad "no es solo un riesgo; es un riesgo existencial, uno que pone en peligro trabajos, carreras, clientes e inversores".

Otra alternativa es subcontratar las operaciones de ciberseguridad a un proveedor de servicios de seguridad administrada (MSSP) en un esfuerzo por reducir los costos y eliminar los desafíos y complejidades. En otro artículo, la escritora de tecnología Mary K. Pratt describe 15 beneficios de la subcontratación de ciberseguridad, así como posibles inconvenientes y mejores prácticas para trabajar con un MSSP.

Sistemas y software de ciberseguridad

Las tecnologías de ciberseguridad que Cobb dijo que las organizaciones deberían considerar usar para enfrentar los desafíos actuales de proteger redes y sistemas incluyen las siguientes:

• un marco de seguridad de confianza cero que impone estrictos requisitos de autenticación a los usuarios y dispositivos;
• autenticación multifactorial para verificar usuarios, que generalmente implica enfoques de autenticación de dos factores;
• tokenización de datos sensibles para protegerlos mejor de la exposición si se produce una infracción; y
• herramientas independientes para la gestión y protección de terminales, la prevención de pérdida de datos y la supervisión del comportamiento del usuario.

Eso se suma a tecnologías ampliamente utilizadas como software antivirus, firewalls, redes privadas virtuales (VPN) y herramientas que admiten control de acceso, filtrado de correo electrónico, cifrado de datos, monitoreo de seguridad de red, prevención de intrusiones, escaneo de vulnerabilidades, pruebas de penetración y otras funciones de ciberseguridad. Las herramientas disponibles incluyen una gran cantidad de opciones de software de ciberseguridad de código abierto, cinco de las cuales se destacan en un artículo de Karen Scarfone, consultora principal de Scarfone Cybersecurity.

Los lenguajes de programación también son componentes importantes del conjunto de herramientas de ciberseguridad. En un artículo sobre el valor de la codificación para los profesionales de la seguridad, Mike Chapple, director senior de prestación de servicios de TI en la Universidad de Notre Dame, detalla los usos potenciales de ciberseguridad de cinco lenguajes de programación populares y cómo empezar a aprenderlos.

Tipos de ciberataques

Además de las ganancias financieras del robo de cuentas bancarias y números de tarjetas de crédito, los pagos de rescate y el robo de propiedad intelectual, los ciberataques pueden tener como objetivo interrumpir las operaciones de las organizaciones objetivo o ser una forma de protesta contra las políticas gubernamentales y corporativas. Uno de los factores que complican la prevención de los ataques cibernéticos es que también hay muchos tipos diferentes de los que hay que protegerse.

En un artículo sobre los tipos de ciberataques más dañinos, Cobb explica estos seis ataques comunes:

• Malware. Los programas de software maliciosos utilizan tácticas de ingeniería social y otras medidas para engañar a los usuarios y evadir los controles de seguridad para que puedan instalarse subrepticiamente en sistemas y dispositivos. Los ejemplos incluyen ransomware, troyanos y spyware.
• DDoS. Estos ataques buscan abrumar a los sitios web, servidores y otros sistemas específicos con una avalancha de mensajes, solicitudes de conexión o paquetes mal formados. Se pueden utilizar tanto para exigir un rescate como para interrumpir las operaciones comerciales.
• Suplantación de identidad. Por lo general, el phishing se realiza por correo electrónico y consiste en que un atacante se haga pasar por una persona o entidad de confianza para engañar a las víctimas para que revelen información valiosa. El spear phishing se dirige a personas o empresas específicas, mientras que el whaling persigue a altos ejecutivos.
• Inyección SQL. Este tipo de ataque utiliza consultas SQL maliciosas para atacar bases de datos. En un ataque de inyección SQL, se puede escribir una consulta para crear, modificar o eliminar datos en una base de datos o para leer y extraer datos.
• XSS (cross site scripting). Los scripts entre sitios, conocidos como XSS, inyectan códigos y scripts maliciosos en las aplicaciones web y el contenido del sitio web. Se pueden usar para robar cookies de sesión, propagar malware, desfigurar sitios web y phishing para obtener credenciales de usuario, entre otras cosas.
• Botnets. Una botnet es un grupo de computadoras y dispositivos que han sido infectados con malware y son controlados de forma remota por atacantes. Los usos comunes incluyen correo no deseado, campañas de fraude de clics y generación de tráfico para ataques DDoS.

¿Cuáles son las mejores prácticas de ciberseguridad para empresas?

Scarfone enumera estas seis mejores prácticas para los equipos de ciberseguridad en un artículo que también incluye consejos para los usuarios comerciales sobre cómo evitar ser víctimas de ataques:

1. Actualizar las políticas y prácticas de ciberseguridad según sea necesario.
2. Exigir métodos de autenticación sólidos para todos los usuarios.
3. Actualizar los controles de seguridad de la red para mantenerlos actualizados.
4. Prepararse para compromisos y otros incidentes de seguridad.
5. Mantener actualizados sus conocimientos sobre temas y tecnologías de seguridad.
6. Mejorar la conciencia de seguridad entre los empleados.

Sobre el último punto, Scarfone señaló que los programas de concientización sobre seguridad a menudo "consisten en solo una hora al año de sentarse a ver la misma presentación, y un correo electrónico ocasional". Ese tipo de ejercicio de ‘verificación de casillas’ puede ser una pérdida de tiempo, advirtió. "Lo que se necesita es un cambio cultural más amplio para comprender la importancia de la seguridad y la necesidad de que todos hagan su parte".

En un artículo relacionado, Chapple ofrece consejos más detallados sobre cómo impartir formación en ciberseguridad a los empleados. Su consejo incluye mantener el contenido y los materiales de capacitación atractivos, actualizarlos para incluir nuevas amenazas y requisitos operativos, utilizar una variedad de formatos de capacitación y medir la efectividad de la capacitación para evaluar si es necesario cambiarla.

¿Cómo se puede desarrollar un plan de ciberseguridad?

En su sesión de la conferencia CyberSecure, Farshchi de Equifax abogó por un enfoque práctico para la ciberseguridad y la gestión de riesgos que mapea las principales amenazas que enfrenta una organización a un conjunto de controles básicos destinados a minimizar las amenazas y proporcionar las defensas necesarias. "Eso le permite llegar a algunas decisiones y escenarios de riesgo razonables", dijo.

El proceso de planificación debe comenzar con una evaluación de riesgos de ciberseguridad que identifique los objetivos comerciales clave, los activos de TI esenciales para lograr esos objetivos y los posibles ataques cibernéticos, así como la probabilidad de que ocurran los ataques y el tipo de impacto comercial que podrían tener. En un artículo, Cobb describe el siguiente proceso de cinco pasos para evaluar los riesgos de ciberseguridad:

1. Alcance de la evaluación
2. Identificación de riesgos
3. Análisis de riesgos
4. Evaluación de riesgos y priorización
5. Documentación de escenarios de riesgo

Luego, una organización puede pasar al desarrollo de una estrategia de ciberseguridad, que Scarfone describe como un plan de alto nivel para los próximos tres a cinco años, aunque, escribió, "es casi seguro que tendrá que actualizar su estrategia antes de tres años a partir de ahora". Scarfone especifica cuatro pasos de desarrollo de la estrategia: comprender el panorama de amenazas, evaluar sus niveles de madurez de ciberseguridad actuales y deseados, decidir qué hacer para mejorar la ciberseguridad y documentar los planes, políticas, pautas y procedimientos que forman parte de la estrategia.

¿Cuál es el futuro de la ciberseguridad en las empresas?

Una de las mayores tendencias que afecta a la ciberseguridad es el aumento del trabajo remoto. Eso ya era un problema antes de la pandemia de COVID-19, pero el brote de coronavirus ha aumentado significativamente la cantidad de trabajadores remotos y ha exacerbado los riesgos de ciberseguridad que plantean los empleados que trabajan desde casa. En septiembre de 2020, Gartner colocó la seguridad de las fuerzas de trabajo remotas en primer lugar en su lista de los 10 principales proyectos de seguridad para abordar (aunque dijo que los proyectos no estaban enumerados en orden de importancia).

Michael Cobb ofrece algunos consejos sobre cómo administrar la ciberseguridad para los trabajadores remotos, incluido por qué las organizaciones necesitan tecnologías como VPN y perímetros definidos por software, así como políticas de seguridad y capacitación adaptadas a los trabajadores remotos.

Otras tendencias que están dando forma a las necesidades y desafíos futuros de la ciberseguridad incluyen los siguientes elementos, como lo explicó Karen Scarfone:

• Incremento de la automatización de la seguridad. Si bien la inteligencia artificial y el aprendizaje automático pueden ayudar a los atacantes, también se pueden utilizar para automatizar tareas de ciberseguridad. Por ejemplo, las herramientas de inteligencia artificial pueden detectar rápidamente amenazas potenciales en los datos de eventos de seguridad e identificar patrones de actividades maliciosas que los humanos podrían no ver.
• Adopción de seguridad de confianza cero. Los principios de confianza cero asumen que ningún usuario o dispositivo debe considerarse digno de confianza sin verificación. La implementación de un enfoque de confianza cero puede reducir tanto la frecuencia como la gravedad de los incidentes de ciberseguridad, junto con otros beneficios de confianza cero.
• Mejoras continuas en las capacidades de respuesta. En particular, Scarfone mencionó la necesidad de que las organizaciones estén preparadas para responder a los ataques de ransomware a gran escala, de modo que tengan una estrategia para manejar tales incidentes antes de que ocurran.
• Reconocer los riesgos de seguridad de la cadena de suministro. El ataque masivo de puerta trasera de SolarWinds contra redes gubernamentales y empresariales descubierto en diciembre de 2020 ilustra los posibles riesgos de ciberseguridad que representan las cadenas de suministro, un peligro que exige mejoras en las estrategias y tecnologías de seguridad.

Habilidades de ciberseguridad y trayectorias profesionales

Según un informe de investigación de julio de 2020 publicado por la unidad ESG de TechTarget e ISSA International, el 70% de los 327 miembros de ISSA encuestados dijeron que sus organizaciones se han visto afectadas por la escasez de profesionales calificados en ciberseguridad. Además, el 45% de los encuestados dijo que la escasez de habilidades ha empeorado en los últimos años, mientras que solo el 7% piensa que las cosas han mejorado.

Eso significa que hay muchas oportunidades laborales para los posibles trabajadores de la ciberseguridad. En un artículo basado en el aporte de un grupo de expertos de la industria, el escritor de tecnología Steve Zurier enumera 10 habilidades clave que deben poseer los profesionales de la ciberseguridad: una combinación de habilidades técnicas y blandas que las organizaciones deben buscar en los candidatos a puestos de trabajo. Otros artículos relacionados detallan las preguntas comunes de las entrevistas de trabajo sobre ciberseguridad y cómo responderlas, y describen una trayectoria profesional de cinco pasos en ciberseguridad.

Certificaciones de ciberseguridad y cursos online

Los profesionales experimentados en ciberseguridad que buscan avanzar en sus carreras y los nuevos trabajadores que esperan ingresar al campo, pueden reforzar sus habilidades y currículums obteniendo certificaciones ofrecidas por varios grupos de la industria y proveedores de TI. En otro artículo, Zurier proporciona detalles sobre las principales certificaciones de seguridad cibernética que están disponibles, incluido lo que implican, cuánto cuestan y a qué trabajos se ajustan.

Los cursos en línea son otra vía para reforzar el conocimiento y las habilidades en ciberseguridad. Hay disponible una gran cantidad de cursos gratuitos y de pago. Un artículo de Zurier contiene información sobre cursos en línea de ciberseguridad, útiles y recomendados por un panel de profesionales de la seguridad, incluyendo capacitación ofrecida por proveedores de cursos, grupos de la industria, instituciones académicas y agencias federales de EE.UU.