La deuda de ciberseguridad, la mayor amenaza para su negocio
Roberto Llop, Vice President, Sales West & South Europe de CyberArk
Las organizaciones se enfrentan a las consecuencias de no asegurar adecuadamente su aceleración digital, de ahí que la pregunta que debamos hacernos sea, ¿qué se puede hacer para mitigar la deuda de ciberseguridad?
Las empresas de todo el mundo se han enfrentado, en los últimos años, a desafíos sin precedentes, tanto por la gravedad de dichos retos como por la variedad. Y no solo los relacionados con la pandemia de la Covid-19, sino también al creciente panorama de amenazas. Ejemplos de ataques como el de SolarWinds, y otros de relevancia, como Codecov y Kaseya, provocaron una gran interrupción a nivel mundial al explotar eslabones débiles en el código. En este sentido, una investigación de CyberArk reveló que, durante el año pasado, el 75% de las organizaciones españolas experimentaron entre uno y cinco ataques de ransomware en el último año, mientras que el 71% de las empresas en todo el mundo sufrió un ataque a la cadena de suministro de software que motivó la pérdida de datos o el compromiso de sus activos.
Aun así, sorprendentemente, el 58% de las organizaciones españolas no ha hecho nada para asegurar su cadena de suministro de software a raíz de dichos ataques, mientras que el 56% ha admitido que si un proveedor se viera comprometido, no podría detener un ataque a su propia organización. Un tema bastante apremiante, ya que, a la hora de abordar estas vulnerabilidades, la inversión en seguridad ha pasado a un segundo plano en favor de priorizar iniciativas digitales para apoyar aspectos como la competitividad o el crecimiento.
Muchas de estas iniciativas digitales han sido una respuesta necesaria en el entorno sanitario y comercial. Las empresas han tenido que pivotar rápidamente hacia la nube, priorizar el teletrabajo o el trabajo híbrido y acelerar la introducción de nuevos servicios digitales para sus clientes. Pero también es importante tener en cuenta que cada iniciativa relevante en el ámbito de TI redunda en el crecimiento de las interacciones digitales entre personas, aplicaciones y procesos. Una avalancha de iniciativas que ha llevado a la explosión de las identidades digitales, que, fácilmente, superan los cientos de miles en cada organización, y cuyas cifras continuarán creciendo.
Aunque el creciente número de identidades digitales no es un motivo de preocupación. El problema surge cuando, con la urgencia por implementar estos proyectos, las organizaciones no siempre aseguran adecuadamente sus identidades, lo cual provoca la acumulación de una mayor deuda de ciberseguridad.
Deuda de ciberseguridad
Por ello, es fundamental que las nuevas identidades humanas y de máquinas que se están creando se gestionen y aseguren correctamente. Según la investigación de CyberArk, la mayoría de estas identidades acceden a datos y activos sensibles para desempeñar sus funciones. Y, sin embargo, menos de la mitad de las organizaciones dispone de controles de seguridad de identidad para sus aplicaciones críticas para el negocio o sus servicios en la nube, mientras que la gran mayoría tiene secretos y credenciales dispersos por todo su entorno DevOps. Las credenciales no seguras y no administradas son exactamente lo que los atacantes pretenden, de tal manera que como los equipos de seguridad luchan por mantenerse al día a la misma velocidad que la aceleración digital en el negocio, las vulnerabilidades siguen creciendo.
Es cierto que la turbulencia de los últimos años provocó que muchas empresas tuvieran que reaccionar rápidamente. Sin embargo, en esta “nueva normalidad” es fundamental que las empresas respondan ante los crecientes niveles de deuda de ciberseguridad relacionada con la identidad. De lo contrario, estarán dejando una puerta abierta para que los ciberdelincuentes entren sin oposición.
Áreas de mayor riesgo
Las credenciales mal protegidas son el área de riesgo número uno para las organizaciones, ya que son la principal vía para que los atacantes accedan a los sistemas de negocio. A partir de ahí, los ciberdelincuentes pueden robar datos o retenerlos para obtener un rescate, interrumpir las operaciones comerciales u obtener credenciales más privilegiadas que permitan el acceso a activos de negocio aún más valiosos.
DevOps, canalizaciones de CI/CD u otros entornos de desarrollo representan otro ámbito donde se debe abordar la deuda de ciberseguridad, sobre todo, porque el 85% de las organizaciones españolan almacenan secretos como contraseñas y claves de cifrado en múltiples lugares en entornos DevOps. De hecho, solo el 3% de las empresas de todo el mundo utiliza una plataforma centralizada de gestión de secretos para administrar las credenciales utilizadas por las aplicaciones. Por su parte, el 85% de los profesionales de la seguridad están de acuerdo en que, actualmente, los desarrolladores tienen más privilegios de los que necesitan. Lo que también supone un mayor riesgo para las empresas.
Entonces, ¿qué hacer?
No hay una fórmula mágica para contrarrestar la deuda de ciberseguridad causada por la aceleración digital. Sin embargo, existen pasos que se deben llevar a cabo para mejorar la gestión de la seguridad; entre ellos, el establecimiento de principios de confianza cero. Es decir, un enfoque que exige que cualquier persona o máquina que intente conectarse al sistema de una organización debe ser verificada primero, antes de otorgarse el acceso.
Según nuestra investigación, las tres principales iniciativas estratégicas que los CISO y CIO citan para implementar los principios de Zero Trust son: seguridad de la carga de trabajo; herramientas de seguridad de identidad; y seguridad de los datos. Las empresas han tenido que ser muy reactivas en los últimos años, pero ahora es el momento de recuperar el control de su seguridad y comenzar a pagar la deuda de ciberseguridad que han acumulado. Lo que significa ampliar el área de Zero Trust: nunca confiar y verificar siempre las protecciones en todo el entorno de TI: desde aplicaciones empresariales y fuerzas de trabajo hasta cargas de trabajo de nube híbrida, durante todo el ciclo de vida de DevOps.