Nuevas amenazas en ciberseguridad, ¿cómo hacerles frente?
Thales aborda junto a responsables de ciberseguridad y tecnología los riesgos que acechan a sus compañías en estos tiempos de constante cambio e incertidumbre.
El mundo ha entrado en una espiral de ultradigitalización que conlleva profundos cambios en la forma de trabajar y relacionarse. La transformación sufrida por la sociedad durante los últimos años provoca mayor complejidad en el ámbito de la ciberseguridad. El plano profesional se funde con el personal tras la introducción del teletrabajo. Y, cuanto más se modernizan los procesos, más vectores de ataque surgen y más información susceptible podría acabar sustraída por terceros.
El uso incremental de tecnologías cloud, desarrollo ágil y basado en microservicios y dispositivos conectados fuera de la red corporativa, e incluso la crisis económica y el recrudecimiento de las circunstancias geopolíticas con extensiones en el plano de internet, están cambiando por completo el panorama global de la seguridad, y no precisamente a mejor.
Los datos tienen un valor asociado muy importante para las organizaciones, ya sean empresas privadas o instituciones públicas, pero también para los cibercriminales. Esto significa que los responsables de tecnología y seguridad viven sometidos a una gran presión. La amenaza de ataques como el ransomware, con consecuencias catastróficas para el funcionamiento de los negocios, ya es permanente y la complejidad de la infraestructura hoy en día, que va más allá de los sistemas on-premise, parece difícil de gobernar.
Para analizar los principales retos a los que están sometidas las organizaciones y cómo resolverlos, NetMedia ha reunido de forma virtual a Alfonso Martínez, Country Sales Manager de Thales España, y Raúl Suarez, ingeniero de ventas de Thales España. Los dos comparten su experiencia en el encuentro “Nuevas amenazas en ciberseguridad, ¿cómo hacerles frente?” junto con un grupo de seis expertos en tecnología y seguridad de diferentes compañías y sectores.
En este encuentro, todos ellos aportan inquietudes, experiencias, tendencias y puntos de vista sobre los riesgos a los que se enfrentan las empresas privadas y los organismos gubernamentales en el contexto de unas circunstancias inciertas, que varían prácticamente con el paso de los días. Introducen estrategias, buenas prácticas, soluciones y consejos para tener éxito en el presente y el futuro.
Esta conversación entre miembros de la industria también ayuda a poner en valor algunas de las conclusiones más importantes extraídas del Informe sobre amenazas a los datos 2022 de Thales, que encuestó a profesionales de diversas partes del mundo para descubrir lo que está sucediendo en la actualidad.
El dato y la criptografía como primera línea de defensa
La ciberseguridad es una preocupación compartida. Las compañías deben mantener la integridad de la información en un escenario en el que el teletrabajo crece y las herramientas tipo SaaS se extienden. “Por supuesto hay que invertir en todo el tema del perímetro”, comenta Alfonso Martínez, Country Sales Manager de Thales España, pero “hoy en día hay muchos frentes abiertos a proteger”.
En este escenario, “la primera línea de defensa” debería ser “el propio dato”. Thales propone que “sea el propio dato el que se proteja” a través de la criptografía. Esto pasa por “cifrar la información sensible allí donde se encuentre”, poniendo también el foco en “la custodia del ciclo vida” de las claves criptográficas. Así, en caso de ataque, si alguien consigue llevarse la información, “se está llevando confeti”.
Raúl Suarez, ingeniero de ventas de Thales España, señala que los atacantes usan técnicas cada vez más elaboradas. “Estamos viendo ataques muy sofisticados que precisamente se basan en criptografía. Los hackers son capaces de entrar en una infraestructura, escalar privilegios, acceder a datos sensibles y cifrártelos” con ransomware, explica. Su intención es extorsionar al “convertir tus datos en algo que es inservible”, salvo si se paga un rescate.
Esto significa que los directivos deben tener en cuenta toda la cadena de valor de su negocio e invertir en ciberseguridad y en datos. Si la propia empresa utiliza cifrado, consigue rebajar la presión. “Nuestra visión es un poco darle la vuelta” a la estrategia de los ciberdelincuentes, “y hacerlo precisamente al revés: adelantarnos a ese ataque criptográfico” con “nuestra criptografía ya implantada”, explica Suarez.
Y “ya no sólo criptografía, sino eventualmente un control de permisos de acceso a esa información por encima de los permisos habituales de Windows y Linux”, ahonda el portavoz de Thales. “Existen soluciones que te permiten bloquear ese tipo de escalado de privilegios en un ataque de hacking”.
Ante esto “hay dos tipos de clientes”, dice Suarez: aquellos a “los que les han atacado y los que les van a atacar” en un futuro. Es importante actuar ya. Y el dato es uno de los elementos fundamentales que debe definir la estrategia de ciberseguridad. El desarrollo de normativas como el Reglamento General de protección de Datos europeo está ayudando a cambiar conceptos más allá de sectores altamente regulados como el financiero o el de defensa a nivel gubernamental.
El RGPD “ha ayudado a concienciar”, confirma Alfonso Martínez, porque las multas por incumplimiento “pueden llegar a ser muy altas”. A esto hay que añadir la mala prensa y la pérdida de reputación. Para evitar errores, lo primero es “descubrir dónde están esos datos sensibles” y clasificarlos. “No es igual un dato sensible para una aseguradora que para un banco, que para un hospital, que para una empresa pública”, enumera Martínez. “Para unos serán DNIs, para otros serán cuentas corrientes, para otros serán imágenes médicas”.
“Ya no hay empresas grandes o pequeñas, hay empresas que tienen datos sensibles o no”, diferencia el directivo. “Y, en cuanto que todos tenemos datos de nuestros propios empleados o de terceros”, dice, lo mejor es construir las defensas “alrededor del dato”. En este sentido, Raúl Suarez, señala que “cada tipo de dato requiere de una seguridad diferente”, ya que existen diferentes normativas, tipos de acceso y almacenamientos. “Todo el mundo alrededor del dato es demasiado heterogéneo” y “no hay una solución universal”.
Lo que hay son “diferentes niveles de protección para los diferentes tipos de datos y en diferentes escenarios”, insiste Suarez. Además, “no basta con cifrar una información y dejarla cifrada para siempre con esa clave. Eso no son buenas prácticas”, añade Alfonso Martínez. Hace falta “un rotado de claves” con el paso del tiempo, “descifrar el contenido antiguo, volver a cifrarlo”, y a poder ser, gestionarlo todo desde una única consola.
Otra práctica recomendable es aplicar los principios de “security by design”. Esto es, “pensar en la seguridad desde el primer momento” del desarrollo de un nuevo producto o sistema. Así lo aconseja Raúl Suarez: implementar la seguridad al mismo tiempo que se está desplegando la innovación, porque “luego la vida siempre es un poco más fácil”.
“Estar prevenidos, tener buenos planes de contingencia, tener buena línea de defensa (de primera defensa y de última defensa) y estudiar mucho” para mantenerse al día con las nuevas amenazas que van saliendo a la luz, con la cabeza puesta en que “lo que le pasa al de al lado” también “nos puede pasar a nosotros o ya nos ha pasado”, son las líneas maestras de protección para Thales.
Informe sobre amenazas a los datos 2022 de Thales
El Informe sobre amenazas a los datos 2022 de Thales, que ha sondeado la opinión de 2800 personas de 17 países, analiza las últimas tendencias en seguridad. Con la pandemia todavía presionando a los negocios, las expectativas de regreso a las condiciones previas se han derrumbado para la mayoría de las compañías. Tendencias subyacentes como las innovaciones tecnológicas, la necesidad de cumplimiento y el recrudecimiento de los incidentes también fuerzan el cambio.
Los efectos de la COVID se observan en cuestiones como que el 80 % de los CIOS sigue preocupado por los riesgos del trabajo en remoto. Casi la mitad de los responsables de TI ha detectado incrementos en los ataques con respecto al año pasado, con un aumento en el volumen, la gravedad y el alcance de los mismos.
Muchas organizaciones continúan sin estar preparadas para los desafíos de seguridad que suponen las amenazas de ciberdelincuencia o la aceleración de la transformación de la nube y el trabajo híbrido. De hecho, según el informe, un 21% ha sufrido la acción del ransomware. Y el 22 % confiesa haber pagado un rescate por sus datos o asegura que lo pagaría. A esto se suma el hecho de que el índice de cifrado es muy bajo. Solamente un 22 % de los entrevistados responde que el 60 % de sus datos están cifrados.
Al mismo tiempo, aumenta el uso del Software as a Service, con un tercio de los CIOS que usa más de 50 aplicaciones SaaS y un 16 % que usa por encima del centenar. El Shadow IT está cada vez más al alcance de los trabajadores y recrudece el panorama de la ciberseguridad empresarial.
A medida que la crisis sanitaria se ha ido expandiendo por el mundo, “mucha gente se ha tenido que ir a la carrera a utilizar computación en la nube”, analiza Alfonso Martínez. “Dos años después” del inicio de la pandemia, siguen en la nube “sin casi ningún tipo de control”, lamenta. “Gente que antes no tenía ni siquiera un doble factor de autenticación, ahora está en la nube subiendo información” y no parece preocuparse “absolutamente de quién puede acceder” o de si esa información se encuentra protegida en sí misma.
“La computación en la nube está muy bien porque es súper práctica”, reconoce Martínez, pero no hay que confundirse en el tema de la responsabilidad. Los “proveedores de nube te dan servicios. La seguridad que te ofrecen es para proteger esos servicios, pero los datos siguen siendo tuyos”, apunta el ejecutivo de Thales. “Al final del día, uses lo que uses (un PaaS, un SaaS, un IaaS)”, por ejemplo, “el último responsable de los datos sigue siendo la empresa”.
Alfonso Martínez opina que en España hay un “buen nivel en ciberseguridad”, aunque, “no se puede generalizar”. La sensación es que “todavía hay cosas por hacer” para mejorar. “La seguridad no es un estado, para mí es un camino”, define, “en el que constantemente tengo que ir innovando. E, igual que salen nuevos ataques, tenemos que sacar nuevas formas de protegernos”.