Servicios MDR: la ciberresiliencia empresarial del futuro
Los servicios de Managed Detection and Response, para detección y respuesta gestionadas, protagonizan este encuentro entre responsables de tecnología y seguridad.
La mayoría de las empresas disponen de herramientas de protección contra ataques de malware como el ransomware, pero estas amenazas no suelen ir dirigidas a un único sistema. Las complejas infraestructuras actuales amplían el número de puntos débiles por los que los atacantes pueden acceder para causar el mal.
Esto sin olvidar que, en simultáneo, existen otros riesgos como las campañas de spam, el phishing o la ingeniería social que se dirigen directamente al equipo humano para forzar su fallo.
Para indagar sobre cuál es la solución para evitar caer en esta situación, NetMedia ha reunido de forma virtual a responsables de tecnología y ciberseguridad junto a Sergio Bravo, Regional Sales Manager de Bitdefender Iberia
Miguel Roca, CISO del Grupo Obremo; Antonio Díaz, IT coordinator en SEG Automotive; Pablo Camacho, Director of IT Security Compliance EMEA en Teleperformance; Javier Pérez, CISO de Fujitsu y Francisco Javier de la Fuente, IT director en Puy du Fou, son protagonistas de la charla.
Todos ellos comparten sus experiencias de gestión en el encuentro digital “Servicios MDR: la ciberresiliencia empresarial del futuro”. Durante esta mesa redonda han analizado los retos existentes y las medidas de mejora que se pueden implementar en un mundo cada vez más distribuido donde el trabajo ya no tiene que ser presencial.
Esto incluye resiliencia ante amenazas cada vez más sofisticadas, escalabilidad para proteger las redes y orquestación de la recuperación ante desastres. También ha habido tiempo para hablar de las oportunidades que surgen en el ámbito de la seguridad digital, como valor competitivo que puede decidir el futuro de un negocio.
Bitdefender se dirige al ámbito de la gran empresa y, junto a sus contertulios, propone ir más allá en seguridad. El MDR (Managed Detection and Response o detección y respuesta gestionadas) se posiciona como el siguiente gran paso para lograr un blindaje total de las empresas que han adoptado el trabajo híbrido y expuesto sus cimientos.
A grandes desafíos…
Ante la sofisticación de los sistemas de TI y de la propia actividad de los ciberdelincuentes, el principal reto al que se enfrentan las compañías es ganar “visibilidad y tener cierto control centralizado de toda esa infraestructura”. Así lo considera Miguel Roca, CISO del Grupo Obremo, que recuerda que esta situación, “con el tema de la pandemia, no ha hecho más que complicarse”.
Roca teme especialmente la proliferación de vulnerabilidades de día cero, que obligan a protegerse “de algo que no vemos”. También le preocupa la ingeniería social que engaña a los trabajadores. “Siempre se dice que no sirve de nada invertir grandísimas sumas de dinero en tecnología si no invertimos también en las personas”, advierte.
A esto hay que sumar los crecientes “ataques contra la cadena suministro”. En seguridad el camino más corto no siempre es la línea recta y la mejor forma de llegar a tu objetivo” puede ser “mediante objetivos intermedios”, por lo que, además de “tener vigilados a tus enemigos, también toca tener vigilados muchas veces a los amigos”, apunta este primer orador.
Antonio Díaz, IT coordinator en SEG Automotive, comenta que el ataque a usuarios “cada vez es más común, no solamente en ámbitos de empresa sino también en ámbitos privados”. Así que “de nada nos vale que nos protejamos nosotros si el resto” de los agentes alrededor “está infectado”. Por otro lado, Díaz observa que la complejidad actual provoca que no seamos capaces de gestionar la situación de manera eficiente “y eso en sí mismo puede ser una amenaza”.
Ahora en la empresa se combinan múltiples herramientas, más allá del antivirus, que son necesarias, pero acaban produciendo gran cantidad de información que “no siempre sabemos manejar, entender y descifrar” para una mayor seguridad. Esta es la opinión de Pablo Camacho, Director of IT Security Compliance EMEA en Teleperformance, que solicita soluciones para comprender lo que “está ocurriendo en nuestro entorno”.
Eso sí, si hay que hacer un ranking, para él “el mayor riesgo es el factor humano”. Aboga sobre todo por “la educación de los empleados” para que “sean capaces de entender un ataque de ingeniería social” y “diferenciar cuando algo es legítimo o no”.
Javier Pérez, CISO de Fujitsu, introduce en el debate el tema del ransomware, los ataques de denegación de servicio y las fugas de datos, “tanto desde el punto de vista de carácter personal como lo que tiene que ver con secretos empresariales”. Antes todos estos problemas hay que aplicar “sentido común”. Y a ellos se suman tendencias que complican la superficie de exposición como la nube, los procesos de robotización o el uso confiable de la inteligencia artificial.
El ransomware también es nombrado por Francisco Javier de la Fuente, IT director en Puy du Fou, que no se olvida de otro “gran problema” como son “las fake news” difundidas por redes sociales. Para frenar las noticias falsas, cree que habría que poner la inteligencia artificial “al alcance” de más empresas.
BitDefender constata que en los últimos meses los agentes malignos están aprovechando la “distribución del perímetro” e intensifican los ataques a la cadena de suministro. Otras amenazas son el spear phishing y el fraude del CEO o “ataques dirigidos de phishing” y los deepfakes, incluso con suplantación de voz.
Sergio Bravo, Regional Sales Manager de esta compañía, pronostica que, en “los años venideros”, el ransomware “va a seguir estando ahí, porque está viendo una sofisticación, no solamente en el tipo de ataque”, “sino también en lo que hay por detrás”, que es “el ransomware as a service”. En estos momentos, “cualquiera puede contratar un ataque de ransomware como tal”.
De hecho, “todos hemos sido atacados y otra cosa es que nos hayamos enterado o no”, razona Bravo. Una organización pequeña, por ejemplo, puede servir de “pasarela para poder entrar en esas empresas más grandes, que al final es el objetivo final”.
… grandes soluciones
El viraje forzoso hacia el teletrabajo y la ampliación de las amenazas lleva a las compañías a buscar nuevas soluciones. Miguel Roca apuesta por las “herramientas de inteligencia artificial” y el “análisis por comportamiento”, que avisan de un problema “antes de que algo suceda de verdad”.
“Para nosotros la herramienta más importante es la información”, afirma. Esto pasa por mantener actualizados a los trabajadores sobre las últimas campañas de seguridad y ciberdelincuencia. Es decir, “hacerles partícipes de que una parte muy importante, por no decir la que más, de la seguridad son ellos”, como “la primera y la última línea de defensa. Porque la tecnología no es perfecta”.
Lo único que hay que procurar es no avasallar. “Muchas veces la mejor forma de desinformar es dar más información de la debida”, advierte Roca. “Una mala comunicación en un momento dado ha hecho más daño que bien. Al final”, esto “es un trabajo transversal a toda la organización. Todos en mayor o en menor medida en un campo u en otro tenemos que aportar nuestro granito”, promulga.
“Antes todo el mundo estaba en sus oficinas y cuando veía algo extraño le preguntaba al compañero”, comenta a este respecto Antonio Díaz. Y ya luego la queja se pasaba al departamento de TI. Ahora los empleados “están en sus casas” y no existe tanta comunicación. Para que no haya ni falta ni exceso de información, Díaz aconseja “establecer un único canal” para este tipo de cuestiones, que sea exclusivo y no bombardee con “más de diez mensajes al año”.
Pablo Camacho recomienda complementar esto con “una educación a los empleados dedicada y específica para el tema de trabajar desde casa”. Y, adicionalmente, con herramientas. Por ejemplo, una plataforma que reúna todos los dispositivos móviles para aplicarles las mismas políticas y restricciones. O sustituir el antivirus por “la detección temprana de cualquier tipo de anomalía que pueda suceder. Y, por supuesto patch management” y monitorización de usuarios.
“Ser capaces de tener un plan de detección y, por supuesto, de respuesta” es vital para Camacho, que defiende la máxima de que “una detección precoz es totalmente crucial”. Del mismo modo, Javier Pérez cree que siempre hay que “prepararse para lo peor”, porque vivimos bajo una alta probabilidad de impacto. “Puede ocurrir en cualquier momento”.
La estrategia de seguridad no sólo debe contemplar temas tecnológicos, sino “también organizativos”, como la “concienciación o lo que tiene que ver con todos los equipos de crisis y de soporte y evaluación”, que deben estar “totalmente formalizados” y testearse previamente. A esto Pérez añade “los servicios de detección y respuesta” y controles adicionales como “los ciberseguros”.
Hay muchas herramientas, pero “al final el objetivo es el mismo: intentar ser lo más proactivos posible”, afirma Francisco Javier De la Fuente. Las formas de protección incluyen desde “un canal de comunicación con los empleados” a “pequeños laboratorios” para lanzar “ciberataques a medida” y comprobar las reacciones de los trabajadores recién formados. “El exceso de información muchas veces les hace caer en la desidia”, según De la Fuente, que prefiere el ensayo-error.
En él ámbito de las mejoras, este experto echa de menos “la ayuda pública” en España. Y, más específicamente, “que el gobierno se implique un poco más en concienciar a las empresas y en dotar de herramientas” a las compañías.
“Está clarísimo que al final el eslabón más débil de la cadena de seguridad es por donde se rompe y, si ese eslabón más débil es el usuario, evidentemente hay que poner foco en el usuario”, resume Sergio Bravo, para quien “la parte de la formación es fundamental”.
El directivo de Bitdefender defiende las soluciones de seguridad por capas y propone evolucionar desde la protección tradicional del endpoint a “seguridad avanzada”, basada en machine learning, para combatir el ransomware y demás actividad sospechosa. Esto debe ir acompañado del análisis del riesgo.
A continuación, hay que ir “hacia la ciberresiliencia” con técnicas como MDR o tecnologías que ayudan a la detección y la respuesta temprana, con “visibilidad completa de lo que está ocurriendo dentro de tu organización”.
Mientras, el SOC “es un servicio de monitorización” de primera línea, hace falta algo más para dar forma a un servicio MDR: threat hunting, inteligencia de amenazas y proactividad para una respuesta temprana. Y, en el caso de que algo ocurra, una respuesta rápida.
“Al final”, concluye Bravo, el MDR sirve para que “todos podamos dormir un poco más tranquilos”. Como bonus, conviene utilizar “una consola de gestión centralizada” que “se pueda montar en cloud” para acceso desde diferentes puntos y controlada por un único agente.