stock.adobe.com

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

La ciberseguridad debe ser resultado de una visión holística: IBM

Establecer políticas, técnicas y procesos de ciberseguridad que abarquen todos los entornos informáticos con los que trabaja una empresa, y contar con una fuerte cultura y conciencia de seguridad son fundamentales para una adecuada protección, subraya IBM.

Si bien el perímetro de seguridad de las empresas se ha ido ampliando y volviendo más complejo con la adopción de tecnologías como la nube, los dispositivos móviles o la internet de las cosas, proteger los ambientes centrados dentro de un perímetro de seguridad no debería ser significativamente diferente de la protección de entornos como la nube, dice Francisco García, director de seguridad de IBM México.

Para el experto, la estrategia de ciberseguridad empresarial debería basarse en una visión holística del negocio y de los riesgos que se enfrentan, lo cual requiere no solo un conocimiento claro y completo de esos entornos, y de los sistemas, procesos e información que hay que proteger, sino también de una fuerte conciencia y cultura de seguridad entre todos los miembros de una organización. En esta entrevista, García explica qué se debe considerar para tener una robusta seguridad para la nube, y por qué la concientización y capacitación en ciberseguridad sigue siendo un elemento necesario de las mejores prácticas corporativas.

Francisco García.

De acuerdo con el informe X-Force IRIS Cloud Security Landscape Report presentado por IBM Security, a los equipos de ciberseguridad les falta un mejor control de los recursos que se implementan en la nube, lo que aumenta los riesgos de seguridad. ¿Cómo se puede mejorar la visibilidad y el control del entorno de nube pública, híbrida y multinube con el que se trabaja?

Francisco García: Son seis los puntos que hay considerar para mejorar la seguridad en la nube:

  1. Siempre tener claro el objetivo final de las cargas que se van a mover a la nube. De esta manera, los controles de seguridad se desarrollan teniendo en cuenta la criticalidad y sensibilidad de las operaciones en la nube.
  2. Utilizar simulaciones proactivas, de tal manera que se pueda medir el nivel de preparación de los equipos de seguridad, tanto en eventos esperados como inesperados. De esta manera, se pueden desarrollar planes de mejora de acuerdo con las habilidades técnicas y de operación.
  3. Prevenir las áreas grises (“dead spots”) en las políticas. Dado que en la nube pública la responsabilidad recae tanto en el proveedor con en el consumidor, es de suma importancia tener claridad de dónde empiezan y terminan dichas fronteras, tanto en áreas como la responsabilidad, controles y monitoreo, como en los límites de responsabilidad potenciales antes de cualquier incidente.
  4. Aplicar las mejores prácticas a la seguridad en la nube, ya que, aunque la nube tiene sus propias particularidades, también hay similitudes entre su seguridad y la de otras redes.
  5. Monitorear y controlar bitácoras, de tal manera que se cuente con las capacidades necesarias para detectar malware desde la primera señal de un ataque.
  6. Utilizar inteligencia de amenazas para monitorear las mismas, dado que los actores maliciosos continúan evolucionado su arsenal de tácticas, técnicas y procedimientos con nuevas capacidades direccionadas a los ambientes en la nube.

¿Por qué considera que siguen ocurriendo tantos errores de configuraciones erróneas en los entornos de nube? ¿Se debe a una falta de conocimiento profundo de esta plataforma?

Francisco García: Son dos las principales causas. La primera es, de hecho, la falta de entendimiento de la operación y los riesgos inherentes a las plataformas en la nube; sin embargo, adicionalmente a esto, un reto adicional tiene que ver con las áreas grises (“dead spots”) en las áreas de responsabilidad, controles, monitoreo y límites de responsabilidad potenciales en dichos ambientes.

Es frecuente que las empresas utilicen servicios de nube de diferentes proveedores para satisfacer sus necesidades, especialmente en un entorno como el de covid-19, y esta fragmentación trae riesgos de seguridad. ¿Cómo minimizar los riesgos de seguridad de este escenario, especialmente si usar un solo proveedor no es una opción?

Francisco García: Independientemente de la cantidad de nubes que un cliente esté utilizando, es fundamental que se apliquen las mismas políticas, técnicas y procesos de protección en cada una de ellas, sin perder de vista el uso que se da a estos ambientes, y ajustándolas de acuerdo con la criticalidad y sensibilidad del ambiente operacional.

El uso de herramientas no aprobadas (shadow IT) con acceso a la red corporativa o con información empresarial sensible también suele incrementar los riesgos de ciberseguridad. ¿Cómo se puede lidiar con este problema?

Francisco García: Lo primero que debemos definir es el concepto de ‘Shadow IT’, ya que por sí mismo refleja el problema. Por definición, es el uso de plataformas o servicios tecnológicos, normalmente a través de la nube, sin el consentimiento de las organizaciones de tecnología de la información. De ahí el concepto de shadow: realmente las áreas responsables de gestionar las TI no saben que los usuarios están accesando a otros tipos de servicios y ambientes fuera de las condiciones que ellos ofrecen. En esta definición está la clave. Al momento en el que el ‘Shadow IT’ deje de serlo y se alinee con las políticas, metodologías y procesos que ya tenga la empresa definidos, es como se reducen los riesgos.

Este problema tiene que ver con la cultura en la organización. El tema de la seguridad se tiene que transformar dentro de las empresas en una forma de vida, con una serie de acciones y cuidados que cada individuo de la empresa debe tener para asegurar que existan las condiciones necesarias de ciberseguridad. En otras palabras, hay que extender la cultura a todos los rincones de la organización y hacer a la gente consciente de lo que implica el manejo de información, tener la consciencia de que cualquier servicio al que se esté accesando, fuera de las políticas propias de la empresa, representa un riesgo en sí.

Una de las recomendaciones del informe de IBM Security para mejorar la seguridad es establecer una gobernanza y cultura colaborativas. ¿Cuáles serían los primeros pasos que un CISO o un CIO pueden dar hacia este objetivo?

Francisco García: Este es un tema bien documentado en la industria. Los casos de éxito más relevantes de cómo se reforzó la cultura y el modo operativo, desde el punto de vista de seguridad, me atrevería a decir que tienen que ver con la característica en la que existe una cultura colaborativa y un modelo de gobernabilidad que están alineados con las necesidades de la organización, no solo del CIO, sino también de las líneas del negocio, pero desde una perspectiva de riesgo de negocio. En otras palabras, el CISO tiene que ser muy sensible respecto a cuáles son los objetivos de la empresa y el resto de la organización, incluido el CIO y las líneas de negocio, y sensibilizarse sobre cuáles son las prioridades, controles y objetivos de las áreas de ciberseguridad.

¿Cómo equilibrar el manejo de los riesgos de seguridad con la necesidad de las empresas de mantener funcionando su negocio?

Francisco García: Lo más relevante es llevar a cabo un análisis de los riesgos desde el punto de vista del negocio, y eso es algo con lo que IBM ayuda mucho a las empresas. La mayoría de las organizaciones definen sus estrategias de seguridad basadas en los modelos de cumplimiento, es decir, de acuerdo con lo que los diferentes reguladores piden es como las empresas deciden la manera de atacar las amenazas de ciberseguridad. Un mejor enfoque sería basarse en las prioridades del negocio y alinearlas a los riesgos que representan para su ciberseguridad. Después, mediante un marco de referencia de ciberseguridad –como NIST, COBIT, ISO27001, etc.– hacer un planteamiento de cómo se debería de manejar la seguridad ‘punta a punta’ dentro de la empresa. Es primordial esta alineación entre las prioridades del negocio y los riesgos para la ciberseguridad. Con eso volvemos, de nuevo, al tema de la cultura dentro de la empresa, ya que, a medida que los empleados sean conscientes de lo que implica la ciberseguridad, serán más cuidadosos.

¿Cómo ayudará el uso de herramientas con inteligencia artificial a mejorar las acciones de ciberseguridad empresarial, tales como la detección y la respuesta ante incidentes?

Francisco García: El gran reto que tienen las organizaciones, desde el punto de vista de la ciberseguridad, se basa en dos elementos principales. El primero es la cantidad de fuentes de información que se analizan y el segundo es la cantidad de herramientas que sirven para hacer ese análisis. Cuando sumas estos elementos para poder identificar una posible amenaza, la cantidad de análisis en tiempo real que se genera es enorme, ya que son cientos de miles de fuentes de información que están navegando dentro de la infraestructura en algún momento determinado, y el problema real es cómo encontrar ‘la aguja en el pajar’. Es decir, identificar cuál de todas estas es una amenaza real y que representa un riesgo sobre lo que sucede en mi ambiente. En estos casos es cuando la IA ayuda a los analistas a ser más efectivos en este proceso al identificar los falsos positivos y enfocarse en la atención de las amenazas reales, haciendo que la respuesta sea más eficiente y rápida.

¿En qué se diferencia un enfoque de ciberseguridad que contemple fronteras como la nube o la computación perimetral de una estrategia más centrada en el perímetro?

Francisco García: Este es el punto crucial de todo el tema de ciberseguridad del que hablamos, ya que no debería de haber una diferencia significativa en la manera en que cubres los ambientes en la nube o la computación perimetral, contra los ambientes que están centrados dentro del perímetro. Esta es la clave: no debería de haber diferencia desde el punto de vista de políticas, procesos, metodología o tecnología, sino que debería ser una visión holística. Es muy importante entender las responsabilidades desde el ámbito de ciberseguridad y de control de la configuración, tanto del proveedor del servicio de la nube, como del usuario. Al mismo tiempo, los ambientes en la nube tienen diferencias sutiles, que hay que tener en cuenta en este proceso.

¿Cuál considera que es la parte más complicada de establecer políticas claras de seguridad integral para una empresa?

Francisco García: Entender realmente las prioridades del negocio y poder establecerlas de acuerdo con los riesgos tangibles que implica la operación. Ese es el verdadero reto. Ya que, cuando se logra establecer, de acuerdo con las necesidades del negocio, cuáles son las políticas específicas que debes aplicar, es cuando la ciberseguridad se vuelve un habilitador dentro el negocio.

¿Cuáles cree que son los principales retos de ciberseguridad que tienen las empresas en México?

Francisco García: Me parece que la concientización. Hablo de un tema relacionado con la cultura y la educación, para que todos los involucrados en una empresa, desde el director general hasta cualquier nivel, tengan claro cuáles son las condiciones, cuidados y situaciones que representan un riesgo en la ciberseguridad. Porque es común, y estudios de IBM lo documentan, que la mayoría de los ataques están centrados en métodos de phishing, que posteriormente disparan ataques de malware y generan afectaciones a las diferentes áreas operativas de la organización. Por lo que la cultura alrededor de la ciberseguridad es clave, y con esto evitar que con un clic a un enlace dentro de un mail se ponga en riesgo la seguridad de toda la corporación.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close