Hace décadas las empresas no pensaban en la sostenibilidad, pero hoy es impensable una firma que no tenga en cuenta lo ambiental. Los especialistas dicen que lo mismo ocurrirá con la ciberseguridad, puesto que los clientes acudirán a ellas solo si pueden confiar en la protección de sus datos.
El problema es que en los últimos dos años se multiplicaron por siete los ataques de la ciberdelincuencia hacia la región, especialmente con fines lucrativos a través del fraude a personas y empresas y la extorsión a empresas e instituciones, en particular a través de los ransomware que encripta y secuestra la información corporativa.
“La transformación digital de los últimos años expandió la superficie de ataque. Los ciberdelincuentes son más sofisticados y más destructivos, además, pero los centros de operación de seguridad no tienen visibilidad del todo el riesgo”, dijo Marcelo Felman, director regional de ciberseguridad de Microsoft.
Felman indicó, durante el foro “Empresas Ciber-resilientes para garantizar la continuidad del negocio” realizado este 26 de julio por BAC Credomatic, que las empresas enfrentan la disyuntiva de volver al trabajo presencial y la resistencia de los colaboradores, lo que impulsa el trabajo híbrido. Este último, a su vez, expande la superficie de conexión y aumenta los riesgos, así como la necesidad de protección.
“Robert Muller, exdirector del FBI, dijo que hay dos tipos de empresas: las que han tenido un evento de ciberseguridad y las que van a tenerlo”, recordó Jorge Betancourth, gerente de servicios tecnológicos de BAC Credomatic. “Las empresas deben prepararse y empezar por identificar lo que se debe proteger”.
Lo están haciendo. Hay un incremento de la inversión en ciberseguridad, de acuerdo con Microsoft. Solo que no es suficiente. Felman indicó que las medidas básicas alcanzan un 98% de protección, pero no hay forma de protegerse cuando un atacante desea atacar a una empresa. “Por eso, la necesidad de resiliencia y de la capacidad para responder”, advirtió Felman.
Principios y enfoque
Los riesgos de ciberseguridad implican riesgos de negocio que provocan la pérdida de posición competitiva, de secretos industriales o gerenciales y de propiedad intelectual de las empresas, aparte del impacto reputacional y de las repercusiones legales para la empresa y para sus representantes.
Las empresas no se pueden confiar. Los cibercriminales no actúan de forma aislada o individual, sino que trabajan organizados y en colaboración, con diferentes niveles de sofisticación tecnológica y algunos con el respaldo de algunos Estados. Lo que le queda a las empresas es mejorar su fortaleza de seguridad informática para reducir el riesgo y, si sufren un ataque, recuperarse lo más pronto posible.
La cantidad de información que se gestiona mediante correos electrónicos, redes sociales, aplicaciones de mensajería, sitios web, las bases de datos, sistemas corporativos y redes internas, así como el volumen de intentos de ataques que una firma recibe hace imposible que una persona pueda detectarlos.
Eso obliga a prepararse de otra forma y a tener estrategias bien definidas basadas en el principio de zero trust o cero confianza, que implica verificar, otorgar los menores privilegios posibles a los usuarios (solo los necesarios para sus funciones y responsabilidades) y asumir que hay brechas de seguridad.
Estrategias
Partiendo de esos principios y enfoques las empresas deben:
1. Fortalecer credenciales
Durante lo que llevamos del 2022 se incrementaron en 230% los llamados ataques password spray, donde los ciberdelincuentes utilizan la fuera bruta para encontrar contraseñas vulnerables.
Las empresas deben instalar herramientas que solo permitan a los usuarios crear claves fuertes (con letras, números y signos) y actualización periódica, reforzadas con autenticación multifactor, ya sea con notificación a otro correo electrónico, número telefónico o sistema biométrico.
Un problema común a muchas empresas son los accesos y las claves creadas para usuarios que ya no están trabajando ahí o que fueron asignados a otras posiciones corporativas. En estos casos, se debe dejar únicamente los accesos correspondientes.
2. Reducir la superficie de ataque
Las empresas pueden utilizar herramientas de inteligencia artificial que detecten intentos de accesos desde continentes, países y otras ubicaciones donde es imposible que esté un usuario o colaborador.
Los sistemas también pueden detectar si un acceso se utiliza para ingresar desde Costa Rica y si a las horas se está realizando un intento desde Asia, por ejemplo, pues es imposible que una persona colaboradora se haya trasladado tan rápidamente de un lugar a otro.
Los ciberdelincuentes estudian a las personas y a las empresas, averiguan quién mueve el dinero y en qué cantidades, y utilizan técnicas para engañar a los usuarios. También investigan a los proveedores y a los clientes. “Cualquier empresa puede ser atacada”, dijo Betancourth. “Hasta Google y Facebook sufren ataques”.
3. Automatizar la respuesta
Con las mismas herramientas de inteligencia artificial se debe bloquear automáticamente esos intentos de acceso anómalos desde ubicaciones sospechosas.
Las mismas herramientas pueden automatizar bloqueos de intentos de acceso que sean sospechosos: por ejemplo, cuando alguien intentó varias veces un acceso y no tuvo éxito, lo cual es señal de un ciberdelincuente insistiendo en ingresar a una cuenta de correo o de un sistema.
Las empresas deben tener un inventario de sus activos digitales (aplicaciones, dispositivos, bases de datos, servidores y usuarios), de los riesgos que enfrentan y de la protección con que cuentan, de si los equipos y los sistemas están actualizados y no son obsoletos, y cuáles son los controles y el monitoreo que se tiene implementado.
Si aún así un ciberdelincuente vulnera los sistemas de la compañía, se debe tener la capacidad para utilizar los respaldos y recuperar los servicios tecnológicos.
4. Aprovechar la nube
Las herramientas de protección que se pueden utilizar son servicios de computación en la nube de diferentes proveedores de ciberseguridad, lo que tiene ventajas de costos, actualización y soporte, y aprovechamiento de avanzadas tecnologías como inteligencia artificial y aprendizaje automático o machine learning.
La nube integra señales, su procesamiento y la disponibilidad de acciones o respuestas automáticas. “Se debe utilizar un puntaje o medición de la seguridad (secure score) con el cual las empresas conozcan cuál es su nivel de protección”, dijo Felman.
Cada tipo de activo debe estar debidamente protegido. A nivel de aplicaciones se debe contar con sistemas informáticos de seguridad o antimalware, actualización de sistemas operativos, aplicaciones corporativas, antimalware y respaldos, protección y uso de equipos de red (que no estén obsoletos) e inventario de accesos y autorizaciones.
5. Empoderar a los colaboradores
Las personas colaboradoras deben ser capacitadas para que tengan capacidad de identificar una amenaza bajo un criterio de cero confianza, autogestionarse los accesos (que puedan ver intentos de acceso usando sus credenciales de extraños y reportarlos o bloquearlos), revisar los accesos y privilegios que tienen autorizados.
Todos deben ser conscientes y responsables del uso de los activos, por lo que se debe delimitar su uso corporativo del personal, los niveles de autorización y acceso a los datos de la empresa que cada uno requiere y quiénes son las personas encargadas de la ciberseguridad, lo que indica el nivel de madurez de ciberseguridad de la empresa.
Lo recomendable es que las empresas definan su cronograma para implementar las medidas y las estrategias de protección informática, incluyendo pruebas (por ejemplo, para verificar que los colaboradores identifican un correo fraudulento o de hackeo ético) y tener métricas para determinar los avances.
“Poner curitas hace más compleja la protección”, advirtió Betancourth. “La ciberseguridad es un proceso que incluye identificar, proteger, detectar, responder y recuperar”.