Ciberseguridad, La materia pendiente

Invertir ayuda pero no alcanza

Las empresas sobrestiman su resiliencia en seguridad informática

Invierten hoy para protegerse de ataques cibernéticos, pero eso les suele dar una falsa sensación de seguridad. Invertir en tecnología ayuda, pero no alcanza. La verdadera resistencia viene solo con una dedicación sostenida para crear una serie de capacidades estratégicas y desarrollar madurez en el campo de la ciberseguridad.

 

Todos los ejecutivos saben que la ciberseguridad es un tema fundamental porque es central para proteger los activos y la reputación de la organización. Las empresas están invirtiendo más que nunca para conocer dónde son vulnerables, para implementar las últimas soluciones en seguridad y para contratar al talento necesario para contar con una fuerte ciberdefensa.

Una investigación que realizaron integrantes de la consultora Bain encuentra que 97% de las grandes firmas han ordenado auditorías o evaluaciones de ciberseguridad en los últimos tres años y que tres de cada cuatro tienen altos ejecutivos dedicados exclusivamente a ese tema, muchas veces un director ejecutivo en ciberseguridad.

A pesar de esa inversión, la investigación encuentra que muchas firmas siguen demasiado confiadas en la eficacia de sus procesos porque no terminan de comprender la complejidad del desafío.

Específicamente, no están desarrollando las capacidades estratégicas de largo plazo esenciales para un sistema sólido de ciberseguridad.

Si bien las empresas se esfuerzan por cumplir con las mejores prácticas, solo 43% de los ejecutivos creen que sus firmas siguen las mejores prácticas en cíberseguridad. Es más, un análisis más profundo muestra que solo alrededor de 24% cumplen con los requisitos.

Esta brecha representa una gran cantidad de ejecutivos y compañías que creen que están mejor protegidos de lo que en realidad están. Mientras tanto, los ciberataques podrían costar a los negocios unos US$ 6 billones (millones de millones) anuales para 2021, el doble que en 2015.

Una y otra vez surge un patrón conocido en al análisis post mortem de las violaciones de datos: a pesar de un alto nivel de conciencia entre los altos ejecutivos y de importantes inversiones en tecnología de ciberseguridad, las empresas siguen vulnerables y esas debilidades son aprovechadas sin consideración.

Un factor clave en muchas de esas violaciones es que los líderes no entienden las características de un buen plan de ciberseguridad y subestiman el rigor que es necesario aplicar para lograrlo. En consecuencia, encaran el tema a nivel táctico cumpliendo con los pasos, pero sin atender el trabajo serio de elaborar las profundas capacidades estratégicas necesarias para lograr una verdadera resiliencia en ciberseguridad.

 

Identificar las debilidades comunes

Hasta cierto punto, los ejecutivos parecen comprender los límites de su postura en ciberseguridad. En una encuesta reciente de la firma de seguridad FireEye, algo más de la mitad de los que respondieron no cree que su organización reaccionaría correctamente a un ciberataque. La preocupación está justificada. Una enorme cantidad de factores tienen que funcionar bien para lograr resiliencia en ciberseguridad y esa complejidad abruma a los ejecutivos.

El primer lugar para ir a buscar soluciones suele ser la tecnología. Las grandes empresas usan una cantidad de productos y servicios para satisfacer sus necesidades e invierten en políticas y estándares para que sus defensas se mantengan proactivas y actualizadas.

El mayor desafío consiste en asegurar constancia para que esas políticas y estándares se apliquen adecuadamente en todos los niveles de las organizaciones globales complejas. Incluso la aplicación de un simple parche de seguridad puede llevarles meses o incluso años. Eso deja a los sistemas vulnerables en el ínterin. Algunas de las grandes violaciones de datos de los últimos años se produjeron por fallos en la actualización de los servidores web contra vulnerabilidades conocidas.

La tecnología es solamente una herramienta. Como hay tantos ciberataques que comienzan aprovechando vulnerabilidades en la conducta de los empleados, la educación también es sumamente importante. Menos de la mitad de las compañías encuestadas dan regularmente capacitación en ciberseguridad al personal y solo 55% brindan adecuada capacitación a sus profesionales en ciberseguridad.

Otra vulnerabilidad común es el riesgo que representan los terceros, pero menos de la mitad de las compañías evalúa regularmente la postura en seguridad que tienen sus proveedores y socios.

 

Los bancos locales, el principal objetivo

Los datos de la plataforma Fortinet revelaron que en América Latina y el Caribe se registraron 85 billones de intentos de ciberataques en 2019. En Argentina fueron más de 1.590 millones de intentos de ciberataque el año pasado. Eso se traduce a alrededor de 4,4 millones de intentos por día, la mayoría de los cuales siguen la tendencia de Latinoamérica y están especialmente diseñados para entrar en redes bancarias, obtener información financiera y robar dinero y datos.

Entre las amenazas más detectadas durante 2019, se encuentran dos ataques dirigidos específicamente al sector bancario: DoublePulsar y Emotet. DoublePulsar es un ataque tipo “backdoor” que utilizó el ransomware WannaCry y en intrusiones a bancos de la región en 2018. Teniendo en cuenta que aprovecha vulnerabilidades ya resueltas, su uso continuo evidencia la gran huella de software sin actualizaciones en Argentina que afecta tanto a empresas como a individuos. Por su parte, Emotet es un botnet dirigido a bancos que permite que un atacante remoto puede emitir comandos para realizar diferentes operaciones como descargas de malware y ransomware.

 

Tendencias claves

El 29% de empresas locales víctima de ciberataques

Solo en 2019, los ciberataques costaron más de US$ 1 billón (millones de millones), una cifra que representa un aumento respecto a los US$ 600.000 millones que tuvo en 2018. El costo es tres veces más alto que el causado por los desastres naturales

 

Los datos se han obtenido de un estudio realizado por la consultora Ipsos para Microsoft Argentina que revela, además, que la mayoría de los ejecutivos (76%) considera poco probable ser víctima de algún ataque. Apenas el 17% tiene personal encargado de la seguridad informática y casi tres de cada 10 (27%) dijeron que no toman absolutamente ninguna precaución para evitar ataques.

El Reporte de Seguridad de Microsoft del último año incluye cómo evolucionaron los ataques que la Argentina recibió en 2019.

Las amenazas a la ciberseguridad son cada vez más complejas y evolucionan de manera más rápida. Los conocidos malware y el ransomware se convierten en amenazas pasadas de moda, aquellas que apuntan a la identidad se hacen más fuertes.

Microsoft, junto a VU Security, analizaron y presentaron las cinco tendencias en ciberseguridad que llegan en 2020.

 

Con prioridad media

El 29% de las empresas argentinas dijo que fue víctima de ciberataques; sobre el total de afectadas, el 35% lo fue durante los últimos 12 meses. Las principales consecuencias fueron el daño a programas o sistemas (58%), la pérdida temporal (58%) o permanente de archivos (42%) y la alteración o destrucción de datos personales (30%).

Respecto a las medidas de protección tomadas para prevenir ciberataques, la mayoría (56%) adquiere software –antivirus, firewall, antispam, etc.– para mejorar la seguridad. El 36% invierte en capacitaciones a los trabajadores para prevenir amenazas, el 35% contrata proveedores externos mientras que el 27% no toma ninguna medida.

De acuerdo a los datos obtenidos, las empresas mejor preparadas en temas de ciberseguridad son aquellas que sufrieron ataques en el pasado, ya que las medidas que se toman son de carácter reactivo.

Otros datos destacados son:

• Un 51% de las empresas declaró sentirse vulnerable frente a eventuales ataques. Las compañías pertenecientes al sector de servicios son las que manifestaron una mayor sensación de vulnerabilidad (57%). Sin embargo, la mayoría de los entrevistados (76%) dijo que es poco o nada probable que su empresa sufra de algún incidente.
• La seguridad informática para los directivos de las compañías de Argentina tiene una prioridad media, ya que solo el 44% manifestó que es una preocupación alta o muy alta.
• Solo el 17% de las empresas cuenta con algún especialista en seguridad, esto deja a la gran mayoría con altos riesgos de sufrir ciberataques.
• La principal preocupación es la protección contra fugas de información (74%) seguido de que un ataque afecte a la continuidad operacional de la compañía (67%) y de amenazas como phishing, ransomware(66%).

 

Tendencias en ciberdelitos

La ciberdelincuencia es una actividad económica multimillonaria y la ciberseguridad es uno de los desafíos más importantes de la era digital. En la última década la tecnología evolucionó muy rápido y al mismo ritmo lo hicieron los ataques cibernéticos.

Según datos del Reporte de Seguridad de Microsoft tanto a escala mundial como en América latina, el índice de malware está decreciendo. Durante el 2019 Argentina tuvo el segundo índice más bajo en América latina después de Chile. En nuestro país se encontró un 5,43% de malware, una cifra muy por debajo del 24,67% de Etiopía, el país más afectado a escala mundial.

El ransomware es un tipo de ataque que también viene decreciendo; de hecho, en 2019, Argentina tuvo el nivel más bajo del Sudamérica. Los atacantes se volcaron más hacia las empresas porque muchas veces pagan los rescates, mientras que los consumidores aprendieron a tener resguardada su información en la nube. Esto los hace menos susceptibles a ser víctimas de este tipo de ataques.

El phishing continúa creciendo a escala global; sigue siendo el principal vector de ataque para obtener credenciales de acceso. El nivel de sofisticación de los ataques está mejorando, lo que hace que sea más difícil detectarlo y bloquearlo.

 

Vulnerabilidad

Siete predicciones para

tener seguridad en 2020

Según los pronósticos de ciberseguridad de WatchGuard Threat Lab, a pesar de que las amenazas que nos acechan no serán menos intensas, 2020 sería el año de la seguridad simplificada.

 

El ransomware es una actividad de miles de millones de dólares para los hackers. En la última década se vieron diferentes cepas de este malware que causaron estragos en todas las industrias. El ransomware continuará evolucionando para maximizar las ganancias. En 2020, WatchGuard Threat Lab cree que se centrará en la nube.

Recientemente, el ransomware “escopeta” no dirigido se estancó y existe una muestran preferencia por ataques dirigidos contra industrias cuyas empresas no pueden sufrir períodos de inactividad. Estos incluyen atención médica, Gobiernosy sistemas de control industrial.

El ransomware es una actividad de miles de millones de dólares para los hackers. En la última década se vieron diferentes cepas de este malware que causaron estragos en todos los sectores. A medida que las empresas mueven sus servidores y datos a la nube, se convirtió en una ventanilla única para todos nuestros datos más importantes.

 

GDPR llega a los Estados Unidos

Hace dos años entró en vigor el Reglamento General de Protección de Datos (GDPR), que protege los datos y los derechos de privacidad de los ciudadanos de la Unión Europea. Hasta el momento, pocos lugares fuera de la UE tienen leyes similares, pero WatchGuard espera ver que más Estados estén más cerca de igualarlo en 2020.

El RGPD se reduce a imponer restricciones sobre cómo las organizaciones pueden procesar los datos personales, y qué derechos tienen las personas para limitar quién puede acceder a esos datos. Hasta la fecha, las compañías fueron multadas con millones de euros por infracciones del GDPR. Incluidos juicios masivos de €50 millones y £99 millones en 2019 contra Google y Marriott, respectivamente. Si bien la carga que recae sobre las empresas puede ser intensa, las protecciones proporcionadas a las personas son muy populares.

Mientras tanto, EE.UU. sufrió una plaga en la privacidad de las redes sociales en los últimos años, sin un equivalente GDPR real para proteger a los consumidores locales. A medida que organizaciones como Facebook filtran más y más de nuestros datos personales, los ciudadanos estadounidenses comienzan a clamar por protecciones de privacidad como las que disfrutan los europeos.

Hasta ahora, solo California respondió aprobando su Ley de Privacidad del Consumidor de California (CCPA), que entró en vigencia a principios de 2020. A pesar de que un senador que aprobó el CCPA en California propuso un proyecto de ley de la Ley Federal de Privacidad de los Datos del Consumidor (CDPA), no se cree que obtenga suficiente apoyo para aprobarlo en todo el país en 2020.

Sin embargo, se espera que más estados reclamen la protección de sus propios actos de privacidad del consumidor a nivel estatal. En 2020, WatchGuard anticipa que 10 o más estados promulgarán leyes similares a la CCPA de California.

 

Los sistemas de registro electoral serán objetivo durante las elecciones en 2020

La piratería electoral fue un tema candente desde las elecciones estadounidenses de 2016. En los últimos cuatro años, los ciclos de noticias cubrieron todo, desde información errónea difundida en las redes sociales hasta presuntas infracciones de los sistemas estatales de votación.

Durante las elecciones presidenciales de EE.UU. de 2020, se cree que los actores de amenazas externas se centrarán en las bases de datos de votantes estatales y locales. Con el objetivo de crear un caos electoral y activar alertas de fraude.

Los expertos en seguridad ya demostraron que muchos de los sistemas en los que confiamos para el registro de votantes y la votación el día de las elecciones sufren vulnerabilidades digitales significativas. De hecho, los atacantes probaron algunas de estas debilidades durante las elecciones de 2016, robando datos de registro de votantes de varios estados.

Si bien estos atacantes patrocinados por el estado parecían trazar la línea evitando alterar los resultados de la votación, se sospecha que su éxito anterior los alentará a manipular el sistema de registro de votantes. Esto para dificultar que los votantes legítimos presenten sus votos y cuestionar la validez de los resultados.

 

Durante 2020, el 25% de todas las violaciones ocurrirán fuera del perímetro

El uso de dispositivos móviles y los empleados remotos aumentó el teletrabajo. Una encuesta reciente realizada por WatchGuard y CITE Research dio cuenta de que 90% de las empresas del mercado medio tienen empleados que trabajan la mitad de su semana fuera de la oficina. Si bien el trabajo remoto puede aumentar la productividad y reducir el desgaste, viene con su propio conjunto de riesgos de seguridad. Los empleados móviles a menudo trabajan sin ninguna seguridad de perímetro de red, perdiéndose una parte importante de una defensa de seguridad en capas. Además, los dispositivos móviles pueden enmascarar signos reveladores de ataques de phishing y otras amenazas de seguridad. WatchGuard cree que en 2020, una cuarta parte de todas las violaciones de datos involucrarán a teletrabajadores, dispositivos móviles y activos fuera de las instalaciones.

 

La brecha de habilidades de  ciberseguridad se amplía

La ciberseguridad, o la falta de ella, se generalizó. Parece que no pasa un día en que el público en general no se entere de alguna nueva violación de datos o ciberataque. Mientras tanto, los consumidores también tomaron conciencia de cómo su privacidad de datos personales contribuye a su propia seguridad. Como resultado, no sorprende que la demanda de experiencia en seguridad cibernética esté en su punto más alto.

Según WatchGuard el problema es que no se cuenta con los profesionales calificados para satisfacer esta demanda. De acuerdo con los últimos estudios, casi tres millones de trabajos de ciberseguridad quedaron sin cubrir durante 2018. Las universidades y las organizaciones no están graduando a candidatos cualificados lo suficientemente rápido como para satisfacer la demanda de nuevos empleados de seguridad de la información. Tres cuartas partes de las empresas afirman que esta escasez en habilidades de ciberseguridad los afecto.

Los atacantes encontrarán nuevas vulnerabilidades en los teléfonos móviles 5G.

El estándar celular más nuevo, 5G, se está implementando en todo el mundo y promete grandes mejoras en velocidad y confiabilidad. Desconocido para la mayoría de las personas, en grandes áreas públicas como hoteles, centros comerciales y aeropuertos, la información de voz y datos de su dispositivo habilitado para celulares se comunica tanto a las torres celulares como a los puntos de acceso wi–fi ubicados en estas áreas públicas.

Los grandes operadores de telefonía móvil hacen esto para ahorrar ancho de banda de red en áreas de alta densidad. Sus dispositivos tienen inteligencia incorporada para cambiar automática y silenciosamente entre celular y wi–fi. Las investigaciones de seguridad expusieron algunos defectos en este proceso de transferencia de celular a wi–fi.

WatchGuard sostiene que es muy probable que veamos una gran vulnerabilidad de seguridad de 5G a w-fi en 2020. Esto a su vez podría permitir a los atacantes acceder a la voz y / o datos de teléfonos móviles 5G.

 

Empresas más vulnerables

Los ataques son inevitables

Los responsables de la seguridad informática en empresas de todo el mundo se sienten impotentes cuando se trata de luchar contra la ciberdelincuencia. Carecen de influencia en la sala de juntas y les resulta difícil justificar los presupuestos que necesitan.

 

Este fenómeno es una de las conclusiones de un reciente informe presentado por Kaspersky Lab, en el que se encontró que el 78% de los CISO (Chief Information Security Officer) en América latina ahora creen que los ataques por deficiencias en la seguridad cibernética son inevitables, y los grupos que tienen una motivación financiera son su principal preocupación.

De la nube a los malintencionados: la superficie de ataque se está ampliando en las empresas actuales

El aumento de amenazas cibernéticas, combinado con la transformación digital que muchas empresas están experimentando actualmente, hace cada vez más importante la función del CISO en las empresas de la actualidad. El informe de Kaspersky Lab muestra que ahora hay más presión sobre los CISO: a escala global, el 57% de ellos considera que las complejas infraestructuras relacionadas con la nube y la movilidad son un gran desafío, y al 50% le preocupa el aumento continuo de los ataques cibernéticos.

Los CISO creen que las pandillas criminales con motivación financiera (40%) y los ataques internos con fines maliciosos (29%) son los mayores riesgos para sus empresas, y que estas son amenazas extremadamente difíciles de evitar, ya sea porque se enfrentan a ciberdelincuentes “profesionales” o porque son ayudados por empleados que debieran estar en el bando correcto.

 

Las dificultades de la justificación presupuestaria están haciendo a los CISO competir contra otros departamentos

Según el informe, los presupuestos asignados a la ciberseguridad están creciendo. Un poco más de la mitad (55%) de los CISO en América latina espera que sus presupuestos aumenten en el futuro, mientras el 38% de los encuestados globalmente espera que estos sigan siendo los mismos.

No obstante, los CISO se enfrentan a grandes desafíos presupuestarios, ya que es casi imposible para ellos ofrecer un claro rendimiento del capital invertido o una protección al 100% contra los ataques cibernéticos.

Por ejemplo, más de un tercio (36%) de los CISO en el mundo dice que no pueden tener certeza de los presupuestos de seguridad de TI que se requieren, ya que no pueden garantizar que no haya ninguna vulnerabilidad. Y, cuando una empresa contempla los presupuestos de seguridad como parte del gasto total de TI, los CISO se van a ver compitiendo con otros departamentos.

La segunda razón más probable para no obtener presupuesto es que la seguridad a veces es parte del gasto general de TI. Además, un tercio de los CISO (33%) encuestados globalmente dijeron que el que les podrían asignar se prioriza para proyectos digitales, para la nube u otros proyectos de TI que pueden demostrar un rendimiento más claro del capital invertido.

 

A medida que avanza la transformación digital, los CISO necesitan ser escuchados por los directivos de la empresa

Los ataques cibernéticos pueden tener consecuencias drásticas para las empresas: más de una cuarta parte de los encuestados en el estudio global de Kaspersky Lab identificó los daños a la reputación (28%) y los financieros (25%) como las consecuencias más críticas de un ataque cibernético.

Sin embargo, a pesar del impacto negativo de un ciberataque, solo 26% de los líderes de seguridad de TI encuestados son miembros de la junta directiva en sus respectivas empresas. De los que no son miembros de la junta, uno de cada cuatro (25%) cree que debería serlo.

La mayoría de los líderes de seguridad de TI (58%) cree que participa adecuadamente en la toma de decisiones de la empresa en este momento. Sin embargo, dado a que la transformación digital se vuelva esencial para la dirección estratégica de las grandes empresas, la ciberseguridad también debería hacerlo. La función del CISO debe desarrollarse para reflejar estos cambios, dándoles la capacidad de influir en las decisiones.

El gran desafío en América latina es cambiar la percepción de los líderes de las empresas. Históricamente, solo se toma en serio la inversión en seguridad después de una violación o filtración de información seria. Desafortunadamente, antes de eso, las negociaciones en relación a la ciberseguridad siempre favorecen al precio más bajo. Lo más preocupante es que en lo que más y más empresas se unen a la transformación digital, las posibilidades de que sufran una brecha de seguridad aumenta.

 

Detección de riesgos

Las empresas temen no poder

responder a las amenazas

Más de la mitad de las empresas encuestadas para un estudio de LNS Research aseguraron que sus instalaciones industriales han sufrido alguna violación a la ciberseguridad, lo que es motivo de preocupación para muchos empresarios de la industria, que temen perder información importante que perjudique su producción.

 

Para combatir estas amenazas impredecibles de ciberseguridad industrial, que evolucionan rápidamente y a diario, Rockwell Automation propuso un nuevo servicio de detección de amenazas denominado Claroty, firma mundial con la que KPMG tiene un acuerdo estratégico.

Servicios de ciberseguridad como este protegen las cadenas de suministro de amenazas desconocidas y brindan beneficios operacionales. La plataforma Claroty crea un inventario de los activos de la red industrial de un usuario, monitorea el tráfico entre ellos y analiza las comunicaciones en su nivel más profundo. Las anomalías detectadas se informan al personal de planta y de seguridad con información procesable.

Los Servicios de Detección de Amenazas ayudan a proteger las operaciones conectadas de tres formas claves:

1. Identificar y proteger: Identificando todos los activos de control industrial conectados en red y sus vulnerabilidades, para ayudar a la empresa a saber que proteger.
2. Detectar: Monitoreando las redes no solo por amenazas conocidas sino, más importante aún, por tráfico o comportamiento anómalo, para alertar a la empresa de un incidente de seguridad, posiblemente antes de que suceda.
3. Respuesta y recuperación: Desarrollando planes para contener, erradicar y recuperarse de los ataques para mantener las operaciones en funcionamiento o para retornar más rápido a un estado de operación completo.

 

“Un aspecto aterrador de las amenazas de seguridad es lo que no se sabe sobre ellas: qué técnicas usarán, qué vector de ataque aprovecharán, qué vulnerabilidades explotarán –explica Umair Masud, director de Estrategia de Tecnología de Seguridad de Rockwell Automation–. Los servicios le entregarán tranquilidad a las compañías al proteger de amenazas impredecibles, no solo una de sus instalaciones, sino su cadena de suministros completa”.

 

Tecnologías inteligentes conectadas

¿Es la Internet de las

Cosas o de los peligros?

La consultora McKinsey & Company al analizar la ciberseguridad y los automóviles conectados, afirma que “los productos solo pueden ser seguros si se diseñan teniendo en cuenta la seguridad”.

 

Los fabricantes de automóviles son representativos de las oportunidades y los desafíos que enfrentan todos los fabricantes de hardware de Internet de las Cosas (IoT). IoT está transformando la industria automotriz, ya que los fabricantes de automóviles están implementando una increíble gama de tecnologías inteligentes conectadas.

Pero además de crear una experiencia de usuario increíble, deben centrarse en la seguridad del usuario. Un reciente informe de McKinsey & Company sobre la ciberseguridad y los automóviles conectados afirma que “los productos solo pueden ser seguros si se diseñan teniendo en cuenta la seguridad”. Esa mentalidad, llamada Secure by Design, debe ser el principio rector para todos los dispositivos de IoT, sin importar su tamaño o aplicación de negocio o consumidor.

Los productos necesitan seguridad en todo lo que se refiere a IoT. Incluso porque hay una gran cantidad de datos privados del consumidor que se transfieren hacia y desde estos servicios vulnerables al ataque si se dejan sin garantía.

 

Mayor conectividad, mayores riesgos

A medida que los autos se vuelven más complejos, requieren más unidades de control electrónico y líneas de código. La conectividad permite capacidades de auto conducción o asistencia al conductor, y características de seguridad mejoradas. Pero la conectividad también aumenta el riesgo, ya que estos complejos sistemas de seguridad y navegación son más vulnerables a ser hackeados.

Eso es cierto en todos los dispositivos que se conectan a Internet. Por ejemplo, la investigación del Journal of the American College of Cardiology advierte que los hackers informáticos pueden atacar a los marcapasos y otros dispositivos médicos eléctricos con fines políticos, financieros o personales.

Más proveedores de partes crean una cadena de suministro fragmentada. Eventualmente, las compañías como los fabricantes de automóviles que incorporan docenas de sistemas conectados se encuentran con múltiples dispositivos de múltiples proveedores que no interactúan, no son ciberseguros, usan diferentes protocolos y generan más complejidad a un mayor costo. Lo que permite que establecer políticas de seguridad sea más difícil, y algo que no es seguro nunca debería permitirse conectarse a Internet.

 

Seguro desde el diseño

La responsabilidad recae en todos los fabricantes: aquellos que fabrican componentes individuales, como bolsas de aire para automóviles conectados, y aquellos que incorporan múltiples componentes en sus productos, como los fabricantes de automóviles, deben abordar la seguridad durante el proceso de diseño. La pregunta es, ¿cómo?

Los siguientes consejos pueden ayudar a garantizar las consideraciones de seguridad adecuadas en el diseño de los dispositivos conectados para todas las aplicaciones (no solo los automóviles):

1. Evalúe el caso de uso de sus dispositivos y servicios durante la fase de diseño del producto. Analice los diversos riesgos y cree planes de mitigación en el diseño general del producto.
2. Asegúrese de poner a su equipo a trabajar haciendo pruebas para validar su modelo de amenaza. Ponga en práctica una evaluación continua con cada iteración del producto para asegurarse de que el modelo de amenaza siga cumpliendo con sus escenarios de amenaza.
3. Integre sus procesos generando y almacenando sus claves privadas de forma segura, ya sea utilizando módulos de seguridad de hardware (HSM) o una de las principales plataformas de IoT basadas en la nube.
4. Los certificados de infraestructura de clave pública (PKI) desempeñan un papel fundamental en su solución de IoT, ya que validan la identidad de un dispositivo para que solo los dispositivos autorizados, los usuarios y los servidores puedan acceder al dispositivo. Los certificados también se utilizan para cifrar los datos enviados desde y hacia el dispositivo. Además, los certificados de firma de código garantizan que las actualizaciones por aire se firmen con un código a prueba de manipulaciones y que el dispositivo se inicie de forma segura en todo momento.
5. La autenticación de escala es importante. El uso de tecnologías estandarizadas y probadas, como certificados digitales y protocolos de registro de certificados como SCEP, EST y API seguras, le permitirá escalar sus operaciones de seguridad a medida que aumenten sus volúmenes.

Según el informe de McKinsey al que se hizo referencia, esto es válido para todos los fabricantes de IoT: “No hay una “bala de plata” que pueda eliminar los problemas de ciberseguridad. Lo que está claro es que los futuros diseños de automóviles deben ser “nativos de la ciberseguridad”, integrando estas preocupaciones en las primeras etapas de desarrollo”.

 

Evaluar el riesgo

Los hackeos implican misterio

Son frecuentes y son graves. Los expertos nunca dicen toda la verdad. El problema de la ciberseguridad se está agravando. 

 

Se calcula que un tercio de las organizaciones estadounidenses sufrió un cibercrimen en los dos últimos años. IBM, por su parte, estima que el costo promedio de cada una de esas violaciones fue de alrededor de US$ 3,9 millones.

A eso se debe la popularidad de los expertos en ciberseguridad, que son los encargados de evaluar el riesgo que corre una empresa de que le roben información. Pero el tema es tan delicado que con frecuencia estos expertos optan por ser “económicos con la verdad”. Así, al menos, opina Dave Gordon en una columna que titula “Lo que los expertos en ciberseguridad no le dicen” y que publica Quartz.

Aquí, según él, lo que no dicen:

 

1. Muchos fallos de seguridad en las empresas comienzan con pornografía.O sea, a veces los empleados usan sitios porno en el trabajo. Los especialistas emplean frases de recomendación generalizadas diciendo, por ejemplo, “eviten sitios sospechosos”. Cuando ya ha sido perpetrado el robo y se hace el “post mortem”, ahí aparece la revelación. Jason McNew, de Stronghold Cyber Security, dice que eso pasa más seguido de lo que la gente cree.

 

2. Usted es un target.Según McNew, no importa si usted es grande o pequeño, si tiene mucha información o poca. Los que salen a depredar no hacen distinciones, son como pescadores que tienden sus redes y recogen lo que sea que encuentren en su camino.

 

3. El software tiene sus límites en cuanto a lo que puede hacer. “Se pueden gastar fortunas en los sistemas más actualizados y eso es muy aconsejable. Pero son siempre personas las que cliquean en links o en adjuntos de e-mails o que van a sitios web donde no deberían ir”. Eso dice Dave Oswald, de Forensic Restitution de Toronto. En su experiencia, casi 80% de las veces el ataque se puede rastrear hasta su origen y son las manos de un empleado y no porque sean descuidados sino porque las trampas son cada vez mejores. Por eso no tiene sentido recriminar a un empleado, eso solo crea una cultura en la que los empleados tienen miedo de contar lo que pasa, dice Mika Aalto, CEO de una firma que entrena al personal a evitar el fraude.

 

4. No dicen cuál serio fue el problema realmente.De acuerdo a Oswald, generalmente los expertos en ciberseguridad prefieren no decir cuántos datos fueron infiltrados, al menos al principio. Prefieren evitar tener que volver y decirle al cliente que las pérdidas fueron peores de lo que se pensó al principio.

 

5. Es probable que no haya posibilidad de estar completamente a salvo.Aalto asegura que una infraestructura grande es casi imposible de defender. Para demostrarlo afirma que todas las empresas del Fortune 500 han sido hackeadas.

 

Ciber-(in)seguridad en Internet de las Cosas

 

Internet de las cosas (IoT) va creciendo. Las empresas la están integrando en todas las áreas de la operación. La duda es si en el apuro por adoptar la transformación digital no se estarán olvidando de consultar con el responsable de seguridad informática, o CISO.

Como IoT conecta el mundo físico con el mundo ciber, la huella digital de las empresas se expande exponencialmente ofreciendo cada vez más vulnerabilidades a los atacantes listos para aprovecharlas.

Por su mismo diseño, los dispositivos IoT tienen poca memoria. Por la exigencia de movilidad, de duración de batería y de economía de precios, los sensores terminan siendo delgados pero indefensos. Además, el software IoT no permite parches automáticos, lo que va en contra de uno de los principales preceptos de la ciberseguridad: emparchar inmediatamente. Como si eso fuera poco, los dispositivos suelen venir con contraseñas previamente cargadas que no se pueden cambiar. Otra vulnerabilidad.

Todo esto, sumado a la multitud de dispositivos de IoT que corren una enorme cantidad de plataformas de software, complica la tarea del CISO y deberían preocupar al CEO. Un ataque realizado a través de IoT podría ser catastrófico. Muchas grandes organizaciones hacen controles de seguridad regularmente, pero la escala del peligro que se acerca requiere dos medidas adicionales: automatizar e institucionalizar.

 

Herramientas antihackeos

La primera asegura controles rutinarios y rápidos en los miles de diminutos sensores IoT. La segunda ayuda al CISO a desarrollar herramientas para hackeos cada vez más sofisticados.

Automatización. La seguridad automática tiene varias formas. Las plataformas automatizadas controlan los VPN y detectan intromisiones en curso para detenerlas. Con inteligencia artificial, las plataformas automatizadas pueden dar cuenta de actividad anormal.

Además, la autenticación verifica cualquier dispositivo conectado a la red en un nivel más sofisticado que el de usuario y contraseña. Usa un certificado digital que impide que un termostato hable con un hacker.

Institucionalización. La automatización no alcanza.

Con IoT habría que hacer el mismo due diligence que se le hace a cualquier infraestructura de TI. Para asegurarse de que los avances tecnológicos no introduzcan fallas de seguridad, los CISO deberían participar en la compra, diseño o implementación de todas las transformaciones tecnológicas, inclusive en IoT. Esto exige un cambio paradigmático en el rol del responsable de seguridad informática; no se le debería aislar en un silo dentro la organización; habría que involucrarlo en todos los aspectos de una institución, desde la capacitación de los empleados hasta la selección de vendedores.

 

Diálogo e involucramiento

La seguridad informática es

estratégica para el negocio

Si bien en el último tiempo hemos escuchado a muchos líderes de diferentes organizaciones y profesionales hablar sobre la trasformación digital, no hay duda de que la situación que hoy vivimos nos ha obligado a transformarnos o adaptarnos en muchos otros aspectos. La ciberseguridad no ha sido una excepción.

 

Por Nicolás Manavella (*)

 

En este veloz camino de adopción o actualización de tecnologías para trasformar procesos rápidamente y disponibilizar servicios remotos a clientes internos o externos surgen muchas preguntas que se están comenzado a responder a medida que avanza la cuarentena. Muchos clientes preguntan, ¿cómo agilizamos nuestro proceso de revisión de aplicación? La demanda para poner operativa nuevos desarrollos para nuestros clientes se conecten o reciban información es exponencial. ¿Cómo aseguro las estaciones de trabajo si la solución tecnológica que se utiliza todavía no está 100% operativa o solo está disponible para un grupo específico de dispositivos por requerimientos de cumplimiento? ¿Cómo reforzamos la concientización? Dado que es necesario llegar más rápido a todos los equipos de trabajo, ¿cómo damos respuesta a las contingencias?  Existe un plan de recuperación, pero hay muchas cosas que no estaban contempladas. Seguramente habrá muchísimos otros ejemplos más o menos técnicos, pero no hay duda de que estamos frente a una oportunidad de implementar grandes cambios en ciberseguridad.

En el escenario actual, es necesario pensar en cómo se deberían reconfigurar los procesos de ciberseguridad para que se adapten rápidamente y sean más ágiles.

 

Se necesita respaldo de los líderes

Uno de los principales pilares para la ciberseguridad es el apoyo ejecutivo. Si bien la madurez en ciberseguridad es diferente entre las distintas organizaciones, no hay duda de que en aquellas que alcanzan mayores niveles de madurez en sus procesos de ciberseguridad el involucramiento de sus directivos es total. Durante mucho tiempo los ejecutivos consideraban a la ciberseguridad un tema estrictamente técnico, hoy en día muchos están comenzando a tomar conciencia que la ciberseguridad es parte esencial de su negocio. Las preguntas básicas que cualquier líder podría hacerse son, ¿tengo claro cuál es la información confidencial de mi negocio? ¿Dónde se guarda?; la información con la que tomo decisiones ¿tiene riesgos de integridad? ¿Estoy seguro de cómo y con quién se comparte? Si la respuesta es “no”, tenemos entonces mucho trabajo por hacer. Cualquier miembro del equipo podría ser un vector de ataque por donde nuestro negocio podría sufrir pérdidas monetarias, interrupción completa de las operaciones, dañar la imagen de la compañía o hacernos tomar decisiones de negocio basadas en información cuya integridad se ha comprometido.

Un segundo aspecto importante es las capacidades esenciales que se requieren tener o desarrollar en ciberseguridad que, en la situación actual, se aceleran más o se pone de manifiesto la falta de madurez en procesos como el control de acceso remoto, la gestión de vulnerabilidades o la prevención de fuga de información con base en una clasificación y gestión en la información no estructurada. Si bien son conceptos de los que se habla hace tiempo, hoy podemos ver que muchos de estos procesos son inmaduros y la exposición es muy alta cuando se requiere reaccionar rápido o con mayor agilidad.

Finalmente, es fundamental contar con un líder de ciberseguridad o CISO que asuma el desafío planteado por la organización y la agilidad que requieren los cambios a implementar. En este sentido el CISO debe evolucionar su rol de guardián tradicional al de guardaespaldas de confianza del CIO. Jugar un rol de colaboración significativamente ampliado y estratégico, dirigido a garantizar que el CEO y los equipos dentro de la organización se sientan seguros. Esto requiere un compromiso del CISO para educar e implementar nuevos modelos de ciberseguridad, ya sea a través de su capacidad interna o tomando servicios gestionados de terceros que cubran las demandas internas. Se requiere desafiar el pensamiento tradicional para desbloquear una mayor experimentación e innovación y un mayor “time to market” para soluciones de negocio. También, iniciar un nuevo tipo de conversación con el CIO que posibilite un enfoque de mayor colaboración continua que tenga como objetivo acelerar la producción y generar nuevas ventajas en el mercado. Una etapa crítica en esta transformación organizativa inicial es fomentar el diálogo continuo entre el CISO y CIO, mientras trabajan juntos para construir una organización ágil y resistente.

 

(*) Socio a Cargo del Servicio de Ciberseguridad KPMG Argentina

 

Vulnerabilidades en plantas industriales

Ciberseguridad en

infraestructuras críticas

La llamada Era Digital es el nombre que recibe el período de la historia donde aparecen y se desenvuelven las TIC fuertemente. Este período –que tiene sus raíces alrededor de la década de 1980– se asocia con la revolución digital, momento en que aparecen elementos tecnológicos asociados al teléfono, a los medios audiovisuales y a Internet, y que hacen que el flujo de información se vuelva más rápido en un mundo globalizado.

 

Por Pablo Almada (*)

Esta nueva era atraviesa transversalmente a la sociedad toda produciendo cambios en los hábitos, en el lenguaje, y en las costumbres de las personas. Así, se puede comprobar cómo se gestaron nuevas maneras de relacionarse, al punto que surgieron nuevos reglamentos legales para prevenir delitos informáticos y como las empresas comenzaron a invertir cada vez más dinero para evitar fraudes y hackeos.

Durante 2019, el Estado identificó las infraestructuras críticas con el objetivo de impulsar acciones concretas de las industrias del país para asegurar los denominados “ciber–espacios” o, en otras palabras, minimizar la probabilidad y/o el impacto de un ataque cibernético. A partir de esa decisión, naturalmente surgieron interrogantes. Por ejemplo, ¿qué tan vulnerables son las infraestructuras críticas de Argentina ante un ciberataque?; ¿Cuál podría ser el efecto de un ataque cibernético en términos económicos y sobre todo geopolíticos?

 

Enfoque en capas

Es importante considerar algunos escenarios donde pueden producirse ataques y, además, ciertos conceptos de ciberseguridad en ambientes industriales. Sobre todo para ofrecer claridad de por qué, a pesar de los ciber-incidentes ocurridos a escala mundial como el sufrido por Norsk Hydro, una de las empresas líder de producción de aluminio, no se han producido consecuencias catastróficas como la pérdida a gran escala de vidas humanas o la explosión de una planta.

Sucede que previo a la instalación de una nueva planta de producción es necesario realizar validaciones de diseño y concepto industrial con la intención de garantizar que todos los componentes del proceso estén debidamente dimensionados y, por sobre todo, que existan mecanismos de seguridad que actúen en riesgo físico a las instalaciones ante una falla.

Estos componentes de seguridad evitan que el proceso industrial se vea afectado por una condición de emergencia. Muchos de estos son configurados vía red, realizando acciones mediante la activación o de­sac­tivación para evitar ser alcanzados por un ciberataque. Otros equipos de seguridad utilizan una lógica mecánica o hidráulica que, de acuerdo a una variación en los niveles de presión, temperatura o nivel, realizarán una determinada acción de seguridad, considerando a estos últimos como no factibles de recibir un ciberataque por su ejecución ante una variable física.

En un ambiente industrial existe una distribución de dispositivos que actúan como el pilar silencioso de la seguridad operativa. En parte, y gracias a ellos, es que se ve reducido considerablemente el nivel de impacto de un ciber-incidente pero lo que estas medidas no evitan, entre otros, es un paro de producción o pérdida de visualización de la planta, tal como le pasó a Pemex en 2019. Aun así, existen otros factores que evitan la ejecución exitosa de ataque en una planta industrial, como son una segmentación segura de redes, el control de acceso lógico y el monitoreo en la red de control.

Se trata del denominado “enfoque en capas” que las mejores prácticas de ciberseguridad recomiendan, pero que muchas compañías están lejos de implementar quizás porque las soluciones de ciberseguridad requieren inversión, esfuerzo y recursos capacitados.

Por eso es importante la realización de análisis periódicos de ciberseguridad en las infraestructuras críticas de una empresa desde la perspectiva del proceso operativo y no desde un enfoque puramente tecnológico, como se observa usualmente en un ambiente corporativo de TI.

 

(*) Director IT Advisory Ciberseguridad Industrial KPMG Argentina

 

Parte indispensable de los sistemas de información

Ciberestrategia mediante

ciberentidades

No siempre la mayoría de las empresas o instituciones que trabajan con datos electrónicos la tienen en cuenta, o mejor dicho, no como parte del “plan”.

 

Por Diego Bolatti (*)

 

La seguridad informática, en adelante ciberseguridad, es un conjunto de acciones que se implementan para proteger los datos electrónicos de las entidades que lo generan, procesan y almacenan para realizar sus tareas, y seguido a esto el logro de sus objetivos.

Los objetivos estratégicos empresariales, institucionales o gubernamentales se basan en la premisa de cumplir objetivos a largo plazo, ya sea políticos, de mercado, desarrollo de nuevos productos o servicios antes que la competencia, pero no siempre consideran en los mismos la seguridad de los activos de información que forman parte esencial del cumplimiento de los planes estratégicos.

En contrapartida existen muchos organismos nacionales e internacionales, en algunos casos gubernamentales, en otros casos entidades sin fines de lucro, que han desarrollado a lo largo de los últimos años, estándares, buenas prácticas, conjunto de controles a implementar y marcos de trabajo que pueden ser aplicados desde el momento cero del plan estratégico o que permitan modificar el plan para incluir acciones y recursos que protejan uno de los principales activos de las organizaciones, la “información”.

Entonces, si existe la necesidad y existe ayuda documental, la pregunta es ¿Por qué no se incluye la ciberseguridad en el plan estratégico? Para responder esta amplia pregunta, necesitamos conocer los objetivos y analizar cada situación en particular. De todas maneras, se pueden abstraer algunos conceptos e ideas sobre la falta de aplicación de la “Ciberseguridad Estratégica”.

En mi trabajo como profesional de las Tecnologías de Información y Comunicaciones (TIC) he participado en trabajos instituciones públicas como privadas, con o sin fines de lucro, y en todos los casos he visto fallar el funcionamiento del ecosistema donde se encuentra situada la entidad.

Es fundamental para que la ciberseguridad sea considerada como estratégica es que se conozca, sea factible su implementación, tenga respaldo técnico, legal y profesional.

 

Círculo virtuoso

Es necesario crear una relación fluida entre diversas entidades como Gobiernos, universidad, centros de capacitación e investigación, y las empresas privadas con o sin fines de lucro. Esa relación debería comportarse como un “círculo virtuoso”, que genere un ambiente donde la ciberseguridad no sea solo una utopía implementarla, sino que la misma sea considerada como parte del ciclo de vida de los sistemas de información. Desde su inicio, durante su etapa productiva y luego de ésta para resguardar los conocimientos y datos generados.

Para que funcione esa relación hacen falta acciones que indiquen y fomenten la importancia de tener políticas y estrategias de ciberseguridad, proponer y mantener vigentes marcos de trabajo, definir estándares, buenas prácticas.

Por otro lado, es importante incluir en los destinos de “aplicabilidad”, no solo la administración pública o grandes empresas, hay que considerar la posibilidad de implementarla en las pymes también.

Un aspecto de suma importancia es el legal; el Estado debe trabajar en legislación sobre ciberseguridad. Hemos avanzado como país en ese aspecto, pero aún falta desarrollo.

En cuanto a las instituciones formativas y de investigación, es necesario su aporte en desarrollo de productos o servicios, como así también la formación de profesionales de ciberseguridad que tomen decisiones, que sepan participar de estrategias de negocios. Las carreras de grado o posgrado en ciberseguridad deben tener contenidos de gestión, desarrollar profesionales con capacidad de visión global y de gerenciamiento.

Como conclusión, podemos inferir que los recursos económicos no son el principal aspecto que influye en la falta de desarrollo de planes estratégicos que incluyan la ciberseguridad.

Debemos trabajar en desarrollar ecosistemas eficientes, donde haya aportes del Estado, de empresas con o sin fines de lucro, de entidades educativas, y que todo ese aporte genere la confianza necesaria para poder desarrollar lo que podemos denominar “ciberentidades”. Entidades con planes seguros, con políticas de seguridad, con personal capacitado y concientizado. Entidades que sean resilientes, que puedan ponerse en marcha rápidamente ante un incidente. En pocas palabras que sean “ciber–seguras”.

 

(*) Profesor de UTN, Facultad Regional Resistencia