Retos de la protección post-Covid en materia de ciberseguridad

Retos de la protección post-Covid en materia de ciberseguridad

Ahondando en mi último artículo relacionado con los nuevos retos en el campo de la ciberseguridad, haremos foco en el mayor reto que tenemos en la actualidad, que es la seguridad en entornos híbridos (servicios situados en recursos propios de la compañía y recursos provistos por terceros tales como operadores de nube) y el teletrabajo.

Dicha adaptación, ha sido necesaria por las circunstancias excepcionales que vivimos, siendo clave en ella el teletrabajo, el cual ha demostrado sus evidentes ventajas, pero también sus problemas inherentes a la deslocalización geográfica de una gran parte del personal de las compañías entre otros.

Evidentemente existe un enorme reto en cuanto a la ciberseguridad, dado que lo que antes se trataba como un riesgo controlado y acotado con medidas de control centralizadas, de repente ha pasado a ser justo lo contrario, una descentralización total haciendo uso de una variedad de redes de terceros, las cuales no están controladas y que sin duda, son fuente de innumerables riesgos.

Podemos añadir a toda esta tormenta perfecta, el inmenso auge del uso de los servicios situados en la nube, por la cual pueden existir múltiples centros de datos en múltiples nubes públicas o privadas. Esto es lo que se denomina nube híbrida.

Dichas nubes híbridas aumentan  la complejidad en las comunicaciones y por tanto en su control.

Evidentemente ya se disponía de tecnologías para la interconexión segura de redes tales como las VPN de cliente y las múltiples tecnologías de protección del puesto de trabajo desde hace años, pero no es menos cierto que con esta vuelta de tuerca se recrudecen los requerimientos radicalmente, pudiendo ser insuficiente en ocasiones.

En este punto es probable que una simple conexión VPN entre centros de datos no sea lo suficientemente flexible para proveer de un servicio con una calidad y seguridad suficientes, así como un control y una visibilidad adecuados a los tiempos actuales.

Por ello, las tecnologías de interconexión basadas en el concepto SD-WAN de última generación, son clave, dado que proveen de una capa intermedia de comunicaciones coherente, independientemente de la ubicación de los recursos implicados.

Esto permite hacer transparentes y seguras las comunicaciones corporativas para los participantes, pudiendo garantizar o al menos optimizar la calidad de las comunicaciones a través de todas las redes implicadas.

Ahondando en el problema, estas son algunas de las amenazas con mayor riesgo a las que nos enfrentamos en esta era post-covid:

Ataque Man-In-The-Middle

Un acceso a la red considerado seguro, deberá incorporar métodos para evitar la intercepción de las comunicaciones en redes no seguras tales como Wi-Fi pública u otras redes no controladas, al poder estar el usuario expuesto a ataques de tipo Man-In-The-Middle (Hombre en el medio) en donde el atacante puede escuchar las comunicaciones e incluso engañar a los participantes para modificar el tráfico intercambiado entre los participantes.

Ransomware

Este tipo de infección de malware tristemente popular en los últimos años, está ahora más en el foco si cabe, al disponer de comunicaciones tan amplias (geodispersas) y expuestas debiendo tener un especial cuidado en estar cubierto ante este tipo de amenaza si no queremos que un ataque de este tipo se disperse sin control por la red con resultados aún más catastróficos de los habituales.

Ataques a la capa de autenticación

Este tipo de ataque puede ser de un elevado impacto, teniendo en cuenta que anualmente se producen muchos miles de hackeos en todo tipo de proveedores de servicios así como ataques automatizados por parte de botnets y hackers para obtener acceso a los sistemas y las contraseñas de sus usuarios, es a todas luces imprescindible disponer de sistemas centralizados de autenticación y monitorización de ésta, con tecnología de múltiple factor de autenticación utilizada a diario por la mayoría de personas para acceder a su banco por ejemplo, así como tecnología de tipo IAM (Identity Access management) para un control óptimo de la capa identidad y autenticación.

Cantidad de información inabordable por los analistas de seguridad

Evidentemente el gran ecosistema de soluciones de seguridad necesarios para el control efectivo de la seguridad hace muy difícil poder aglomerar y priorizar toda la información proveniente de dichas soluciones dado su increíble volumen de información, por lo que se hace imprescindible el uso de tecnologías SIEM, que son capaces de recopilar todos los eventos de seguridad, normalizarlos, ordenarlos y explotar de manera inteligente dichos eventos en busca de patrones de ataque o anomalías de comportamiento peligrosas, priorizando los eventos de seguridad basados en su nivel de impacto, teniendo especial ayuda de las últimas tecnologías basadas en Inteligencia Artificial con técnicas de Deep Learning, Business Intelligence, Big Data o Blockchain entre otras, que en el caso de Asseco Spain Group, son provistas por otras áreas especializadas de nuestra compañía en las cuales somos punteros.

Todas estas tecnologías permiten a un equipo de analistas bien entrenados en las últimas amenazas, diferenciar intentos de ataque sin riesgo de otros ataques con un alto riesgo.

Carencia de procesos y estándares aplicados a la gestión

En este tiempo de pandemia se ha visto claramente que el disponer de tecnologías de protección de última generación es evidentemente necesario, pero no necesariamente suficiente para estar correctamente protegido.

De hecho, en muchas ocasiones observamos que los sistemas de protección se instalan inicialmente pero quedan desatendidos y no son monitorizados en búsqueda activa de amenazas para remediarlas inmediatamente, ya sea por falta de personal o conocimiento por parte de las compañías o por costes, haciéndolos vulnerables o inútiles a su propósito.

Otro punto a tener en cuenta, tanto o más importante que el de disponer de dichas tecnologías, es su gestión y parametrización en base a unas buenas prácticas, estando comprendidas dentro de unos procesos definidos y gobernados por estándares de cumplimiento y gobierno corporativo adecuados e integrados con lo que cada compañía requiera.

El mejor de los sistemas pierde cualquier eficacia si no tiene por detrás un proceso de gestión adecuado de mejora continua.

Factor humano

No olvidemos que el punto más vulnerable siempre es el eslabón más débil, que en este caso es la persona, ya sea por desconocimiento o por malas intenciones. Por tanto, también es imprescindible realizar campañas formativas y de concienciación en cuanto a las amenazas más habituales, teniendo a nuestra disposición tecnologías de enseñanza automatizadas orientadas a ciertos eventos, como una campaña de phishing, midiendo su impacto en tiempo real, así como otras formaciones de concienciación orientadas a un perfil de usuario concreto, ya sea relacionado con normativas como la de protección de datos, para CEOs o usuarios de todo tipo.

Comportamientos de riesgo de los usuarios

Dentro de los factores de mayor peligro, se encuentran los comportamientos de riesgo de los usuarios.

Estos comportamientos pueden hacer peligrar incluso riesgos supuestamente cubiertos por otras tecnologías y hacer que estos tipos de controles sean insuficientes para poder garantizar la seguridad si un usuario intenta, ya sea consciente o inconscientemente ,realizar ciertas acciones peligrosas desde sus equipos corporativos. Con el fin de determinar los comportamientos de riesgo y evitar su impacto, se dispone de tecnologías de análisis de comportamiento de usuarios (UEBA) que permitirá prevenir este tipo de comportamientos de riesgo.

Fugas de información

Las fugas de información son una amenaza muy importante derivada del factor humano, que habitualmente se trata con un enfoque centralizado dado que es más simple de gestionar, pero que en nuestro momento, pierde en gran medida su efectividad dada la dispersión geográfica de los datos. Por tanto es necesario utilizar herramientas de tipo DLP de última generación y optar por un enfoque de control del dato descentralizado, con las dificultades que esto acarrea.

A su vez, es necesario atajar el riesgo de pérdida de datos situados en dispositivos móviles, mediante el cifrado de datos y el control de estos dispositivos mediante tecnologías MDM, que permiten la eliminación remota de información entre otras muchas funcionalidades de control de ésta.

Calidad técnica y humana del equipo técnico

El equipo de control y monitorización que forma el centro de seguridad gestionada responsable de dicha infraestructura, deberá por tanto ser un equipo multidisciplinar, disponiendo de capacidad para analizar los eventos de seguridad y poder llevar a cabo una respuesta ante incidentes de un modo rápido y eficaz, estando integrada completamente en los procesos de negocio de las organizaciones.

Es evidente que la calidad humana y técnica del equipo es el punto que marcará la diferencia en cuanto a los resultados finales y no menos cierto es que en la actualidad, disponer de un buen equipo es cada vez más complicado, pero sin duda es imprescindible.

Estas y otras muchas otras amenazas son a las que nos enfrentamos a día de hoy, que no harán más que aumentar en los próximos años, de hecho hay expertos que opinan que estamos en medio de la tercera guerra mundial y que esta se está llevando a cabo en el ciberespacio, por lo que sin duda, las compañías deben tomarse muy en serio todo lo relacionado con la seguridad de los sistemas de información.

Desde el área de Ciberseguridad de Asseco, estaremos altamente capacitados para diseñar un plan de protección a medida según las necesidades de su negocio, que cubra los aspectos clave para la seguridad del hoy y del mañana, pudiendo proveer las soluciones óptimas en cada caso con un óptimo balance de coste – seguridad, obteniendo la tan deseada tranquilidad.

Abel Robledo García

Chief Security Officer

Asseco Spain Group