La mayoría de las empresas aún no percibe la ciberseguridad como un ítem importante para su organización, y solo es considerado vital cuando ya es demasiado tarde: ya fueron atacadas.
Por Giovanni Morchio P. Director y Fundador de A2D Attack&Defense Cybersecurity
De acuerdo con un estudio de Checkpoint Research, realizado en mayo del 2020, durante los primeros meses de ese año en pleno comienzo de pandemia y cuarentenas, una organización en América Latina es atacada alrededor de 725 veces por semana, comparado con los 484 ataques que suceden a nivel global. En otro estudio realizado por Fortinet, nos informa que, durante el primer semestre del año 2020 año, Chile recibió 525 millones de ataques de los 15 mil millones que recibió toda América Latina y el Caribe. Finalmente, un estudio de IBM nos muestra que durante esta pandemia se ha visto un incremento del 6000% en envío de spam con temáticas coronavirus y un 600% de aumento en phishing, usando la misma temática.
Si bien la mayoría de estos ataques son automatizados, multiplicidad de estos, son ataques en donde el “victimario” será un ser humano con un solo blanco; un solo objetivo: tu empresa. Esto es justamente lo que en la mayoría de las organizaciones es subestimado siendo la Ciberseguridad un ítem con baja o nula prioridad en el presupuesto anual de TI.
El problema se complica, cuando hay por parte de las empresas un total desconocimiento de lo que se puede enfrentar en este tipo de ataques. Ransomware, ataques en donde un malware encripta archivos dejando nada a salvo en su paso, para después de su ataque pedir un suculento rescate, son un ejemplo claro en como las empresas se convierten en carnadas fáciles para los ciberdelincuentes.
Es más, debemos considerar que empresas de cualquier tamaño han caído en este tipo de ataques, las grandes en algunas ocasiones teniendo que pagar los millonarios rescates para recuperar su data o incluso tratando de evitar que estos antisociales del cibermundo expongan los datos en sitios de la Deep web o simplemente en la Internet. Pero, lo más lamentable ha sido ver a Pymes que no teniendo procesos bien implementados de respaldos, algo básico en un modelo de gobierno de TI, tienen el alto riesgo de quebrar irremediablemente por no contar con una forma de recuperar sus datos, porque el atacante logró encriptar el servidor de respaldo o simplemente la pequeña empresa no pudo contar con los recursos para salvarse.
Y cuando decimos que cualquier entidad puede ser afectada es efectivamente así: generadoras eléctricas, bancos, exportadoras, municipalidades, ciudades, universidades, hospitales y clínicas y un largo etcétera. No importa el rubro ni el tamaño, todos son potenciales víctimas.
Pero, cabe preguntarse ¿por qué la inversión en ciberseguridad es tan subestimada?
Simple: aún no han sido atacados y vivimos en una cultura del que nunca nada nos ocurrirá. Enfocar recursos a la transformación digital es un gran avance para no quedarnos rezagados, sin embargo, se produce una contradicción vital: no podemos considerar la transformación digital sin la ciberseguridad, por el simple hecho que en la mayoría de los casos se implementa en conjunto con metodologías ágiles que a su vez habilitan pipelines de desarrollo usando un concepto llamado DevOps, que no es nada más que la automatización de los procesos de desarrollo, prueba y paso a productivo. Esto conlleva que se debe aplicar las mejores prácticas de Desarrollo Seguro, algo enmarcado en Ciberseguridad, al no hacerlo, deja abierta la posibilidad de ser atacados porque la aplicación liberada tiene un alto riesgo de tener vulnerabilidades.
Otra falsa creencia que genera sensación de seguridad, es pensar que solamente implementando cortafuegos (firewalls), sistemas de prevención o detección de intrusos (IPS/IDS) y antivirus se tiene cubierto todo lo necesario.
Ciberseguridad es mucho más que simplemente instalar dispositivos especializados. Como toda tecnología deben estar amarradas a procesos y por supuesto contar con el personal idóneo que realice las labores que sean necesarias y eso significa entrenamiento constante.
Si hablamos de los procesos, entran en esta calificación muchos estándares que han sido desarrollados para tales efectos, algunos más simples, otros complejos. Entre ellas tenemos a la familia de la norma ISO 2700x, a NIST 800, Cobit, PCI DSS, CIS , SCF y otras menos conocidas.
No hay que inventar la rueda, basta con empezar a implementar los controles de la norma que se elija y seguirla al pie de la letra, pero siempre hay excepciones dependiendo del tamaño de la organización, de sus procesos y por supuesto de la infraestructura. Sin ir más lejos, hay un estudio que por ejemplo si aplicamos sólo los primeros 5 controles de la CIS Top 20, ya se disminuirá en un 85% el riesgo de ataque.
También existen numerosas certificaciones para profesionales en ciberseguridad, algunas menos técnicas pero que son bien recibidas y otras muy técnicas, pero curiosamente aún no bien recibidas en el caso de Chile. Los profesionales en ciberseguridad son personas que deben tener un alto manejo de la frustración, capacidad para ver lo que no es visible, capacidad para trabajar bajo presión y muchas otras más. Es por eso que no cualquier persona puede trabajar en este ámbito.
Como último enfoque, que pocos hablan, es que la probabilidad de intrusión hacia la organización es tan alta, que una buena forma es mantener procedimientos de mitigación ante ciertos escenarios, activación de protocolos de contención en caso de ataques y realizar simulaciones frecuentes de ataques hacia la organización, también llamados Pentesting o Ethical Hacking.
Para el caso de las aplicaciones, también es factible crear un programa de Bug Bounty, en donde se deben definir riesgos e impactos, se les asigna un valor en dinero, esto permite que si un hacker ético detecta una vulnerabilidad tenga la confianza de poder informarlo, de recibir un pago por el hallazgo y principalmente que no habrá represiones legales.
La mayoría de las empresas fallan en temas de ciberseguridad por estos temas básicos que están clasificados como “higiénicos”, procesos como los de parchado de seguridad que no se están aplicando a la velocidad que corresponden, problemas de instalación de herramientas o sistemas operativos con configuraciones por defecto sin la suficiente gestión para realizar las labores de endurecimiento, o simplemente como lo explicaba en el caso de las Pymes, porque su política de respaldo no está bien implementada y no se hacen las validaciones necesarias para que la recuperación sea exitosa, y claro, el día en que realmente se necesitan, nunca funcionaron.
Pero lo que más duele en Ciberseguridad, es que nunca serán suficiente ni los esfuerzos ni los gastos ni las inversiones que se realicen, claramente se disminuirán las probabilidades, pero nunca se podrá certificar que sean completamente invulnerables.
El llamado, sin duda es a la prevención temprana y la protección de lo más valioso de nuestra organización: nuestra información. Asegúrate de tener un buen partner en Ciberseguridad, y así impediremos que el mundo de la ciberdelincuencia siga ganando terreno por lo que no queremos saber.
