Aires de cambio en seguridad

Las estrategias de seguridad de las compañías deben responder a un aumento de los cibercrímenes y de las plataformas sobre las que pueden ejercer su acción, así como a una mayor presión regulatoria

2 December 2016 por Celia Villarrubia - Datacenter Dynamics

La ciberseguridad nunca había sido tan importante como lo es ahora, en un momento en el que las empresas y los Estados se enfrentan a un creciente número de amenazas –ciberhacktivismo, ciberterrorismo, cibermafias, ciberespionaje, etc.– que pueden propagarse por una superficie de servicios cada vez mayor.

El constante cambio al que se enfrenta el escenario de TI está motivando al mismo tiempo continuas transformaciones de las amenazas y servicios de seguridad que es necesario abordar. Así lo explicaba Francisco Lázaro Anguís, CISO de Renfe, en el evento DCD Converged Madrid 2016.

En base a su ponencia, ahondaremos en los nuevos retos en seguridad que se plantean a las empresas.

Escenario de riesgos

El panorama de la seguridad se está viendo modificado por todo tipo de cambios, entre ellos el significativo aumento de la superficie de servicios, que expone a las empresas a un mayor número de amenazas. Con la nube, la movilidad y el Internet de las Cosas, el control se escapa ya de la propia compañía.

“Drones de seguridad, neveras que hacen la compra, coches autotripulados: todo se expone a ser hackeado y todo puede ser utilizado como un elemento de ataque a un tercero. Premisas tan claras como privacidad o seguridad en el diseño todavía no se aplican en el 100% de los casos”, apunta el directivo. Con un tiempo de desarrollo tan corto, el IoT “se nos puede ir de las manos”, añade.

Otro escenario susceptible de sufrir amenazas es la cadena de suministro. “¿Es más fácil atacar a la gran compañía o a la pequeña empresa que le provee de servicios?”, se cuestiona Lázaro. “Las pymes tienen mucha menos infraestructura de seguridad y en muchos casos no cuentan con responsables de seguridad. Eso significa que para atacar a una compañía grande es mucho más fácil atacar a la empresa pequeña que le provee de servicios, para a partir de ahí escalar”. La cadena de suministro pasa a ser fundamental.

Por otra parte, todo sistema conectado a la red implica un desafío, y así les ha ocurrido también a los sistemas SCADA. “Los SCADA abordan cuestiones esenciales para la compañía, como aire acondicionado, escaleras o ascensores, y desde hace un tiempo se ha decidido conectarlos a la red para tener un mantenimiento más sencillo”, aumentando así los riesgos, apunta. Uno de los grandes agujeros en este tipo de sistemas es que se mantiene el usuario y contraseña de inicio, por lo que es fácil para los hackers hacerse con las credenciales de acceso.

“Estamos viendo un cambio en la superficie de servicios, y eso significa que cuantas más cosas tenemos, más posibilidades de ataque hay. El data center tiene cada vez más un entorno mixto, con datos almacenados en la nube, y eso facilita el ataque”, añade.

El cambio legal

Las estrategias de seguridad de empresas y países se están viendo afectadas al mismo tiempo por cambios normativos, a medida que las legislaciones nacionales e internacionales están transformándose para incluir más obligaciones.

Son varias las normativas que están cambiando. La primera de ellas es la Ley de Enjuiciamiento Criminal (LEC), que indica ahora que las empresas tienen una responsabilidad jurídica por lo que hacen sus trabajadores. “Eso significa que la expresión ‘in vigilando’ [la responsabilidad por hechos ajenos] tiene que ser cada vez más real”, indica Lázaro. “No sólo tengo que proteger mi organización, sino también tengo que proteger a terceros dentro de los recursos que tiene mi compañía”. En este punto, la monitorización de la actividad de los trabajadores es clave.

En segundo lugar y a nivel europeo, el Reglamento General de Protección de Datos (RGPD), en vigor desde mayo de 2016, establece la obligación de declarar las brechas de seguridad a la totalidad de clientes que puedan verse afectados.

La tercera normativa que está modificando el marco legal de la seguridad es la Ley de Infraestructuras Críticas, que obliga a los operadores de estas infraestructuras a realizar análisis y gestión de riesgos, contar con responsables de seguridad o implantar mecanismos de comunicación.

“Aparte de las obligaciones de carácter legal, tenemos que tener en cuenta las implicaciones que hay por detrás. Una brecha de seguridad no afecta solo a los responsables de seguridad, sino que puede acarrear un daño reputacional y, por tanto, económico a la empresa”, explica Lázaro.

Más oferta de seguridad

El aumento de la superficie de ataque, el incremento de las amenazas y la mayor presión regulatoria han motivado la proliferación de diversos servicios y herramientas de seguridad.

Uno de los mecanismos de prevención y detección más eficaces contra el cibercrimen son los servicios de CiberSOC o inteligencia cibernética: es decir, servicios de operación de seguridad a los que se les han añadido capas de investigación.

“Actualmente se están segregando dos mundos: un departamento lleva la operación, mientras que otro se encarga de normas marco, metodología, riesgos, análisis y la parte de investigación. Hay que tener una visión de por dónde me atacan y cómo debo protegerme, y ahí tienen sentido los servicios de CiberSOC”, en palabras de Lázaro.

Los servicios forenses se están solicitando con mayor asiduidad, y crece asimismo la demanda de servicios de consultoría en seguridad, que facilitan una segregación de las funciones de seguridad y la creación de herramientas de análisis de riesgos integral, ofreciendo una visión conjunta de la seguridad física y lógica.

También cobran protagonismo las arquitecturas IOC, indicadores de compromiso ante una intrusión, que para Lázaro son “la única forma de intentar industrializar la defensa”. De ahí que en los próximos meses veamos muchas arquitecturas IOC, pronostica.

Ante todo, es necesario contar con herramientas de sensibilización que ayuden a que las empresas y sus empleados entiendan la urgencia de tener una adecuada estrategia de seguridad. “Hay que concienciar y sensibilizar. La gente puede entender que la seguridad es muy importante, pero tienes que sensibilizarla para que tome una posición”, añade el responsable de seguridad en Renfe.

Junto a estos sistemas Lázaro propone también herramientas de protección contra malware avanzado, herramientas de grabación de tráfico y flujos, mejoras en el control de elevación de privilegios, mayores herramientas de auditoría, mejoras en la inteligencia y en el análisis, mejoras de la ocultación de activos conectados, mejora de las herramientas de protección de los expatriados, y comunicaciones cifradas.

Carácter profesional

Del mismo modo en que se requieren nuevos servicios, también es necesario contar con profesionales que garanticen la seguridad. La función del CISO o responsable de seguridad de la información está ganando una mayor relevancia, pero sigue habiendo una falta de profesionales en ciberseguridad a nivel mundial.

“La Comunidad Europea va a demandar 20 millones de especialistas en seguridad en los próximos dos años, y realmente no existe esa cantidad de profesionales. Hay una carencia que va a implicar una inflación en los precios: ahora que la seguridad es cada vez más importante, los profesionales buenos serán un recurso más caro”, apunta Lázaro.

Toda preparación es poca para hacer frente a crecientes amenazas de seguridad que no sólo pueden poner en riesgo los datos de una empresa o de sus clientes, sino también su supervivencia.

CONÉCTESE A DCD

INGRESE


¿OLVIDÓ SU CONTRASEÑA?

CREAR UNA CUENTA DCD

¿Necesita personal cualificado?

REGIONES

region LATAM y España North America Europe Em Português Middle East Africa Asia Pacific

Whitepapers VER TODO