Los CISOs deben estar cada vez mejor preparados, ya que a medida que los ciberataques se han vuelto más complejos y sofisticados, uno bien ejecutado puede significar el robo de miles de datos para su empresa, resultando en pérdidas millonarias y daños a la imagen.
El 2023 fue un año impredecible y de mucha acción para los CISOs en todo el mundo debido a los aumentos de ciberataques masivos que los hackers realizaron a compañías de todos los tamaños e industrias, provocando pérdidas millonarias y grandes daños a la reputación de cientos de empresas.
Justamente, Héctor de la Parra, director comercial de Etek International Corporation en México, nos habló acerca de los retos y desafíos más importantes a los que se estarán enfrentando los CISOs en todo el mundo debido a la evolución del mercado y los avances de la tecnología, junto con algunas tendencias de ciberseguridad que les ayudarán a sortearlos.
1.¿Cuáles son las principales preocupaciones y retos de los CISOs en México en 2024?
Definitivamente se estarán enfrentando a importantes desafíos derivados al entorno que vivimos en México y el mundo:
- El CISO debe aspirar a convertirse en un asesor de confianza ante el consejo de administración de la empresa, es decir, no ser tan técnico y hablar más en un lenguaje de negocios.
- Hay un déficit de talento disponible en especialistas de ciberseguridad en el mundo, por lo tanto, también hay un reto en cuanto a la retención de profesionales y personal capacitado, la contratación de los perfiles adecuados y su continua capacitación.
- La consolidación en tecnología es otro desafío, hace no muchos años nuestros CISOs levantaban la mano con el CFO para pedir presupuesto o nuevas herramientas, pero ahora se han metido en un gran problema porque tienen diversas tecnologías administradas por diferentes proveedores y por ellos mismos, por lo que se está usando mucho talento interno o externo para poder consolidar.
- Es indispensable tener una visibilidad completa del perímetro, la superficie externa, sus activos y sus procesos, ya que es muy complicado medir lo que no puedes ver.
- La automatización se refiere a que los negocios puedan pasar de usar muchos colaboradores humanos a lograr basarse en tecnologías como la inteligencia artificial y el machine learning.
2.¿Por qué crees que el tema de la exfiltración de datos es relevante para cualquier industria?
La exfiltración es uno de los casos de uso más importantes en la protección de datos. Este proceso ocurre a través de actores maliciosos que típicamente pueden ser colaboradores, o bien malware o bots. Un ejemplo puede ser que malintencionadamente se busque compartir información confidencial o propiedad intelectual con un competidor, esta es información valiosísima que es robada a través de una acción con una finalidad de perjudicar.
Por este motivo se han visto ataques masivos a compañías importantísimas como Capital One, Equifax, Uber, JP Morgan, Facebook, etc. Lo que sucedió fue que se exfiltraron entre 110 y 540 millones de registros, llevando al despido del CISO o a su renuncia.
Si les preguntáramos a estas enormes compañías qué fue lo que pasó, te dirán que, a pesar de tener herramientas, presupuesto y personal, no se logró contener estos ataques ¿qué es lo que falló?
Vamos a pensar que la protección de datos es un Iceberg, en la parte superior, lo que está expuesto protege la fuga accidental a través de colaboradores internos y ahí está lo que se conoce como DLP (Data Lost Prevention) de 3ª generación.
En realidad, los ejemplos antes mencionados que resonaron a nivel mundial y muchos otros, se vieron vulnerados debido a que no había una solución en el mercado disponible, por eso el término ha evolucionado de DLP (Data Loss Prevention) a DLEP (Data Loss and Exfiltration Prevention), que en efecto protege la exfiltración maliciosa.
Es muy relevante por la forma en la que ayuda a prevenir la información privilegiada de propiedad intelectual que está siendo expuesta al exterior y puede parar en competidores, pero también en foros clandestinos a través de los cuales se realizan ataques de ransomware.
3. ¿Cómo crees que ha evolucionado un SOC tradicional y cuáles serían las tendencias en este año?
Primeramente, los SOCs tradicionales normalmente te dicen lo que ya pasó, es decir una visión reactiva.
En lugar de tener a muchos analistas reportando cientos de falsos positivos y enviando información irrelevante al CISO y al negocio, ya que registraban centenas de millones de eventos, pero de estos realmente muy pocos representaban una amenaza, ahora la evolución del SOC hacia un aiSOC ha avanzado en torno a la proactividad, por eso tiene que estar basado en resultados, no solamente en entregas de reportes, sino en enviar únicamente los eventos que son realmente relevantes, sin tantos falsos positivos.
En cuanto a los resultados, otro elemento a través del cual se ve claramente reflejada la evolución es en la rapidez. Para un SOC tradicional el tiempo medio de detección es de días, ya que está limitado a la ingestión de datos o EPS, además de que es manual o semiautomático, por lo que hay muy poco contexto y requiere mucho tiempo para responder.
Mientras tanto, el aiSOC moderno se basa en contexto y automatización, en la protección de todos los activos por eso está evolucionando a que el tiempo medio de detección y respuesta sea en minutos o segundos, además ofrece una visibilidad más completa, pone inteligencia al nivel de colección y tiene un enfoque en la remediación.
Con el índice de falsos positivos en un SOC tradicional, hay una fatiga alta de alerta, mientras que en el aiSOC se le presta atención solamente en lo que es relevante. Todo se resume a una visión proactiva.
4. ¿Qué opinas de las amenazas en el contexto externo a tu perímetro protegido y cuáles son los principales retos para este 2024?
Proteger el contexto externo es de suma importancia. Puede ser que se publiquen dominios falsos, contenidos o aplicaciones falsas, se debe de estar vigilando dentro de un SOC para saber quién está poniendo en riesgo la reputación de tu marca. Por ejemplo, las personas de la tercera edad suelen ser víctimas habituales de ciberataques en los que los hackers fingen ser un banco, cambiándole algún carácter a un link o en lugar de .com ponen .mx para crear dominios falsos.
Es sumamente importante monitorear cómo se está detectando y cazando la superficie de ataque, así mismo qué activos están teniendo cara al público y cuáles son vulnerables, por ejemplo, el código que le roban a una organización, la cual es una propiedad intelectual.
Pensemos en tarjetas de crédito, débito o estados de cuenta, por ejemplo. Los CISOs a veces creen que ya tienen todo resuelto, pero deben asegurarse que alguien esté monitoreando tanto su cadena de suministro, como el score del riesgo de terceros. Por ejemplo, un negocio B2B tiene proveedores que acceden a su red, por lo que es importante que se aseguren de que alguien este vigilando su score de riesgo de crímenes.
Una vez que ya ocurrió un robo de información, hay que estar viendo que en el deep y dark web no se hayan compartido los datos, o si los hackers que están extorsionando, realmente tengan información relevante. Esto se puede hacer revisando constantemente foros de cibercriminales para ver si la información que tienen es o no cierta, para saber que no están chantajeando por nada.
Posteriormente, en dado caso de que sea necesario, se deben realizar takedowns, que se refiere a la acción de derrumbar los servidores donde se encuentran los dominios falsos.
5. ¿Cómo se puede detectar y responder ante un evento o incidente?
Cuando ya ocurrió el incidente tenemos que ver cómo solucionarlo y aquí hay varios puntos importantes:
Iniciemos por la complejidad operacional, que se refiere a cómo reducir la dependencia de las personas, optimizar los costos operativos, consolidar varias tecnologías y proporcionar una mejor protección de seguridad.
Otra cuestión que veo es en referencia a que tan completa es la visibilidad que se tiene en la superficie de amenazas. Aquí hay un tabú que muchos CISOs tienen acerca de que solamente quieren proteger sus activos críticos. Esta forma de abordar la situación representa un altísimo riesgo porque a lo mejor la nómina o algún proceso importante de la recuperación está en servidores que se consideraron no críticos, pero la cuestión es que los hackers nunca llegan por los activos críticos, ya que estos están protegidos, entran por donde está más débil.
Otra cuestión importante es qué tan preparadas están las organizaciones para el riesgo, es decir qué tan rápido pueden detectar o investigar ataques justificados.
Por último, está la automatización que se refiere a buscar un enfoque basado en plataformas automáticas.
6. Ante tantas tecnologías, fabricantes, herramientas, visiones, etc, ¿cómo se puede realmente cuantificar el riesgo de una empresa en ciberseguridad?
Todo empieza con los activos, su visibilidad, el contexto y su consolidación.
Por lo tanto, primero se trata de empoderar al CISO modificando su lenguaje tan técnico a términos de negocios que sean relevantes para el consejo de administración, para esto es importante hablar de riesgos.
Para este tema es indispensable cuantificar el riesgo de ciberserguridad tanto en porcentaje como en dinero, y proyectar cómo con algunas inversiones se puede ir abatiendo.
Una vez que se tiene la visibilidad completa de todo el entorno y de la infraestructura, hay un riesgo inherente que es el que tiene cada uno de los activos y un riesgo residual. Una vez que se cuantifica esto, se debe de ponderar en tiempo real y explicarle al consejo cuánto mide el riesgo por unidad de negocio.
Posteriormente, los CISOs deben hacer simulaciones para demostrarle al consejo cómo al implementar alguna capacidad, el negocio va a tener un retorno de inversión y al mismo tiempo va a disminuir el riesgo en cierto porcentaje, por eso es muy importante hablar del riesgo ante el consejo, así es como el CISO se vuelve un colaborador estratégico para el negocio y no solamente una parte de TI.
En resumen, para lograr una protección proactiva, completa y continua, se requiere:
- Visibilidad interna
- Visibilidad externa
- Concientización de las personas
- Revisión del programa de ciberseguridad
- Threat hunting y gestión de vulnerabilidades proactiva
Acerca de Etek:
Etek es una reconocida empresa colombiana que provee servicios gestionados de ciberseguridad que cuenta con más de 29 años de experiencia y oficinas en México, Perú, Estados Unidos y la India.
En ETEK actualmente ayudan a las empresas a optimizar su presupuesto de TI para obtener un mayor rendimiento de este y aconsejar a sus clientes las diferentes formas para que el dinero destinado a ciberseguridad genere mejores resultados a un menor costo, con el fin de lograr más con menos.
El enfoque de la compañía es ayudar a las empresas a abordar el desafío de ciberseguridad desde el contexto de qué y cómo debe proteger la empresa su información y activos.
ETEK se caracteriza por incorporar las tecnologías más innovadoras y ofrecer un servicio integral con altos componentes de automatización, machine learning e inteligencia artificial.
Con el aiSOC de ETEK es posible lograr hasta el 99.9% de protección ante amenazas de ciberseguridad. Empresas que no tienen todas las herramientas que ETEK implementa en un SOC, logran alrededor de un 62% de seguridad, mucho menos que el 99.9% que ETEK propone.
