Este es un momento histórico en la larga guerra entre cibercriminales y expertos en seguridad de la información. Semana a semana se suceden las noticias sobre ataques de ransomware, malware y filtraciones de datos. Ni siquiera las infraestructuras críticas están a salvo. Mientras tanto, los ciberatacantes profesionalizan cada vez más su negocio que parece ya una industria millonaria.
El problema tiene tal dimensión que incluso el Gobierno estadounidense ha tomado acciones para establecer estrictas normativas dirigidas a detener sus avances y consecuencias. ¿Está ganando el cibercrimen o los CISO tienen un as bajo la manga? Cuatro líderes de seguridad de la información mexicanos, que se desempeñan en diferentes industrias, platicaron con IT Masters Mag sobre los principales riesgos y desafíos de la ciberseguridad en esta difícil época.
Cada CISO hace un traje a la medida
Para Pedro Lascurain, CISO en el sector financiero, la pandemia y el trabajo a distancia catapultaron el año pasado la rentabilidad del cibercrimen como industria. “Como deja muchas ganancias hay más grupos intentando ser parte de esto”, aunque el directivo considera que el hecho de que una organización decida pagar o no un rescate (en el caso del ransomware) es una decisión válida en cada caso. “Lo que debería preocupar al CISO es el nivel de seguridad práctica que requiere la organización a la que está vinculado para hacerle un traje a la medida”, señaló el entrevistado.
En este punto, Lascurain, quien también es profesor de Seguridad de la Información en el Tec de Monterrey, consideró que es clave hacer un análisis de riesgos que tome en cuenta los procesos de la empresa, los de los clientes y las posibilidades de infección que existen. “Luego de hacer esa revisión se puede elaborar dicho traje tomando en cuenta los marcos de referencia que tengan injerencia en la organización”.
Uno de los primeros pasos al implementar un programa de protección es saber contra qué hay que protegerse. Para ello, destaca la relevancia de contar con un análisis de riesgos que se vaya ajustando proactiva, sistemática y continuamente.
Otras recomendaciones que da son gestionar las identidades, las vulnerabilidades tecnológicas y las actualizaciones, así como realizar un monitoreo de seguridad y preparar la respuesta a incidentes. En este último punto, desde su óptica, el mejor momento para trazar acciones de respuesta ante una emergencia es cuando no se está siendo atacando.
Lascurain reconoce que en la lista anterior faltan todos los anexos de la ISO 27000. “Nombré los aspectos básicos que aplican a todas las empresas, pero de ahí hay que escoger qué aplica para la organización en particular con base base en el análisis de riesgos mencionado al principio”.
Actualmente, los líderes de ciberseguridad y gestión de riesgos tienen que adaptarse, transformarse y escalar en el mundo digital. Para plantear su estrategia, Omar Castañón, responsable de ciberseguridad de una empresa de retail en México, sugiere partir de las preguntas: ¿Qué es lo peligroso para la organización? ¿Qué riesgo podría ser real si se presenta un ataque y qué es lo más importante del proceso?
“Si tomamos esto como base, podemos conocer y abordar el riesgo operacional a partir de un programa efectivo de evaluación de riesgos y vulnerabilidades de la organización y los procesos de negocio. Tener visibilidad de posibles vectores de ataque permite clasificar niveles críticos y determinar acciones de remediación inmediata”.
Para el entrevistado, es esencial contar con un programa efectivo de gestión de accesos e identidades, de cuentas privilegiadas, además de entender el negocio, tener claros los procesos y procedimientos para la aplicación de la información, así como las regulaciones con las que debe cumplir cada compañía.
Otro aspecto importante para preparar la respuesta en opinión del entrevistado es el monitoreo continuo de la seguridad para identificar ciertas anomalías en la operación, tener procesos de detección y establecer canales de comunicación en caso de que se presente algún incidente, para que todos los involucrados sepan cómo manejar las crisis.
Castañón considera que una estrategia de ciberseguridad debe incluir a todas las áreas de la organización, porque en algún momento las afectará. Por lo mismo, el área de ciberseguridad debe entender al negocio y sus estrategias, y los diferentes departamentos deben saber en qué se involucra el equipo de ciberseguridad. “De esta manera se puede tener una empresa ciber-resiliente, que abarque diferentes capas: gobierno, organización, procesos, controles, activos y debajo de todo ello están los usuarios, aplicaciones e infraestructuras, con los datos en el núcleo”.
Seguridad y manejo de riesgos, parte del negocio
En opinión de Erika Mata, CISO en una multinacional de servicios financieros, los retos más grandes de seguridad en los últimos meses se encuentran en los riesgos de operación y los controles de seguridad, que incluyen a las personas. Considera que poner los temas de seguridad de la información y de ciberseguridad en la mesa de discusión de los consejos directivos o de la alta dirección es algo que ayuda a afrontar con éxito estos retos.
“Parte de las buenas prácticas es identificar los modelos operativos de la corporación, conocer la empresa y sus líneas críticas de negocio, para elaborar un programa de seguridad que toque todos los puntos relevantes y de mayor riesgo. Antes de tener un programa y un presupuesto, hay que hacer un análisis de riesgo de la información para definir prioridades y, entonces sí, hacer un plan o estrategia de seguridad —idealmente de tres a cinco años— en donde se toquen los riesgos más importantes”.
Dicha estrategia abordará temas de seguridad de la información, pero también de resiliencia y continuidad de negocio, de compliance, de experiencia de usuario, de productividad de los empleados, de automatización de los procesos, de innovación en el mundo de seguridad para incluir controles que sean más efectivos, así como análisis de datos que permitan tomar decisiones en materia de riesgo, prioridades y control.
Por otra parte, Valther Galván, CISO de una SOFIPO, afirma que las estrategias de ciberseguridad han tomado mayor relevancia durante la pandemia. “Recibir información de ciberataques, tanto en el sector público como privado, y cómo se ha dado respuesta a ellos levantó las alertas a nivel de la alta dirección en múltiples organizaciones”.
Desde su perspectiva, hay empresas en donde la ciberseguridad tiene una importancia crucial en los objetivos de negocio, pues se considera que estos deben ir acompañados de mecanismos de protección para garantizar la seguridad de los clientes y de toda la información que se maneja al interior de las compañías.
Galván considera que el CISO debe hacer una revisión constante de gente, procesos y tecnologías. Personalmente, él se apega a estándares internacionales, como la norma ISO 27001-2013, referencia para implementar el sistema de gestión de seguridad de la información.
“Se trabaja para reducir riesgos potenciales que pueden aparecer en el día a día operativo, especialmente ahora con los esquemas de trabajo remoto donde se ha desdibujado el perímetro organizacional que tradicionalmente se consideraba protegido. Ahora debemos cuidar la comunicación, el acceso los datos, los medios de almacenamiento, así como lo que pueden y lo que no pueden hacer los usuarios dependiendo del nivel de riesgo de la información que manejan”.
Galván señala que actualmente existe una gran cantidad de amenazas persistentes avanzadas (APT, por sus siglas en ingles) y ataques de Día Cero que no pueden ser identificados por herramientas de seguridad. “Ante este escenario, se requiere robustecer los procesos, clasificar la información, respaldarla y asegurar el estado de la misma. Nosotros debemos proteger la información en tránsito, en reposo y en procesamiento, pero este no es un tema solo de los CISO, sino que tiene que ver con toda la organización mediante la adopción de buenas prácticas”.
Cultura dentro de la organización
Informar, concientizar y capacitar a los usuarios —que suelen considerarse el eslabón más débil de la cadena— es una tarea fundamental del CISO y su equipo. Aborda tópicos que van desde informar a la gente cómo construir un mejor password, gestionar accesos, e incluso estar pendiente de acciones sospechosas para tratar de evitar amenazas cibernéticas a nivel corporativo. Castañón señala que ante comportamientos que incumplan las políticas de la compañía, hay que vincular incluso a las áreas legales y de relaciones laborales para aplicar las penalizaciones necesarias, tanto a empleados directos como a contratistas o proveedores.
Mata indica que el factor humano es uno de los vectores principales de ataque del ransomware. “Más del 90% de los incidentes de seguridad ocurren porque hubo un factor humano de por medio: Alguien abrió un correo que tenía el ransomware o proporcionó información indebida. El ransomware no aparece por arte de magia. Se ha observado un incremento en los incidentes de seguridad ejecutados por un insider: Si antes la relación era 80/20, ahora estamos llegando a 60/40, con los insiders arriba. Por eso es importante que los programas de awareness no sean solamente para empleados, deben abarcar a los colaboradores externos que proveen servicios en todos los niveles y áreas de la organización”.
Lascurain refuerza lo anterior al afirmar que “la seguridad la hacen las personas, no la tecnología ni los procesos. Es importantísimo prevenir los riesgos y que cada persona sepa qué debe hacer para protegerse a sí misma y a la empresa donde labora”.
Galván es de la opinión de que los programas de concientización en materia de ciberseguridad deben ser acompañados de procesos de seguridad concreta, como garantizar que los colaboradores respalden su información y tomar acciones para mitigar los riesgos de posibles ataques y suplantación de identidad.
“Asegurarse de que existe un segundo factor de autenticación, por ejemplo, forma parte de las buenas prácticas que conseguirán que los ataques tenga el menor impacto posible en la empresa”.
Aunque se trate del mejor CISO de México, si su gente no respeta las políticas, los procedimientos y los estándares que está desplegando la unidad de seguridad de información, la protección será nula a pesar de tener a alguien muy capaz como responsable. Por eso, la cultura de seguridad tiene que permear desde la alta dirección hasta el último integrante de la organización y funcionar de manera transversal.
Un elemento fundamental para conseguir eso es mejorar la comunicación. “Es necesario que el área de seguridad y el CISO dejen de usar un lenguaje tan especializado. Muchas veces solo ellos entienden de qué están hablando. Si lo consiguen, las áreas de negocio los verán como un aliado y no como un stopper al que hay que darle la vuelta. A seguridad siempre nos toca decir ‘no’; hay que cambiar ese ‘no’ por un ‘cómo sí lo hacemos de manera segura’”.
Compartir experiencias, aspecto del día a día del CISO
En un entorno plagado de amenazas, Galván destaca la importancia de mantenerse actualizado. Enfatiza que parte del trabajo de un CISO es conocer lo último en temas de ciberseguridad y seguridad de la información.
Lascurain señala que compartir información acerca de los problemas que han enfrentado las organizaciones, de qué manera se materializaron situaciones recientes y las mejores prácticas utilizadas contribuye a que otras compañías se preparen. En este rubro entran organismos como ISC2, que recientemente inauguró el Capítulo México, del que Lascurain es vicepresidente.
Por su parte, Castañón es de la idea de que aprender unos de otros en grupos de ciberseguridad puede ayudar a potencializar las estrategias que cada CISO prepara en la materia. “Si queremos tener un mundo más seguro, deberíamos estar más involucrados en él y compartir experiencias”.
Mata opina que la mayoría de las organizaciones participa en distintos foros, algunos muy específicos y cerrados, como el FS-ISAC, comunidad global de intercambio de ciberinteligencia del sector financiero en la que interactúan más de 15,000 usuarios. En México, instituciones como el Banco de México, la CNBV, la Guardia Nacional, así como las áreas de ciberseguridad e inteligencia de los bancos, y ahora de casas de bolsa forman parte de este foro.
“Compartir información de inteligencia en foros de colegas CISO, donde se habla de indicadores de amenazas es algo que ayuda a tomar acciones preventivas cuando un incidente ya le ocasionó un problema a alguien más, para procurar que el impacto sea menor en un caso futuro”, indicó Mata.
La tarea del CISO es similar a ser un general en batalla. Hay que desarrollar las habilidades de los equipos, integrar a los mejores elementos y capacitarlos porque, en ‘el lado malo de la fuerza’ hay otro general haciendo todo lo posible para contar con el mejor personal y las más peligrosas herramientas.
