Los últimos 12 meses han sido un momento difícil para los profesionales de la seguridad cibernética a nivel mundial. En particular, han tenido que lidiar con un aumento de los ataques cibernéticos relacionados con la guerra en Ucrania.
Al mismo tiempo, una recesión global ha resultado en despidos masivos en toda la industria de la tecnología. En consecuencia, los departamentos de seguridad cibernética tienen cada vez menos personal y están agotados.
Con un nuevo año a la vuelta de la esquina, muchos profesionales de la seguridad cibernética están reflexionando sobre los desafíos que enfrentaron durante el año pasado y sacando lecciones sobre cómo mejorar en 2023.
Jake Moore, asesor global de seguridad cibernética de ESET, cree que eventos como la guerra en Ucrania y los despidos masivos ofrecen las mayores oportunidades de aprendizaje para los profesionales de la seguridad cibernética.
“Para 2022, creo que la mayoría de los profesionales de la seguridad de la información han notado que la resiliencia no es solo un término que se usa en seguridad cibernética, sino también un término que se usa para describir los altibajos en toda la industria en su conjunto”, dice. “Desde trabajar juntos para tratar de mitigar el impacto de una guerra cibernética que surge de Rusia, hasta los despidos tecnológicos en múltiples organizaciones, incluidos los departamentos de seguridad más importantes”.
Él dice que los profesionales de la seguridad cibernética, muchos de los cuales trabajan para departamentos sobrecargados, han mostrado “un nivel notable de resiliencia” frente a una mayor incertidumbre y ataques cibernéticos en constante evolución.
Con esto en mente, su mayor lección es “esperar lo inesperado más que nunca”. “Nada en esta industria se puede predecir, pero el aprendizaje es clave para el futuro de su éxito”, dice.
No confíes siempre en las aplicaciones populares en la nube
La gente debe recordar que las aplicaciones en la nube populares no siempre son confiables y pueden ser violadas por ciberdelincuentes, según el director de seguridad de la información de Netskope EMEA, Neil Thacker.
En 2022, vio muchos casos de ciberdelincuentes que usaban aplicaciones como OneDrive, GoogleDrive, GitHub, Box y Dropbox para distribuir malware y servicios de comando y control (C2).
“Demasiadas organizaciones continúan permitiendo el acceso directo a estos servicios, sin proporcionar ningún tipo de control de seguridad en línea para identificar cuándo se están utilizando y si es con fines maliciosos”, dice.
“La lección que se debe aprender aquí es que el tráfico hacia y desde las aplicaciones en la nube [software as a service] e infraestructura en la nube [infrastructure as a service] debe ser asegurado e inspeccionado para identificar este tipo de vector de ataque y mitigar los riesgos”.
El phishing va más allá del correo electrónico
Otra lección de Thacker es que las organizaciones no deben confiar únicamente en los ejercicios de simulación y la seguridad del correo electrónico para mitigar los ataques de phishing. Él dice que estos dos métodos no son lo suficientemente efectivos por sí solos.
Esto se debe a que los ciberdelincuentes usan cada vez más enlaces genuinos de aplicaciones en la nube para dirigir a los empleados a páginas de inicio de sesión falsificadas, engañándolos para que ingresen sus nombres de usuario, contraseñas e información de MFA. Los ciberdelincuentes incluso convencen a muchos empleados para que proporcionen acceso a los datos a través de “aplicaciones impostoras”.
“La lección aprendida aquí es que el phishing ya no es un problema limitado a la seguridad del correo electrónico”, dice Thacker. “Los motores de búsqueda, las redes sociales y los sitios de blogs, junto con servicios legítimos como Google Docs y Microsoft OneDrive, son plataformas que se utilizan en campañas de phishing.
“Por lo tanto, es crucial que la educación del usuario comience en el punto de clic inicial y ocurra ‘justo a tiempo’. Las simulaciones de phishing y la seguridad del correo electrónico se pueden usar para hacer cumplir los mensajes sobre cómo detectar e informar ataques de phishing, pero no lo abarcan todo cuando se trata de capacitar y contrarrestar nuevos métodos de phishing en 2022 y más allá”.
Invierta en arquitecturas de red y seguridad modernas
Durante el año pasado, Thacker también notó que un gran número de organizaciones han acelerado los proyectos de transformación y seguridad de la red en respuesta a “la alta inflación, la escasez de talento y las interrupciones de la cadena de suministro global”.
“El triple apretón [inflation, talent shortages and supply chain issues] en 2022 ha significado que las organizaciones se han visto obligadas a consolidar y hacer converger sus redes y equipos de seguridad heredados para encontrar eficiencias”, dice.
“A medida que las empresas se preparan para una recesión global y los riesgos adicionales que conllevan los desafíos económicos, es importante poder aumentar o reducir el gasto en redes y seguridad”.
Thacker dice que la lección que se debe aprender aquí es que las organizaciones pueden ayudar a las iniciativas de transformación de redes y seguridad mediante el uso de arquitecturas modernas de red y seguridad, como Secure Access Service Edge (SASE).
“Esto puede incluir la reducción de riesgos, la mejora de la productividad entre los empleados y el impulso de la eficiencia de costos durante un entorno económico particularmente incierto”, agrega.
Obtener los conceptos básicos correctos
Los actores de amenazas constantemente están ideando formas nuevas y sofisticadas de lanzar ataques cibernéticos a organizaciones e individuos, y tal vez esto haya llevado a muchos profesionales de la seguridad cibernética a “centrarse en vulnerabilidades geniales”, según el analista senior de Forrester, Tope Olufon.
Pero él cree que esto no debería hacerse a expensas de los conceptos básicos de seguridad cibernética, como la gestión de activos, la gestión de parches y las auditorías. Su mayor lección de 2022 es que hacer lo básico correctamente es la “base de una gestión eficaz del riesgo cibernético”.
También alienta a los profesionales de la seguridad cibernética a aumentar su comprensión de las nuevas tecnologías, mientras que el sentimiento, la cultura y la personalidad deben desempeñar un papel aún más importante en el diseño de la seguridad.
Olufon también recomienda que los profesionales de seguridad trabajen más con sus pares en el departamento de TI y otras personas en toda la empresa. “Jamie, el ingeniero de redes, probablemente tenga un contexto que usted no tiene, y escuchar le hará la vida más fácil”, dice.
La privacidad es esencial
La privacidad siempre ha sido una parte crucial de la seguridad cibernética, pero Rebecca Harper, jefa de análisis de seguridad cibernética en el especialista en cumplimiento ISMS.online, cree que es el “único futuro de la seguridad de la información”.
“Dado que numerosos países están adoptando normas de privacidad de datos más estrictas, el cambio hacia un enfoque que prioriza la privacidad se está convirtiendo rápidamente en una necesidad”, dice. “Por ejemplo, Google eliminará gradualmente las cookies de terceros en 2023, mientras que Apple ha desarrollado funciones de protección de la privacidad desde App Tracking Transparency en iOS 14.5”.
En 2023, espera que la legislación sobre privacidad tenga un impacto aún mayor en las estrategias de seguridad de la información de empresas y gobiernos de todo el mundo.
La lección de Harper es que la privacidad es “esencial para reconstruir la confianza del consumidor”. “A medida que se intensifica la demanda de privacidad, también lo hacen las consecuencias de violar la privacidad”, dice. “No solo hay multas por las nuevas leyes, sino que la percepción de la marca, y por lo tanto las ventas potenciales, están en riesgo cada vez que se viola la privacidad”.
Abordar el agotamiento
Teniendo en cuenta que los ataques cibernéticos siempre aumentan en número y complejidad, es comprensible cómo los profesionales de seguridad de TI pueden sentirse estresados y agotados.
Rick Hemsley, líder de seguridad cibernética de EY, dice que los líderes empresariales deben comprender la presión que enfrentan los profesionales de la seguridad cibernética y el impacto que esto puede tener en su vida diaria.
“Los equipos deben poder no solo rastrear y medir las amenazas, lo que genera casos de estrés y agotamiento, sino tener las herramientas para detectarlas y administrarlas de manera proactiva”, dice.
Hemsley también cree que los mejores líderes de seguridad tomarán medidas para comprender mejor y mejorar los modelos operativos de sus departamentos.
“Están pensando en cómo están estructurados sus equipos, cuáles son los niveles adecuados de dotación de personal, el desarrollo de talentos y cómo entregan internamente, cocontratan y subcontratan”, dice.
“Estos líderes de seguridad también están comenzando a tener más conversaciones basadas en datos con el C-suite y las partes interesadas, utilizando inteligencia de amenazas alineándola con la estrategia comercial, lo que les permite convertirse en un catalizador para un cambio confiable”.
Hemsley argumenta que para las empresas que buscan innovar de manera sostenible y rápida, deben poner la seguridad cibernética en el centro de todas las iniciativas de transformación digital. Explica que “la apertura de este nuevo diálogo entre los equipos de TI y el C-suite será fundamental para avanzar”.
Mejorar la resiliencia cibernética
A medida que crece la superficie de los ataques cibernéticos, existe una mayor necesidad de que las organizaciones refuercen sus defensas de seguridad de TI y mejoren su resistencia a los ataques cibernéticos.
António Vasconcelos, estratega de tecnología de SentinelOne, dice que las organizaciones deben poder contener, minimizar, mitigar y recuperarse de los ataques cibernéticos de manera eficiente.
“Esta resiliencia incluye la protección de sus activos más valiosos, como la información de identificación personal y la propiedad intelectual, la reducción de la interrupción de la cadena de suministro y la gestión del daño a su reputación”.
Pero Vasconcelos advierte a las empresas que no pueden simplemente comprar resiliencia cibernética. En cambio, esto es algo que deben ganar.
“Aunque significará cosas diferentes para diferentes organizaciones, algunos principios básicos son válidos”, dice. “Esto incluye segregar y segmentar los activos de mayor valor de los comunes, adoptar un principio de privilegio mínimo o verificar siempre antes del protocolo de confianza y romper los silos de seguridad compartimentada.
“Frameworks como ZTNA y XDR son aceleradores y facilitadores para que las organizaciones sigan el camino correcto para lograr la resiliencia cibernética que necesitan para enfrentar las amenazas hoy y mañana”.
El año 2022 ha sido un desafío para toda la industria de la seguridad cibernética, y dado que la guerra de Ucrania y la agitación económica mundial no muestran signos de desaceleración en el corto plazo, está claro que 2023 planteará desafíos similares para los profesionales de la seguridad cibernética. Sin embargo, con suerte, estas lecciones pueden ayudarlos a fortalecer sus defensas en el futuro.