¿Por qué los enfoques tradicionales de ciberseguridad ya no son suficientes?

Se comenta ampliamente en el mundo tecnológico y en el ámbito de la Ciberseguridad del efecto que ha tenido la implementación abrupta y masiva del teletrabajo o “home office” en la transformación digital. Y si bien, creo que hemos avanzado mucho en este aspecto en solamente algunos meses de cuarentena forzada, la realidad es que aún, incluso post pandemia Covid-19, no es un concepto que esté del todo claro o al menos bien plasmado. Cuando escuchamos sobre el concepto de Transformación Digital pensamos inmediatamente en la innovación y en la posibilidad de generar valor hacia nuestra organización. Sin embargo, en esta ecuación, la Ciberseguridad es un factor clave y pilar de la estrategia de transformación, si lo que se quiere es sobrevivir en este agitado y cambiante medioambiente. Un incidente causado por el ataque de un virus informático, por un malware, un ransomware, o por un engaño a través del phishing puede dejar a la empresa “fuera de combate” por largo tiempo.

Lo primero, es dejar claro que ningún enfoque estratégico de la ciberseguridad es perfecto, ni es garantía de nada, lo que sí nos brinda es la capacidad de estar mejor preparados de forma estratégica para estos retos.

Los enfoques actuales de ciberseguridad suelen ser relativamente simples; basándose en la definición, implementación y operación de controles fundamentales tales como Firewalls de nueva generación, Sistemas de Detección y Prevención de Intrusiones, Antivirus, AntiSpam, Filtrado de Navegación Web, Proxy, DLP, etc. Estos elementos o controles son una parte fundamental de la estrategia de Ciberseguridad de cualquier empresa sin embargo, tal y como lo demuestran múltiples informes, deben ser complementados con elementos adicionales, porque, no son suficientes.

La razón principal de esto es que los riesgos cambian de forma constante y las medidas actuales no pueden cubrir el 100% de los mismos.

Lo anterior se sustenta con la problemática en aumento del último tiempo como ataques APT (Advanced Persistent Threat), ataques DDoS, suplantación de identidad (Fraude CEO) ataques de phishing selectivos (Spear Phishing), actores-estatales, etc.

La realidad es que los controles tradicionales han dejado de ser suficientes, ya sea porque no fueron diseñados para las amenazas actuales o porque solamente están cubriendo una parte (casi siempre básica) de las necesidades de seguridad de la compañía. Al complementarlos con elementos adicionales, como la alineación estratégica con el negocio, con mayores capacidades de detección y respuesta y con capacidades avanzadas de inteligencia de amenazas, se estará más cerca de un nivel adecuado de seguridad.

Entonces, ¿cómo podemos llevar a cabo un nuevo enfoque que cubra realmente estos riesgos? La recomendación es pensar en una reestructuración o “reshape” de los programas actuales de Ciberseguridad, considerando al menos los siguientes factores de cambio:

1. El Top Management de la compañía es el elemento fundamental para hacer el “reshape”. El CEO debe ponerse al frente de la Ciberseguridad de su empresa.

2. Probar las capacidades de Ciberseguridad mediante simulaciones de ataques: Ejercicios del tipo “Ethical Hacking”, “Red Team” “Purple Team” deben ser un elemento imprescindible para probar de forma continua que las capacidades de detección y respuesta de una organización son las adecuadas.

3. Avanzar de enfoques basados en la protección perimetral a enfoques basados en el monitoreo inteligente, detección avanzada y respuesta a incidentes: El enfoque de seguridad perimetral está evolucionando hacia modelos como Zero Trust.

4. Adoptar un marco de trabajo de Ciberseguridad que contemple las mejores prácticas a nivel mundial y que se ajuste a las necesidades reales de la empresa.

5. Gestionar los riesgos de Ciberseguridad de forma continua y alineada con los riesgos del negocio.

6. Crear una cultura de Ciberseguridad dentro de la organización, donde cada empleado sea un eslabón más en la cadena de defensa.