Ciberseguridad 2020: desarrollando la confianza digital

20 febrero, 2020
9 Compartido 1,592 Visualizaciones

El pasado 18 de febrero se celebró de la mano de IDG el evento sobre ciberseguridad y confianza digital, los elementos estrella para una buena relación de negocio

La confianza digital es necesaria en todas las relaciones con cualquier usuario, antes los datos eran entregados sin ningún problema, eran necesarios para dar o recibir un mejor servicio, pero ahora las cosas han cambiado y ya no se ofrece gratuitamente esa información, debido a la falta de confianza. Tenemos que crearla, porque con la seguridad ya no es suficiente. La confianza acelera los negocios, como clientes no podemos verificar cada transacción que realizamos, es el proveedor que debe encargarse de que funcionen y sean seguras.

El objeto de protección es el individuo

Desde el 2010 hasta el 2020 las prioridades de las empresas han ido variando, primero fue el «mobil first», seguido del «cloud first», y luego vino el «AI first», pero el próximo paso es el «trust first». La importancia que le dan las empresas a la seguridad varía según su tamaño, para las empresas pequeñas la seguridad tiene una importancia del 62%, para las medianas un 69%, y para las grandes el 73%. Todos los negocios, independientemente del sector, valoran dicha seguridad cada vez más, porque el motivo principal por el que se busca protección es para el cliente, además de que ayuda a la capacidad de hacer clientes, mantenerlos, con un menor coste y a la vez obtener más beneficios. Así, la seguridad pasa de ser un coste a ser un activo. 

Para crear la definición de seguridad se utiliza un conjunto de actores (empleado, partner y cliente) y de componentes; la estrategia, creando la seguridad desde arriba; el diseño, por ejemplo, si se crea una pagina web debe estar orientada al usuario, hacerles sentir cómodos, para una buena experiencia de los clientes, y mantener la confianza de éste para elegir volver; la transparencia, es la idea de apertura «Voy a protegerte a ti por delante»; y la resilencia, capacidad de responder, dejar y dimensionar todo por si le pasa algo al cliente se pueda levantar.

Como crear confianza digital con los actores

Para ganarse la credulidad del cliente, no basta con anunciarse, sino que tienen que pasar cosas antes, el cliente tiene que percibir esa seguridad, ganar su confianza, y entonces es cuando puede intervenir la publicidad y que ésta funcione. El índice de madurez en las empresas sobre esta cuestión también está en crecimiento, actualmente el de las empresas pequeñas es del 55%, las medianas un 58%, y las grandes el 67%.

El empleado también es de vital importancia, para tener buena confianza externa primero es esencial la confianza interna, ya no vale el famoso dicho «el empleado es el eslabón más débil». Para este proceso los pasos a seguir son proteger, controlar y sensibilizar. No se trata de proteger al empleado, sino de proteger el ambiente de trabajo, cada vez gestionamos más información, y consecuentemente el entorno se puede encontrar fragmentado. Además, hay que formar a los trabajadores, de esta manera obtienen más herramientas útiles y su motivación aumenta.

Y por último, la confianza mutua entre partners, así como sensorizamos muchas empresas se mueven a plataformas que ofrecen métodos nuevos por conveniencia de esa innovación. La apertura es esencial, como buscamos la colaboración con terceros, incluso buscando las dependencias, para acordar una responsabilidad compartida. Lo principal para que la relación entre partners funcione es ofrecer estándares de confianza homogéneos. El índice de madurez sobre este aspecto es en las empresas pequeñas del 45%, en las medianas un 53% y en las grandes el 66%.

Confianza digital con cloud y automatización

Google utiliza herramientas, algoritmos y datos para saberlo todo sobre todos. Los datos mueven el mundo pero son difíciles de gestionar, a la vez que marcan la diferencia, pero lo más complicado es mantenerlos seguros, ya que pueden ser robados con gran facilidad. ¿Porque mantener nuestros datos a salvo es tan complejo? Las principales razones son tres:

  1. Innovación digital. Surgen nuevos perímetros (cloud público, entornos híbridos, multicloud, Edge…) y se producen inundaciones de datos (ratios de creación, duplicación, segmentación…)
  2. Sofisticación de los atacantes. Modelo de negocio complejo, insiders, entidades robadas, herramientas innovadoras…
  3. Errores humanos. Fallos de configuración, problemas para parchear, incumplimiento de políticas, falta de conocimiento, curiosidad humana…

El 54% de los encuestados declaró sufrir confusión con el modelo de responsabilidad compartida con SaaS. No se trata solo de contratar más expertos, sino de la competitividad por el talento de ciberseguridad. La mejor tecnología es la que compenetra seguridad con diseño, la que es activa y accionable, además de disponer de una buena automatización. Pero lo más importante es proteger los activos críticos para el negocio seguro, además de cumplir con la regulación.

Ambiente de las amenazas y correos maliciosos

Es de vital importancia saber como superar el desafío cibernético. Ahora los ataques son más rápidos que antes, se podría decir que van a velocidad de máquina. Se debe saber como llegan a la víctima, el 94% de estos ataques entran por los correos electrónicos de ingeniería social. Las amenazas también pueden ser internas, caso en el que la confianza es el valor primordial.

Utilización de Inteligencia Artificial para poder protegerse. Los ataques suelen ser de phishing, suplencias de identidad y las de siempre, las internas, empleados maliciosos que buscan causar daño a la empresa, o no maliciosos y que simplemente no manejan bien la información. Miles de amenazas son detectadas todos los días

Las redes sociales cada vez son más complejas por los dispositivos IoT y el 5G, y por los entornos Cloud y SaaS, nuestros datos están en la nube y continuamente los compartimos, estamos más expuestos hacia el exterior en comparación con antes. Es necesario cambiar la percepción sobre ciber protección, y saber identificar los comportamientos anómalos sobre los dispositivos y sobre los humanos (una impresora o emails en contacto con direcciones desconocidas, empleados que generar descargas de archivos fuera de lo común, o en horario fuera de trabajo). Y por otro lado, hay que entender que es anómalo para nosotros, cada negocio tiene su situación personal, no se pueden compartir reglas de comportamiento.

Confianza en acción: detección y respuesta

Años atrás hablábamos de la seguridad como un perímetro, pero en los últimos años con el cloud ese perímetro ha desaparecido, ya no existe. Para resolver esta ausencia de perímetro, el sentido común es buena estrategia, tratar de recibir el concepto cloud, no como imposición de negoció, sino como diseño de política de seguridad, que debe estar implementada desde la fase de diseño de la solución cloud. Tener una serie de herramientas que nos permita estsblecer un perímetro como concepto de establecer algo simple y fuerte.

El primer inconveniente en salir es la complejidad como enemigo, por ese motivo es importante intentar soluciones sencillas de gestionar para extender el perímetro al mundo cloud con políticas compatibles. Al igual que establecer una adecuada política de seguridad, herramientas que permitan analizar cargas de trabajo en el mundo multicloud, y herramientas de despliegue, y protegidas, de forma orquestada y segura de trabajo.

La ploriferación de estas herramientas puede ser un arma de doble filo, puede provocar una situación más compleja en las empresas que utilizan una gran variedad de herramientas, y puede provocar vulnerabilidades, dispositivos múltiples, datos y aplicaciones de los distintos coluds, y no es sencillo cubrirse de todo eso. Además la balanza está desequilibrada, en un lado hay gente sin experiencia con muchas herramientas gratuitas, y en la otra empresas que quieren protegerse y que no disponen de herramientas gratuitas.

También existen múltiples fabricantes, consolas distintas y una gran variedad para poder gestionar los distintos productos, lo que provoca señales difíciles de interpretar procedentes de tantos productos diferentes. Además, la respuesta es limitada ante una red de alta complejidad, y se genera una mayor ficción entre los usuarios. Cuantificar el riesgo de las empresas es una buena política preventiva, y se puede hacer planteados la medida de seguridad de Microsoft, recopilar las señales de distintos dispositivos y situaciones para poder reaccionar de manera más sencilla y más simple, lo que equivale a más segura.

El marco de la problemática de la adopción al cloud es entender los modelos de despliegue, porque tienen mucho significado detrás, y hay que saber de donde sacar el proveedor, el cliente, saber que modelo es el idóneo, etc. Además, la mayoría de las empresas o individuos no controlan los servicios de los que dispone desde cloud, y lo que es peor, tampoco controlan la gestión de la identidad, cuando es uno de los robos más extendidos y una de las grandes amenazas cibernéticas. 

Las problemáticas de disponer de toda la información en la nube aparecen a la larga, y las soluciones salen de la ciberseguridad. Es más que fundamental desde el principio,  debe estar incluida en todas las tomas de decisiones y es buena opción apoyarse en alguien que ofrezca este tipo de asesoría. También hay que tener un framework de seguridad para aplicarlo a todos los niveles, para poder guiar a todos los trabajadores hacia donde ir, y aprovechar las soluciones tecnológicas. Los datos son de la empresa y hay que llevar un control, asegurarnos de que le cloud establecido tiene un plan. Una vez implantada la seguridad hay que gestionarla.

Además, disponer del cloud es esencial, los niveles de seguridad tienen que encontrarse en todos los niveles para controlar todas las posibles vulnerabilidades. En el modelo de plataformas en la qual se enganchan partners, clientes, proveedores, etc. tienes que ser capaz de abrirla de par en par para transmitir la confianza necesaria. Otro punto importante, es como llega el problema, hay que ir a por él y afrontarlo antes de que venga a buscarnos, eso se consigue siendo sinceros con nosotros mismos.

Ser ágil, montarse en el cloud, utilizar AI, monitorizar todo lo posible, pero basarse en los «viejos amigos», las herramientas de seguridad que hemos utilizado siempre: buscar un framework, la gestión de desastres, evaluación de la seguridad de la empresa, ejercicios de respuesta, back up sencillo. Por último, una vez expuestas todas las posibles problemáticas y sus respectivas soluciones, hay que aprender a transmitir ese conocimiento de una seguridad responsable a los usuarios, porque una empresa, sobretodo cuando deja de ser Start-up, no puede funcionar sin la confianza digital.

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

El grupo Winnti tiene de nuevo a desarrolladores de videojuegos entre sus objetivos
Actualidad
8 compartido1,176 visualizaciones
Actualidad
8 compartido1,176 visualizaciones

El grupo Winnti tiene de nuevo a desarrolladores de videojuegos entre sus objetivos

Aina Pou Rodríguez - 25 mayo, 2020

ESET ha denominado PipeMon a este nuevo malware.  ESET, ha anunciado que sus investigadores han descubierto un backdoor modular utilizada…

Los usuarios de Geotab ya tienen disponible un modo de privacidad
Actualidad
8 compartido1,553 visualizaciones
Actualidad
8 compartido1,553 visualizaciones

Los usuarios de Geotab ya tienen disponible un modo de privacidad

Vicente Ramírez - 31 mayo, 2018

Los datos recopilados por los vehículos profesionales durante viajes personales seguirán siendo privados gracias a Privacy Mode. Geotab, empresa proveedora…

Tech Data ofrecerá soluciones de ciberseguridad de Malwarebytes a sus clientes europeos
Soluciones Seguridad
19 compartido2,347 visualizaciones
Soluciones Seguridad
19 compartido2,347 visualizaciones

Tech Data ofrecerá soluciones de ciberseguridad de Malwarebytes a sus clientes europeos

Mónica Gallego - 8 abril, 2019

El acuerdo permite que los clientes accedan a la solución de ciberseguridad líder «Endpoint Protection and Response» Tech Data ha…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.