Por qué la seguridad es un requisito previo para el éxito de la transformación digital

Artículo de José Battat, director general de Trend Micro Iberia

Vivimos en un período de profundos cambios, en el que los sistemas tecnológicos se han vuelto indivisibles de las sociedades, empresas y gobiernos a los que sirven. Los avances llegan tan rápido y en cantidades tan grandes que aquellos que no pueden aprovecharse se quedan atrás, mientras que los rivales más ágiles se mueven para ganarse los corazones y las mentes de una población cada vez más conocedora de la tecnología. Todo esto era una realidad a principios de año. Pero los acontecimientos de 2020, en todo caso, los ha puesto aún de mayor relieve. 

También han reforzado el mantra de que la transformación digital solo puede tener éxito si la ciberseguridad está incorporada desde el principio. Una y otra vez hemos visto durante el año pasado cómo las ciberamenazas pueden detener proyectos, disminuir el valor de los negocios e incurrir en enormes costes financieros y de reputación. Las organizaciones que lideran el camino con la innovación digital suelen ser también aquellas que tienen una sólida cultura de seguridad y protección de los datos por diseño y por defecto.   

¿Por qué digital?

Como industria, la transformación digital se estima que alcanzará un valor de más de 462.000 millones de dólares en 2024. ¿Por qué? Porque las organizaciones globales quieren nuevas formas de mejorar la productividad, racionalizar y optimizar los procesos internos y satisfacer las demandas siempre cambiantes de los clientes con agilidad e innovación. Para ello, buscan una serie de sistemas y soluciones tecnológicas: desde aplicaciones SaaS hasta el Internet de las Cosas (IoT), nubes híbridas y contenedores hasta microservicios y arquitecturas sin servidor.  

El viaje de la transformación digital comienza y termina con el cloud computing. Es el entorno en el que florecen DevOps, los contenedores y las nuevas arquitecturas ligeras para ayudar a las organizaciones a reaccionar rápidamente a las cambiantes condiciones del mercado. Es compatible con el tipo de flexibilidad, ahorro de costes y escalabilidad de TI que eran impensables en la era cliente-servidor.

Sin embargo, a medida que la industria madura, empieza a surgir otro problema: el outsourcing a los principales proveedores de cloud tenía como objetivo simplificar la TI, pero en su lugar, las organizaciones están empezando a invertir en múltiples nubes de múltiples proveedores. Alrededor del 76% utiliza hoy en día entre dos y 15 nubes híbridas, según IBM. Este tipo de complejidad es el enemigo de la ciberseguridad.

Al mismo tiempo, los dispositivos inteligentes y conectados se abren paso en todo tipo de sistema tecnológico, desde fábricas a entornos de retail, hospitales a aviones. Para 2025 habrá casi 42.000 millones de estos dispositivos generando 79,4 zettabytes (ZB) de datos, de acuerdo con IDC. Lamentablemente, los gobiernos apenas se están empezando a dar cuenta del problema ahora: no existen normas de calidad o seguridad básicas ni mecanismos de cumplimiento. Hasta que los haya, se trata de un caso de: «El comprador de TI debe tener cuidado”. 

Por lo tanto, aunque estas tecnologías ya están cambiando la forma en que vivimos y trabajamos, y dotando a las organizaciones de las herramientas para crear nuevas y fantásticas experiencias para los clientes y eficiencias operativas, existen riesgos. Las inversiones digitales ayudan a extender la superficie de ataque corporativa, creando un objetivo más grande a la que los actores malintencionados se pueden dirigir y generando más datos para que los roben. Al mismo tiempo, nuestra creciente dependencia de estas tecnologías y de los datos que fluyen a través de ellas, las convierte en un objetivo atractivo para los extorsionadores del cibercrimen.

El panorama de amenazas se ha democratizado

Mientras la superficie de ataque corporativo crece, también lo hacen las capacidades de aquellos que desean dañar nuestra infraestructura y a nuestros usuarios. Se dice que la economía del cibercrimen vale más que el PIB de muchos países, con un estimado de 1,5 billones de dólares anuales. Los mercados de la dark web e incluso los canales de la web en la superficie proporcionan un mercado preparado para el comercio de malware, datos robados, herramientas de hacking y conocimientos. Las ofertas «como servicio» y las herramientas preempaquetadas han abierto la puerta a una nueva generación de ciberdelincuentes no tecnológicos. Las herramientas automatizadas permiten a los atacantes lanzar incursiones masivas e indiscriminadas en las cuentas online de los usuarios y exponer los sistemas cloud corporativos con el clic de un ratón. 

¿El resultado? Ciberamenazas a una escala sin precedentes. Solo Trend Micro bloqueó casi 28.000 millones en la primera mitad de 2020. Las detecciones de Business Email Compromise (BEC) aumentaron en un 19% desde la segunda mitad de 2019, mientras que el número de nuevas familias de ransomware se disparó en un 45% desde el primer semestre de 2019. Zero Day Initiative publicó un 74% más de vulnerabilidades que en los seis meses anteriores. 

Es fácil distraerse con los titulares. En realidad, muchos más ataques pasan desapercibidos, ya que los ciberdelincuentes utilizan técnicas sofisticadas como «living-off-the-land» para permanecer ocultos. Detrás de las cifras hay una cruda realidad para muchas organizaciones. Se estima que las brechas de datos cuestan a cada organización casi 3,9 millones de dólares de media, pero pronto se intensificarán. Si se pierden entre 1 y 10 millones de registros, se dice que los costes son de 50 millones de dólares de media, mientras que para las brechas de más de 50 millones de registros la cifra alcanza la asombrosa cantidad de 392 millones de dólares.  

No se trata solo de estos costes por los titulares: la pérdida grave de datos o las interrupciones del servicio relacionadas con el ransomware pueden afectar al precio de las acciones, provocar el desgaste de los clientes, dar lugar a multas reglamentarias y posteriores demandas judiciales, y provocar daños duraderos a la marca más difíciles de cuantificar. Pero lo que es peor, los futuros ataques podrían incluso poner en peligro la vida, elevando el ciberriesgo corporativo a un nivel completamente nuevo. Somos testigos del reciente ataque de ransomware a un hospital alemán que tristemente condujo a la muerte de un paciente. A medida que el IoT comienza a jugar un papel más importante en nuestras vidas, fusionando la tecnología con el mundo físico, existe la posibilidad de que se produzcan graves daños a las personas atrapadas en el medio. No es nada tranquilizador ver que un tercio de los dispositivos de IoT actualmente online están infectados con malware. 

El problema con la gente

Mientras que los tenebrosos ciberdelincuentes y los operativos de los Estados-nación generan grandes titulares, la verdad sobre las brechas de seguridad suele ser más mundana. De hecho, es una historia más relacionada con el error humano. Esto fue un evento causal en casi un cuarto (22%) de las brechas de datos del año pasado, según Verizon. Los errores de configuración, mientras tanto, fueron nombrados por los profesionales de TI como la amenaza número uno de la seguridad en la nube. 

Estos últimos son particularmente graves ya que pueden exponer datos altamente sensibles almacenados en la nube a los atacantes que utilizan herramientas de escaneo automatizado, como cada vez más lo hacen. Trend Micro identifica la asombrosa cifra de 230 millones de estos errores cada día. Incluso cuando el proveedor cloud establece configuraciones predeterminadas para asegurarlas, éstas pueden ser cambiadas por equipos de TI que buscan agilizar los flujos de trabajo internos. A veces los cambios los realiza una tercera parte, ya sea un partner o una empresa subcontratada, y el problema suele agravarse por un malentendido del papel que el proveedor de servicios en la nube (CSP) desempeña con la seguridad, en comparación con el cliente. Las organizaciones harían bien en familiarizarse mejor con los modelos de responsabilidad compartida de cada proveedor.  

Acumulando problemas

Por tanto, la ciberseguridad es fundamentalmente un desafío humano. El phishing se ha convertido en los últimos años en el principal vector de amenaza, precisamente porque se dirige al eslabón más débil de una organización: sus empleados. Las estafas BEC hacen lo mismo, utilizando simples técnicas de ingeniería social para engañar a los usuarios para que compren tarjetas regalo o realicen grandes transferencias de dinero a cuentas de terceros. 

Estos desafíos se han intensificado en muchos casos por el nuevo entorno de trabajo remoto en el que se encuentran muchas organizaciones. Ha dejado a los empleados desorientados utilizando  ordenadores y dispositivos potencialmente inseguros a merced de convincentes ataques de phishing. En muchos casos, se ha descubierto que las VPN son deficientes y la falta de visibilidad de estos nuevos endpoints ha dejado a algunos sin actualizaciones de seguridad. Con recursos limitados, la atención se ha centrado en apoyar la transformación digital y las operaciones de TI en lugar de la seguridad, por ejemplo, garantizando que los usuarios puedan conectarse a los recursos de la nube y a las aplicaciones de colaboración SaaS.

Sin embargo, si no se incluye la seguridad en estos debates, esas iniciativas pueden fracasar. Un estudio reveló de forma preocupante que el 93% de los líderes mundiales de TI han retrasado las prioridades de seguridad en el empeño de apoyar el trabajo remoto. Esto corre el riesgo de acumular problemas para el futuro si, por ejemplo, los endpoints no se parchean.

¿Qué viene después?

La única manera de abordar estos innumerables desafíos es, por lo tanto,  a través de esa combinación clásica de personas, procesos y tecnología. Los equipos necesitan formación y capacitación, casi continuamente, para adelantarse a las amenazas de phishing y mantenerse actualizados en las mejores prácticas para el manejo de datos. Esto no tiene por qué ser oneroso: existen muchas herramientas para ayudar a cambiar el comportamiento del usuario mediante breves ejercicios de simulación, que se repiten a menudo. Tampoco hay que olvidar al equipo de TI: la brecha de habilidades y la escasez de conocimientos en materia de ciberseguridad son una amenaza crítica para todos nosotros, y pueden ser un importante factor en la expansión  de la mala configuración de la nube. Si le resulta difícil contratar, considere la posibilidad de ampliar la red a candidatos de fuera de la industria. 

Las políticas deberán actualizarse y comunicarse bien para reflejar la nueva realidad del teletrabajo masivo. Si espera que el personal nunca use dispositivos personales para trabajar, entonces explíquelo y exponga cuáles son las repercusiones. Las herramientas de gestión remota pueden ayudar a proporcionar visibilidad y control de los endpoints distribuidos, mientras que los controles de seguridad deben aplicarse en un enfoque de «defensa en profundidad» en todas las capas de la infraestructura on-premise y cloud. Su esforzado equipo de seguridad le agradecerá por consolidar tanto como sea posible en menos proveedores interoperables que hagan un uso intensivo de la inteligencia artificial (IA) y la automatización para hacer gran parte del trabajo más pesado.

Esto es solo el comienzo. Con el genio digital definitivamente fuera de la lámpara, el foco debe estar en la gestión continua del riesgo, con una cultura de seguridad por diseño que recorra toda la organización. Este es el camino hacia el éxito de la transformación digital y para una recuperación sostenible de la crisis actual.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio