El desafío general para los directores de seguridad de la información (CISO) y los equipos de ciberseguridad consiste en proteger las instituciones al tiempo que facilitan que las operaciones continúen sin interrupción. Por ejemplo, los equipos de ciberseguridad en las empresas que brindan servicios basados en la web deben ajustar sus programas de seguridad para que coincidan con las operaciones ampliadas y, al mismo tiempo, asegurar un cambio masivo a herramientas de teletrabajo. Al mismo tiempo, los CISO deben hacer posible que los miembros del equipo de seguridad se cuiden a sí mismos y a sus familias durante esta emergencia sanitaria.
Abordar estas necesidades diversas y, a veces, competitivas no será fácil. Sin embargo, existen unos principios básicos para hacer frente a este desafío. En este artículo recomendamos cuatro de estos conceptos estratégicos:
A medida que las organizaciones han ido cerrando sus puertas y se ha instaurado el confinamiento de las personas, gran cantidad de trabajo se ha trasladado al ámbito digital. Los trabajadores y los estudiantes se quedan en casa, utilizando servicios de videoconferencia, plataformas de colaboración y otras herramientas digitales para hacer negocios y tareas escolares. En su tiempo libre, se conectan para comprar, leer, chatear, jugar y transmitir. Todos estos comportamientos ponen un inmenso estrés en los controles y operaciones de ciberseguridad.
De hecho, destacan varias vulnerabilidades importantes:
Trabajar desde casa ha abierto múltiples vectores para ataques cibernéticos. Por ejemplo: transmisiones de datos no seguras al no emplear software VPN, aplicación débil de comportamientos de mitigación de riesgos (el «firewall humano») y estrés en los empleados al eludir los controles en aras de hacer sus funciones.
Cuanto más luchen los empleados confinados en sus hogares para acceder a datos y sistemas, más intentarán usar soluciones alternativas arriesgadas. Los equipos de ciberseguridad deberán proteger los sistemas de trabajo desde el hogar y probar y escalar VPN y herramientas de respuesta a incidentes. Además, es posible que deseen revisar las políticas de administración de acceso para que los empleados puedan conectarse a la infraestructura crítica a través de dispositivos personales o canales abiertos con conexión a Internet.
Las tácticas de ingeniería social están en aumento. En los juegos de ingeniería social, los atacantes intentan obtener información, dinero o acceso a sistemas protegidos engañando a los usuarios legítimos.
Las empresas están siendo testigos de un aumento en las campañas de phishing por correo electrónico cargadas de malware que toman prestadas las identidades de empresas de salud, ayuda y otras organizaciones benévolas. Los estafadores que se hacen pasar por equipos de mesa de ayuda corporativos solicitan a los trabajadores sus credenciales de seguridad mediante phishing de texto («smishing«) y phishing de voz («vishing«). Los estafadores de correo electrónico han intentado que los ejecutivos muevan dinero para financiar proveedores, operaciones y actividades de respuesta relacionadas con el Coronavirus.
Los hackers utilizan sitios web con baja seguridad para infectar con malware. Con la creación de nuevos dominios y sitios web para difundir información y recursos para combatir el Coronavirus, los atacantes están explotando los débiles controles de seguridad en muchos de estos sitios para propagar malware a través de descargas automáticas.
En general, estos ciberatacantes ocultan malware fácilmente dentro de mapas de calor del Coronavirus o aplicaciones de alerta temprana. Una vez instalada, dicha aplicación maliciosa roba los datos confidenciales del usuario (por ejemplo, información personal, tarjetas de crédito y datos bitcoin). Algunas aplicaciones de malware lanzan ataques de ransomware, que bloquean el sistema de un usuario hasta que pagan una cierta cantidad de dinero al atacante.
Las organizaciones del sector público están experimentando una gran presión. Una gran entidad gubernamental en Norteamérica sufrió un ataque de denegación de servicios destinado a interrumpir los servicios y emitir información errónea al público. Un importante hospital en Europa sufrió un ataque cibernético que lo obligó a suspender las operaciones programadas, cerrar su red de IT y trasladar a los pacientes de cuidados intensivas a otra unidad. Y un departamento de un gobierno local tenía su sitio web encriptado por ransomware, evitando que los funcionarios pudieran publicar información para el público y su acceso a determinados archivos.
Si bien muchos CISO y otros ejecutivos han aprovechado sus experiencias con crisis pasadas para responder a las primeras etapas del brote de COVID-19, la gran escala y la duración impredecible de la pandemia son inusuales. No hay un libro protocolario al que los CISO puedan acudir a modo de guía. Sin embargo, resulta especialmente útil seguir las siguientes cuatro prácticas.
Los equipos de ciberseguridad y tecnología deben centrarse en admitir solo aquellas características de tecnología y seguridad, capacidades y despliegues de servicios que son críticos para las operaciones. Dentro de estas áreas se incluyen el mantenimiento de las operaciones de seguridad, la mitigación de los riesgos de acceso remoto a datos confidenciales y entornos de desarrollo de software, y la implementación de autenticación multifactor para permitir a los empleados trabajar desde casa.
Las organizaciones también deben reiterar a las plantillas sus protocolos de seguridad para el teletrabajo, así como sus procedimientos para la identificación y escalada de amenazas. Los empleados de primera línea desempeñarán un papel especialmente importante para mantener la seguridad de la organización, ya que las medidas de seguridad normales en las instalaciones se vuelven menos relevantes.
Si la organización tiene planes de riesgo de seguridad o tecnología de cualquier tipo, como planes de respuesta a incidentes, continuidad comercial, recuperación ante desastres, sucesión de talentos y sucesión de proveedores, entonces hay que probarlos de inmediato.
En el caso de que la empresa no cuente con planes adecuados, habrá que crearlos y probarlos. Habrá que determinar si el enfoque de respuesta al riesgo de la organización es efectivo y eficiente. Eliminar los eventos de riesgo es imposible, pero se puede reducir el riesgo exacerbado asociado con una respuesta deficiente.
Es aconsejable reunir todos los recursos disponibles para ayudar con el monitoreo, lo que permitirá activar la respuesta al riesgo y la recuperación. Las áreas para el monitoreo intensificado pueden incluir el monitoreo remoto de herramientas de colaboración, el monitoreo de redes para detectar nuevas y cepas de malware y el monitoreo de empleados y puntos finales para detectar incidentes relacionados con los datos antes de que generen un riesgo operativo.
Es probable que los equipos de ciberseguridad reciban avalanchas de solicitudes urgentes para saltarse la política de seguridad y permitir así que los equipos en remoto puedan trabajar. Si bien los CISO pueden estar inclinados a negar tales solicitudes con el fin de prevenir riesgos indebidos, también deben tener en cuenta la importancia de mantener la continuidad del negocio en estos momentos de pandemia.
Para respaldar las operaciones continuas, los CISO pueden necesitar tolerar un riesgo ligeramente mayor a corto plazo mediante la concesión de exenciones o la relajación temporal de algunos controles. Un enfoque complaciente alentará a los colegas a realizar intercambios inteligentes de riesgos.
Dicho esto, los CISO no deberían permitir que estas excepciones debiliten permanentemente la postura de riesgo de la organización. Si los CISO otorgan exenciones o relajan los controles, deben establecer procesos formales de evaluación y revisión e implementar límites de tiempo para forzar la reevaluación periódica o limitar las excepciones a grupos particulares de usuarios.
Por encima de todo, la crisis del COVID-19 es un desafío humano. Todos hacemos malabarismos con las responsabilidades profesionales y las personales. Es probable que las próximas semanas y meses traigan aún más incertidumbre. Al adherirse a las prácticas que describimos (enfoque, prueba, monitoreo y equilibrio), los CISO pueden cumplir con sus responsabilidades de mantener la ciberseguridad de las instituciones y la continuidad del negocio sin dejar de cumplir con sus obligaciones con los equipos de trabajo.