01 Mayo, 2022 | A medida que las organizaciones van adoptando cada vez más y más el uso de infraestructuras y tecnologías de nube en su estrategia de negocio (se prevé un aumento de hasta un 6% en los próximos meses), se vuelve sumamente importante que el CISO se detenga a pensar en si su estrategia y postura de seguridad es la idónea, no solo para acompañar y responder a las necesidades de la organización, sino también, para prepararla en su batalla contra las ciberamenazas, y con mayor énfasis o urgencia en estos tiempos en los cuales la pandemia ha disparado la cantidad de delitos cibernéticos. Según estadísticas, se presenta un delito informático cada 39 segundos y según el FBI, desde el inicio del covid 19, los ciberataques aumentaron un 300%. De estos ciberataques, un 43% son dirigidos hacia empresas pequeñas (menos de 500 empleados). Considerando todo esto, la labor que haga el CISO respecto a lograr equilibrar la seguridad con las necesidades del negocio es fundamental. Es vital reforzar la seguridad sobre estos entornos, considerando o teniendo la certeza que un incidente va a ocurrir, una afectación se va a presentar, pero sobre todo y siendo lo más importante, que lo peor puede evitarse. Ahora, ¿qué debe considerar un CISO para que su estrategia de seguridad sea efectiva en la nube? Aplicar la seguridad sobre los entornos de nube no debe suponer un sacrificio de las ventajas que este tipo de servicios otorga. En este sentido, los mismos fabricantes de servicios de nube y proveedores de ciberseguridad se han puesto del lado del cliente y han empezado a responder con tecnología y servicios capaces de hacer frente a los desafíos de seguridad sobre dichos entornos. De acuerdo a nuestros expertos del GBM Cybersecurity Center, un CISO o líder de seguridad debe incluir en su estrategia y postura de seguridad en la nube al menos las siguientes 10 consideraciones: Delimitar claramente los roles y responsabilidades de seguridad internas (misma organización) y externas (MSP y terceros) con acceso a dichos entornos. La fase del diseño y establecimiento de la estrategia de seguridad, se recomienda que se trabaje bajo un estándar CARE (Consistent, Adequate, Reasonable, Effective), y bajo un enfoque de unificación, integración y automatización de la seguridad (controles, procesos y tecnología). Adicionalmente, para poder acompañar de forma proactiva e integral las iniciativas de negocio, apoyando en el aseguramiento de la calidad y seguridad de sus productos o servicios de nube, se recomienda adoptar una cultura DevSecOps (o SecDevOps) y de “Lift and Shift”, evitando el grave error de muchas organizaciones de desplegar primero y remediar después. Por último, considerar el aporte que puede brindar un proveedor con servicios de CSTO para optimización de las operaciones y costos de la seguridad tanto a nivel local y de nube. Adoptar un marco normativo y metodologías de seguridad para entornos de nube como ISO 27017, 27018, IaC (Secure CI/CD the pipeline), entendiendo ademas que marcos de trabajo como COBIT5, ISO 27001, ISO 22301, NIST CSF y que los controles CIS y SOX aún tienen mucho valor e injerencia en estos entornos. Importante no descuidar el cumplimiento con regulaciones de privacidad como GDRP. Realizar un análisis BIA para identificar activos críticos sobre la nube y riesgos asociados. Establecer una postura de seguridad de nube resiliente (CSPM - Cloud Security Posture Management), iniciando con una evaluación del estado de seguridad y riesgos de dichos entornos. De inicio, lo más recomendable es contratar los servicios de un proveedor experto en ciberseguridad de nube (tipo CSPMaaS o CSAS) para evitar ser juez y parte, más cuando dentro de nuestras organizaciones no contamos con personal capacitado para esta labor. La seguridad en la conectividad se ha vuelto más importante ahora que el perímetro de seguridad de las organizaciones ha cambiado por el teletrabajo, se hace necesario entonces considerar la implementación de tecnologías como SASE (Secure Access Service Edge), que brinden capacidades robustas de Zero Trust Network Access, enfocadas en NetSecOps y SecOps. El camino más factible para implementar este tipo de soluciones es escoger un fabricante que ya cuente con tecnología que integre de forma nativa ambas operaciones de seguridad. Importante no asumir que nuestro MSP va a ayudarnos a mantener nuestros sistemas libres de vulnerabilidades, riesgos y amenazas. Ésta era una responsabilidad que anteriormente el proveedor del servicio de nube estaba asumiendo, pero ha vuelto a recaer sobre la propia organización. Debido a la complejidad de estos entornos, falta de recursos humanos y la misma dificultad de la tarea, existe la opción de considerar la contratación de servicios que ayuden a mantener nuestra postura de seguridad actualizada y adaptada a la realidad. Servicios tipo VMaaS para la gestión de vulnerabilidades, CSPMaaS para mantener un ciclo de gestión de riesgos de seguridad y asegurar que la organización esta empleando mejores prácticas, y por último, servicios de pruebas de penetración sobre entornos de nube. La nube además ayuda a implementar de forma más fácil y dinámica controles de encripción avanzada sobre “data lakes”, bases de datos y procesos de comunicación. Instaurar una cultura de seguridad sobre sus empleados, brindando concientización en seguridad. Dotar a la organización de capacidades tecnológicas y de recurso humano suficientes para detectar y responder a incidentes. Realmente este último punto es verdaderamente crítico. Tener falencias no identificadas o correctamente atendidas en nuestras capacidades de preparación, detección, respuesta y recuperación frente a incidentes puede resultar catastrófico para una organización. Por tanto, lo más recomendable es que dentro de la estrategia de seguridad se considere tener un equipo dedicado únicamente a atender este proceso. Sin embargo, debido a la falta de presupuesto, falta de personal capacitado y falta de tecnología, lograr atender este punto puede complicarse para la gran mayoría de las organizaciones. Lo más recomendable en estos casos es tercerizar el proceso de detección y monitoreo de amenazas. Sin embargo, aunque en la actualidad ya existen proveedores tipo SOC, los cuales trabajan bajo un modelo tradicional en el cual únicamente transmiten alertas y gran cantidad de falsos positivos, lo cual genera un valor muy limitado (ROI difícil de justificar), ha surgido un nuevo modelo de SOC llamado SOCaaS (SOC as a Service), el cual, basa su modelo a partir de flexibilidad, fusión e integración de estrategias, tecnologías, procesos y personas de ambas partes, dotando de grandes capacidades de preparación, detección y respuesta a incidentes a la organización, así como también, aprovisionando de personal expertos en gestión de ciberincidentes en situaciones críticas. Por tanto, se sugiere optar por buscar este tipo de servicios de SOC, sobre todo si el presupuesto es límitado. Conclusión Pequeñas, medianas y grandes empresas, ninguna de éstas está excenta de sufrir una brecha de datos o de ser blanco de un ciberataque. Por tanto, para que las organizaciones logren hacer frente a todos los desafíos de seguridad de sus entornos de nube, es vital que estas consideren y comprendan a cabalidad cuál es su contexto de seguridad de sus entornos de nube, sus riesgos y adaptar sus estrategias de seguridad a las necesidades de la organización. El GBM Cybersecurity Center está consciente de los retos que enfrentan las organizaciones en materia de seguridad. Nuestro enfoque se basa en la creencia de que cada organización tiene desafíos de ciberseguridad únicos. Es por eso que ha definido un portafolio de soluciones y servicios de seguridad de proxima generación, los cuales les permiten a sus clientes apalancar sus esfuerzos en seguridad y responder a las necesidades de su negocio. Conozca más sobre como podemos apoyarlo: https://www.gbm.net/es/ciberseguridad

01 Mayo, 2022 | En nuestro entorno, es común escuchar que empresas u organizaciones han sido víctimas de ataques cibernéticos. De más esta decir que la labor de defender a las organizaciones frente a las ciberamenazas y ciberataques es una labor que resulta desafiante y compleja para las áreas o departamentos de ciberseguridad o seguridad. En el afán de prepararnos para defender a nuestras organizaciones, establecemos estrategias y modelos de seguridad enfocadas en la adopción e implementación de marcos de gestión, políticas/ directrices y herramientas de seguridad.  Sin embargo, a pesar de todos estos esfuerzos, la mayoría de las brechas o incidentes son descubiertos semanas o inclusive meses después de haber ocurrido. FireEye en su Security Effectiveness Report 2020 indicaba que el 53% de los ciberataques no son descubiertos oportunamente. Por su parte, IBM en el Cost Of Data Breach Report 2019 presentó un análisis de causas de los incidentes de seguridad y estimó que el 51% de éstos tuvieron como origen un ciberataque.  De acuerdo con lo anterior, asumir o pensar que nuestra organización jamás será el blanco de este tipo de hechos sería un error catastrófico. Es más, podría ser que nuestra organización ya haya sido víctima de los cibercriminales, pero quizás aún no lo sepamos. Por tal razón, conviene preguntarnos: ¿Cómo puede mi organización anticiparse y mantener el ritmo cambiante del mundo de las ciberamenazas? Para encontrar la respuesta, conviene entonces que consideremos adoptar en nuestra postura de seguridad la “inteligencia de amenazas”.  Guiar la defensa a través de inteligencia Entre algunas de las frases más célebres que se encuentran en la obra “El Arte de la Guerra”, se dice que la mejor forma de vencer es ser prudentes, reconocer nuestras debilidades y adaptarnos permanentemente al propósito del enemigo. Al igual que en una partida de ajedrez, en el mundo de la ciberseguridad, para lograr equilibrar el campo de batalla del ciberespacio, debemos enfocarnos en analizar y estudiar a nuestro enemigo. Por ejemplo, podríamos hacernos las siguientes preguntas: ¿que podría motivarles a atentar contra nuestra organización?, ¿qué intentarían extraer o dañar?, ¿cómo podrían hacerlo? Es acá donde encontramos el valor o utilidad a la inteligencia de amenazas. Quizás en el pasado hayamos escuchado hablar sobre inteligencia de amenazas o cyber threat intelligence (CTI por sus siglas en ingles), ya que este término es muy utilizado por los proveedores de seguridad para resaltar la capacidad que tienen sus soluciones a la hora de detectar, contener y responder ante una amenaza. Sin embargo, este término también puede emplearse para hacer referencia a la capacidad que tiene una organización de responder de forma anticipada y oportunamente ante una amenaza o ciberataque. ¿Cómo se logra desarrollar la inteligencia de amenazas? Esto se logra a través del diseño de un programa de inteligencia, que funciona a través de un ciclo, el cual inicia desde la identificación del contexto de la organización, contexto de los activos, la recolección, selección y análisis de la información o datos que proveen los sistemas o herramientas de seguridad. Una vez concluido el proceso anterior, éste dará como resultado la información que será utilizada como inteligencia de amenazas. ¿Cómo utilizar la inteligencia de amenazas? Dicha información debe servir para diseminarla en nuestros sistemas de defensa y frentes o vectores de ataque, con el fin de que éstos logren principalmente prevenir y detectar indicadores de compromiso o IOC’s (por sus siglas en ingles Indicator of Compromise) presentes en nuestra organización. Pero también, servirán para que nuestros equipos de seguridad cuenten con información acertada al momento de gestionar y responder a incidentes de seguridad. Sin embargo, es importante aclarar algunas cuestiones: La inteligencia de amenazas no se obtiene por el hecho de recopilar grandes cantidades de datos e información, sino más bien, que ésta sea de valor y utilidad para que nuestra organización pueda defenderse de las ciberamenazas. Si nuestro único insumo para desarrollar inteligencia son los datos e información que se generan en nuestra organización, estaríamos limitando enormemente la efectividad y el desarrollo del programa de inteligencia de amenazas. La inteligencia de amenazas debe incorporar recursos, tecnologías y servicios de proveedores especializados en ciberseguridad e inteligencia de amenazas, con el fin de aprovechar el conocimiento que estos han recopilado de amenazas. El mundo de las amenazas Hablando estrictamente del mundo de las amenazas, Cisco en su Threat Of The Year Report 2019 señalaba la velocidad con la que surgen nuevas ciberamenazas, siendo éstas cada vez más sofisticadas. Además, presentó las amenazas que marcaron tendencia a lo largo del 2019, siendo éstas las APT’s, ransomware, phishing, spear phishing, DNS hijacking, RATs, C2, otros. Ahora pensemos por un momento en la cantidad de tiempo que los analistas o equipos de seguridad invierten revisando datos o información irrelevantes, descartando verdaderos o falsos positivos, lo cual, termina generando una gran cantidad de alertas de seguridad imprecisas o irrelevantes.  Todo esto repercute gravemente en la capacidad que tiene una organización respecto a la detección preventiva de una amenaza o ciberataque y, por tanto, aumenta significativamente los tiempos de detección de amenazas reales y su respuesta a incidentes.  Mientras las organizaciones tienen este tipo de problemas, el mundo de los cibercriminales está mucho más organizado y desarrollado. Éstos cuentan con una comunidad conformada por una gran cantidad de individuos, los cuales intercambian nuevas y cada vez más sofisticadas técnicas de ataque  Lo último en amenazas avanzadas e información sobre posibles “objetivos de ataque” (organizaciones). Por tanto, podemos decir que su forma de operar se basa en hacer “inteligencia de amenazas”. Éste ha sido un factor determinante para que los cibercriminales tengan mayor probabilidad de éxito al momento de dirigir su atención hacia las organizaciones con el objetivo de hacerles daño.  La inteligencia de amenazas como prioridad estratégica Desde hace mucho tiempo empresas, instituciones de estado o de gobierno ya han probado la validez que tienen de adoptar la inteligencia de amenazas en sus organizaciones. Estos beneficios se logran evidenciar cuando se identifican riesgos de seguridad que anteriormente no se habían considerado, cuando se visualizan amenazas que anteriormente no se habían detectado, cuando se generan alertas de seguridad reales o hasta cuando se responde a incidentes de seguridad. Sin duda, la implementación de marcos de trabajo, regulaciones y controles adicionales fortalecerá la postura de seguridad de las organizaciones. Sin embargo, actualmente ninguna de estas medidas ofrece una guía o directriz sobre cómo robustecer la postura de seguridad frente a las ciberamenazas de forma aterrizada y detallada. Además, si solo basamos nuestra estrategia y postura de seguridad en lo que las herramientas o sistemas de seguridad pueden hacer, estaríamos limitando la capacidad y potencial que éstos pudiesen llegar a tener si tan solo les proveyéramos insumos de inteligencia obtenidos de nuestro entorno. Por tanto, incorporar inteligencia de amenazas a nivel estratégico, táctico y operativo debe ser considerada una prioridad para lograr defender a nuestras organizaciones de las amenazas. Dotar a nuestros sistemas de defensa de la capacidad de ser resiliente o adecuarse de forma dinámica a las nuevas técnicas, amenazas avanzadas serán vital en la lucha que los equipos o áreas de seguridad tienen constante contra las amenazas cibernéticas.