Trace Id is missing

CISO Insider: Número 1

Descargar
Compartir
Un hombre mira una tableta en un almacén.

Navega por el panorama actual de las amenazas con análisis y recomendaciones exclusivas de los líderes de seguridad.

Soy Rob Lefferts y dirijo el equipo de ingeniería de seguridad de Microsoft 365. Mi equipo, y los equipos de investigación de seguridad de Microsoft con los que trabajamos, estamos constantemente centrados en descubrir y combatir las últimas tendencias de amenazas a las que se enfrentan nuestra empresa, nuestros clientes y toda la comunidad global.

Hasta ahora, solo hemos compartido nuestros informes de amenazas internamente, pero hemos decidido empezar a divulgarlos públicamente en el CISO Insider. Nuestro objetivo es ofrecer a las organizaciones de todo el mundo la información de seguridad más actualizada y pautas para protegerse a sí mismas y a sus clientes de manera más eficaz contra los ciberdelitos.

El número 1 arranca con tres temas de vital importancia para muchos de nosotros:

  • Tendencias de los ataques: A medida que cambian los ataques, los principios básicos siguen ofreciendo una valiosa protección
  • El riesgo de hacer negocios: Gestión de las amenazas de la cadena de suministro
  • Nuevos enfoques para abordar la escasez de talentos de seguridad

La COVID-19 ha obligado a las organizaciones a  confiar más en la flexibilidad del lugar de trabajo y acelerar la transformación digital, y estos cambios han exigido naturalmente otros cambios en las tácticas de seguridad. El perímetro se ha expandido y cada vez es más híbrido, ocupando varias nubes y plataformas. Aunque las nuevas tecnologías han supuesto una parte importante para muchas organizaciones, creando productividad y crecimiento en tiempos desafiantes, los cambios también han ofrecido una oportunidad a cibercriminales que trabajan para aprovechar las vulnerabilidades de los entornos digitales cada vez más complejos.

El auge de los ataques de phishing relacionados con el trabajo remoto es una de las mayores preocupaciones de los profesionales de la seguridad con los que hablo, y esto también lo vemos reflejado en nuestros estudios. En una encuesta de Microsoft de líderes de seguridad realizada en 2020, el 55 por ciento nos explicó que sus organizaciones habían detectado un aumento en los ataques de phishing desde el principio de la pandemia, y el 88 por ciento afirmó que los ataques de phishing habían afectado a sus organizaciones. También oigo hablar constantemente de un aumento en los ataques de ransomware, de cómo el malware sigue siendo una amenaza constante y cómo la usurpación de identidad sigue siendo el principal reto al que se enfrentan los equipos de seguridad.

Asimismo, sabemos que los ataques de Estado son cada vez más agresivos y persistentes. El ataque de cadena de suministro de NOBELIUM, que utiliza la plataforma SolarWinds, fue uno de los muchos nuevos ataques que han saltado a los titulares en el último año. Aunque las nuevas técnicas más efectistas son las que suelen acaparar las noticias, los CISO me cuentan siempre que incluso estos actores de amenazas avanzadas, como la mayoría de los ciberdelincuentes, tienden a centrarse en ataques de oportunidad de bajo coste y alto valor.

“Que los estados nación vayan a atacarme a mí y a mi empresa es como que te caiga un rayo en una tormenta. Puede ocurrir, me preocupa, pero no tanto como me preocupan mis actividades del día a día, mi seguridad básica”.
CISO de servicios financieros

Para ilustrar aún más esta cuestión, hemos observado un repunte en los atacantes de estado nación que utilizan ataques de difusión de contraseña. Ser un líder en seguridad implica gestionar el riesgo y establecer prioridades, muchos líderes me cuentan que su principal prioridad es fortalecer la higiene cibernética para prevenir las líneas de ataque más habituales, especialmente en su creciente huella digital. Nuestros datos e investigación concuerdan con esto: estimamos que la higiene de seguridad básica aún protege contra el 98 % de ataques (consulta la página 124 del Informe de protección digital de Microsoft de octubre de 2021).

La mayoría de líderes de seguridad con los que hablo están de acuerdo en los pasos básicos de una estrategia de seguridad:

  • Implementar la autenticación multifactor (MFA) y una directiva de registro
  • Obtener visibilidad de su entorno
  • Formación de usuarios
  • Estar al día en materia de aplicación de revisiones y administración de vulnerabilidades
  • Administrar y proteger todos los dispositivos
  • Proteger las configuraciones de recursos y cargas de trabajo locales y en la nube
  • Garantizar una copia de seguridad para los escenarios de recuperación en el peor de los casos
“Al final, la mayoría de las veces es… una contraseña tonta en una cuenta con privilegios, o que alguien no ha implementado en un determinado punto de conexión necesario”.
Healthcare CISO

Puedes pensar que es fácil hablar sobre los pasos básicos de seguridad, pero mucho más difícil implementarlos en la vida real, especialmente cuando un equipo tiene una sobrecarga de trabajo y está corto de personal. No obstante, yo diría que ser un líder en seguridad consiste en gestionar tanto el riesgo como las prioridades, y eso hace que centrarse en los aspectos básicos sea un enfoque verdaderamente pragmático. Con demasiada frecuencia, los incidentes no son cuestión de SI, sino de CUÁNDO. Hay cientos de alarmantes estadísticas de ciberseguridad, como que cada día se cometen alrededor de 4000 ataques de ciberdelito solo en EE. UU. y que más de 30 000 sitios web son atacados al día en todo el mundo.

Creo que la mejor línea de defensa es utilizar un enfoque equilibrado, e invertir en prevención a la vez que en detección de incidentes y respuesta.

Aunque puede parecer difícil invertir en nuevos niveles de prevención a la vez que intentamos estar al día de las crecientes demandas de detección y respuesta, encontrar el equilibrio adecuado entre ambos enfoques es esencial y beneficioso. Un Estudio de Ponemon Institute e IBM Security de 2021 observó que en las organizaciones sin un equipo o un plan de respuesta a incidentes, el coste medio de las vulneraciones de datos aumentó en un 55 por ciento. Los equipos de seguridad que pueden equilibrar una prevención sólida con una estrategia que incluya una respuesta a incidentes e inversiones en herramientas de detección y corrección estarán mejor posicionados para capear lo inevitable.

¿Cuál sería la conclusión?

Adopta un enfoque equilibrado: aplica los principios básicos y ten un plan preparado para posibles vulneraciones.
  • Invertir en una higiene cibernética básica y ampliarla al creciente entorno digital es una estrategia fundamental para proteger tu empresa de un ataque en primer lugar.
  • Aunque estos grandes ataques no ocurren todos los días, es importante estar preparados y tener un plan. Si bien es clave aplicar unos principios básicos, las organizaciones con visión de futuro tienen previsto un plan bien documentado y probado sobre qué hacer si se produce una vulneración.

Pasamos ahora al siguiente tema de interés para los CISO: las cadenas de suministro y las amenazas intrínsecas a las que están expuestas. Expandir el perímetro de seguridad fuera de la TI y la organización de seguridad debido a una cadena de suministro cada vez más conectada y compleja es una realidad en el mundo empresarial actual. Un  informe de Sonatype de septiembre de 2021 señaló un aumento interanual del 650 por ciento en los ataques la cadena de suministro desde 2020.

Sí, lo has leído bien: ¡un 650 %!

Las nuevas realidades empresariales como el trabajo híbrido y todos los tipos de interrupciones de la cadena de suministro, que afectan a todos los sectores, han ampliado aún más los límites de la seguridad y la identidad.
1013

Número medio de proveedores en la cadena de suministro de una empresa

Fuente: BlueVoyant,

“CISO Supply Chain”, 2020

64 %

de las empresas afirman subcontratar más de una cuarta parte de sus tareas empresariales diarias a proveedores que requieren acceso a sus datos empresariales

Fuente: (ISC)2, “Securing the Partner Ecosystem”, 2019

No es de extrañar que los líderes de seguridad estén prestando más atención a los riesgos de la cadena de suministro: todos y cada uno de sus eslabones no solo son vitales para las operaciones de una empresa, sino que las interrupciones en cualquier punto de la cadena pueden ser perjudiciales de mil formas.

A medida que los líderes de seguridad amplían la subcontratación a proveedores de aplicaciones, infraestructura y capital humano, necesitan marcos y herramientas más eficaces para evaluar y mitigar el riesgo en todos los niveles de proveedores. Porque esa cifra del 650 por ciento da mucho miedo y nadie está a salvo.

Los CISO me cuentan que, aunque las medidas de valoración tradicionales pueden ser eficaces para reducir el riesgo durante el proceso de selección o las revisiones, sus equipos se enfrentan a las deficiencias inherentes de las revisiones puntuales, que incluyen:

  • Los procesos de revisión de proveedores a menudo solo incluyen un cuestionario o una “lista de comprobación” que no aborda todos los riesgos inherentes en las cadenas de suministro actuales.
  • Una vez incorporado un proveedor, solo hay un ciclo de revisión puntual, a menudo anual o durante la renovación del contrato.
  • Normalmente, los distintos departamentos de una empresa tienen distintos procesos y funciones, y no hay una forma clara de compartir información entre los equipos internos.
“Los proveedores clave son aquellos de los que dependemos a gran escala o los que más nos ayudan a lograr nuestros objetivos. Una interrupción en el bienestar de cualquier tipo de proveedor tendrá un impacto significativamente negativo en nuestra organización”.
CIO de investigación científica

Estas medidas significan que las organizaciones son sencillamente incapaces de aplicar el cumplimiento y mitigar el riesgo en tiempo real. Como resultado, es mucho más difícil para los equipos de seguridad responder a comportamientos anómalos como, por ejemplo, poner en cuarentena un software externo comprometido o bloquear credenciales de administrador filtradas para que no puedan acceder a sus redes. Si los ataques recientes nos han enseñado algo, es que incluso la mejor higiene de ciberseguridad y la máxima dedicación a los principios básicos para identificar, medir y mitigar el riesgo no pueden eliminar completamente la posibilidad de que las amenazas se cuelen en las cadenas de suministro.

“Realizamos revisiones anuales de los principales proveedores y, en función de su nivel, volvemos cada dos o tres años para realizar una nueva evaluación. Sin embargo, una evaluación solo proporciona información puntual. No permite validar el entorno de controles durante el año”.
Miembro de la junta de asesoramiento de clientes de Microsoft Supply Chain Management

¿Cómo podemos gestionar los riesgos de la cadena de suministro a la vez que mantenemos la productividad y la capacidad de respuesta? Hemos observado que muchos líderes de seguridad están abordando las amenazas de la cadena de suministro de la misma forma que los ciberataques: centrándose en principios básicos sólidos y aumentando la visibilidad.

Como hay tantos tipos de riesgos diferentes asociados con el ecosistema de proveedores que no hay una estandarización clara, “procedimientos recomendados” o incluso una tecnología para gestionarlos. No obstante, muchos líderes de seguridad están decantándose por un modelo de Confianza cero para reducir su exposición a los riesgos y protegerse contra las vulnerabilidades que son comunes en las amenazas a la cadena de suministro como, por ejemplo, las credenciales comprometidas de usuarios externos, los dispositivos infectados con malware, el código malintencionado, etc.

La Confianza Cero es un enfoque proactivo e integrado de la seguridad en todas las capas de la infraestructura digital que verifica explícita y continuamente cada transacción, asegura los mínimos privilegios y se basa en la inteligencia, la detección avanzada y la respuesta en tiempo real a las amenazas.

Los líderes de seguridad nos informan constantemente de que han podido reducir el impacto de los principales ataques a la cadena de suministro y mejorar la eficacia general de sus operaciones mediante la aplicación de sólidas estrategias de Confianza cero. De hecho, según un reciente estudio de Ponemon Institute e IBM Security, las organizaciones con una implementación consolidada de Confianza cero han observado cómo el coste medio de una vulneración se reduce aproximadamente un 40 % en comparación con las que no tienen implementada la Confianza cero.
“La Confianza cero nos ha permitido crear un marco y desarrollar modalidades de acceso para proteger todos los recursos clave de nuestra organización”.
Responsable de la toma de decisiones del sector sanitario
“Diría que hemos examinado la Estrella Polar y, al menos desde el punto de vista del control, parece inclinarse más hacia la Confianza cero. En lugar de hacernos todas estas preguntas e intentar gestionar ‘cómo controlamos todo para este ámbito específico’, hemos optado por lo contrario: empezar con nada y solo abrir lo que sea necesario. Creo que… la Confianza cero está emergiendo de nuevo en el sector”.
CISO de fabricación de bienes de consumo empaquetados

Asumir la vulneración

Mientas que los dos primeros principios ayudan a reducir la probabilidad de una vulneración, asumirla previamente ayuda a las organizaciones a estar preparadas para detectarla rápidamente y responder a ella mediante el desarrollo de procesos y sistemas como si ya se hubiera producido. En la práctica, esto significa utilizar mecanismos de seguridad redundante, recopilar telemetría de sistemas, utilizarla para detectar anomalías y, siempre que sea posible, conectar esa información con una automatización que permita la prevención, la respuesta y la remediación casi en tiempo real. Los CISO me comentan que están invirtiendo en implementar sólidos sistemas de supervisión para detectar cambios en el entorno, por ejemplo, un dispositivo de IoT comprometido que intenta abrir conexiones innecesarias a otros dispositivos, para identificar y contener rápidamente un ataque.

Los líderes con los que hablo sobre la Confianza cero están de acuerdo en que es un gran marco para crear una higiene cibernética básica, y esto incluye la administración de cadenas de suministros.

Vamos a ver cómo los líderes de seguridad utilizan los principios de la Confianza cero para proteger sus cadenas de suministro.

Comprobar de forma explícita

Comprobar de forma explícita significa que debemos examinar todos los aspectos pertinentes de las solicitudes de acceso, en lugar de asumir una confianza basada en una garantía débil como la ubicación en la red. En el caso de las cadenas de suministro, los atacantes suelen explotar carencias en la verificación explícita como, por ejemplo, encontrar cuentas de proveedores con privilegios elevados que no estén protegidas con autenticación multifactor o inyectar código malicioso en una aplicación de confianza. Los equipos de seguridad están fortaleciendo sus métodos de verificación y ampliando sus requisitos de directivas de seguridad a los usuarios externos.

Utilizar acceso con privilegios mínimos

Una vez aplicado el primer principio, el acceso con privilegios mínimos ayuda a garantizar que solo se concedan permisos para cumplir objetivos empresariales específicos del entorno y en los dispositivos adecuados. Esto ayuda a minimizar las oportunidades de un movimiento lateral, al limitar el acceso de cualquier recurso comprometido (usuario, punto de conexión, aplicación o red) a otros en el entorno. Los líderes de seguridad nos informan de que están dando prioridad a proporcionar a proveedores y terceros solo el acceso que necesitan, y evaluar y valorar de manera continua las directivas y las solicitudes de acceso en la cadena de suministro de la organización, para minimizar el contacto con recursos y sistemas importantes.

“El objetivo es mejorar nuestra posición de seguridad en general, pero también reducir la fricción en la experiencia de los usuarios finales y no complicarles la vida”.
Responsable de la toma de decisiones del sector de la hostelería

¿Cuál sería la conclusión?

El amplio número de proveedores y el conjunto de desafíos inherentes a las cadenas de suministro distribuidas hace que sea aún más importante gestionarlas de manera proactiva. Después de las recientes vulneraciones de datos globales, los líderes de seguridad están deseando encontrar formas de mitigar el riesgo para los proveedores, y los principios de la Confianza cero proporcionan una estrategia y un marco sólidos para gestionar el ecosistema de proveedores.
  • Un enfoque de Confianza cero permite garantizar que solo las personas adecuadas obtengan el nivel de acceso correcto en tu organización, a la vez que se aumenta la seguridad y la productividad del usuario final.
  • Aunque hay muchas formas de empezar a utilizar la Confianza cero, la principal prioridad desde un punto de vista de administración de riesgos y el ecosistema de proveedores es implementar la autenticación multifactor.
  • Evalúa el grado de madurez de la Confianza cero en tu organización y recibe guías de hitos específicos, además de una lista de recursos y soluciones seleccionados para avanzar en tu recorrido de Confianza cero.

Todos hemos oído hablar de la gran resignación. Más del 40 por ciento de los recursos globales están considerando abandonar su trabajo este año, y los líderes de seguridad y sus equipos ya consideran que están cortos de personal. Hablo a menudo con los CISO sobre el estado general del sector y una de sus principales preocupaciones es poder permitirse a los mejores profesionales, encontrarlos y retenerlos. Si los principales talentos abandonan, deben encontrar nuevos profesionales o mejorar las competencias de los que se quedan. Una tecnología más eficiente, integrada y automatizada puede ayudar, no nunca es suficiente.

Los términos especializados sobre seguridad han pasado a formar parte del lenguaje cotidiano a medida que los ciberataques aparecen cada vez más en los telediarios, y estos ataques (y las noticias sobre ellos) pueden afectar profundamente a una empresa. ¡Adivina qué! No tiene por qué ser una mala noticia. Como la ciberseguridad se ha convertido en un tema común en todas las áreas de una organización, estamos empezando a oír que el concepto de “la seguridad es responsabilidad de todos” está empezando a calar en las organizaciones. Especialmente con los nuevos modelos de trabajo híbrido y la expansión de los perímetros de seguridad en todas las direcciones, los líderes de seguridad se basan cada vez más en formas innovadoras de mantener la seguridad, incluso cuando se enfrentan a carencias de talento y competencias. Los líderes de seguridad ya no se basan tanto en “hacer más con menos” como en “hacer más de manera diferente”.

“Es un reto al que nos enfrentamos todos: es difícil encontrar el mejor talento y es difícil mantenerlo. Desarrollar el talento es una espada de doble filo, ya que haces que sea muy caro de mantener, por lo que se plantean algunos desafíos”.
CISO de servicios jurídicos

Aunque las carencias de talento y competencias no son algo positivo, se les puede ver el lado positivo, y es que están permitiendo crear una cultura de la seguridad. Muchos CISO nos cuentan que una de las formas más eficaces de abordar los retos de seguridad en medio de los problemas de personal es crear una cultura de la seguridad donde la seguridad sea la responsabilidad de todos. Los CISO defienden cada vez más esta idea de que la organización al completo debe asumir la responsabilidad de la seguridad, especialmente cuando se enfrentan a la escasez de personal o a problemas de financiación.

Los equipos de desarrollo, los administradores de sistemas y, sí, los usuarios finales deben conocer las directivas de seguridad que les afectan. Compartir la información es fundamental, y los equipos de seguridad deben encontrar nuevas formas de trabajar con los desarrolladores, los administradores y los propietarios del proceso de negocio para conocer los riesgos, y desarrollar directivas y procedimientos que beneficien a toda la organización.

La escasez de talentos y la carencia de competencias (especialmente en una profesión en constante cambio como la ciberseguridad) han obligado a los CISO a buscar formas nuevas e innovadoras de ser competitivos. Una estrategia de la que oímos hablar continuamente es la “delegación” cada vez mayor en empleados fuera del equipo de seguridad. Los CISO buscan formas de aprovechar toda la organización, centrándose especialmente en la formación de usuarios finales para que formen parte de la solución y en el desarrollo de la colaboración de equipos adyacentes.

Fomentar y mejorar los conocimientos de los usuarios finales sobre las amenazas de seguridad como, por ejemplo, conocer el phishing y las señales de ataques sutiles, contribuyen en gran medida a aumentar el número de ojos y oídos del equipo de seguridad, especialmente como una estrategia de “punta de lanza”, donde los usuarios finales son a menudo un punto de entrada en un ataque. Con esto no digo que los usuarios finales puedan formarse por arte de magia para detectar todas las amenazas, pero tener usuarios preparados y alerta puede reducir significativamente la carga de los equipos de seguridad.

“Puede que hayas oído la frase ‘La seguridad es responsabilidad de todos’. Es muy buena, pero realmente... solo hasta que pasa algo. Cuando se trata de TI, lo que hemos hecho es delegar en miembros de TI como representantes de la seguridad. Hemos designado a miembros de distintos equipos, concretamente de desarrollo, arquitectura e infraestructura, que reciben formación adicional en materia de seguridad. Pueden asistir a algunas de las reuniones de mi equipo de seguridad y ser representantes de su grupo en temas de seguridad, así como representantes de la seguridad ante su grupo”.
CISO de servicios jurídicos

Otra estrategia es delegar TI como parte de la seguridad. Mantener a los miembros del equipo de TI estrechamente conectados con el equipo de seguridad y garantizar que estén informados sobre las estrategias de seguridad está ayudando a muchos líderes de seguridad a ampliar su misión a todas las áreas de la organización.

Proporcionar asistencia y ayuda sobre la automatización y otras estrategias de administración proactiva de tareas y flujos de trabajo es una de las formas en las que los CISO están ampliando sus equipos y aprovechando la TI para garantizar una posición de seguridad sólida.

“Si analizamos el mundo de la seguridad, el personal de seguridad no se encarga muchas veces de la detención de los ataques, son los miembros del equipo de TI. Por ejemplo, el personal de seguridad no aplica revisiones. El personal de TI son quienes aplican las revisiones. El equipo de seguridad no gestiona el inventario de administración de recursos, es el equipo de TI.   Son muchas otras tareas y depende de cada organización, por ejemplo, los cortafuegos suelen estar gestionados por un equipo de redes, no necesariamente por el equipo de seguridad. Gran parte de lo que hacemos es ayudar a las personas que se encargan de la seguridad y las preparamos, les proporcionamos herramientas para automatizar parte de su trabajo.
  Les explicamos el por qué, y no solo el qué, y muchas veces entender el por qué les ayudará e inspirará para hacer el qué”.
CISO de servicios jurídicos

¿Cuál sería la conclusión?

Aumentar la creatividad con los recursos no es algo nuevo. No obstante, desarrollar un equipo más amplio mediante la formación sistemática y la colaboración con los equipos adyacentes a la seguridad es una forma innovadora que los CISO están utilizando para aliviar parte de las dificultades de la escasez de talento y las carencias de competencias clave.
  • La creación de sinergías con otros equipos y la delegación en empleados ajenos al equipo de seguridad permite expandir la esfera de influencia y mantener la empresa segura.
  • La formación de usuarios para reconocer el phishing y los problemas de seguridad más comunes es una estrategia en la que la mayoría de líderes de seguridad coinciden que vale la pena el tiempo y el esfuerzo.

Todas las investigaciones citadas de Microsoft recurren a empresas de investigación independientes para contactar con profesionales de la seguridad y realizar estudios cuantitativos y cualitativos, lo que garantiza la protección de la privacidad y el rigor analítico. Las citas y conclusiones que se incluyen en este documento, a menos que se especifique lo contrario, son resultado de estudios de investigación de Microsoft.

Artículos relacionados

Cyber Signals: Edición 1

La identidad es el nuevo campo de batalla. Obtenga información sobre las ciberamenazas en evolución y qué pasos dar para mejorar la protección de la organización.
Más información

CISO Insider número 2

En este número de CISO Insider, los directores de seguridad de la información y ciberseguridad nos cuentan los problemas que se encuentran en primera línea, desde objetivos a tácticas, y qué pasos siguen para ayudar a prevenir y responder a ataques. También nos cuentan las formas en que los líderes sacan provecho de la detección y respuesta extendidas y la automatización para modificar la escala de su defensa contra amenazas sofisticadas.
Más información

Cyber Signals edición 2: Economía de la extorsión

Los expertos de primera línea explican el desarrollo del ransomware como servicio. Desde programas y cargas hasta agentes de acceso y afiliados, descubre las herramientas, tácticas y objetivos que prefieren los ciberdelincuentes y obtén directrices que te ayuden a proteger tu organización.
Más información