Roberto Heker, Socio en NextVision

Como sabemos, la superficie de ataque ha crecido de manera exponencial en los últimos años. Esta incluye hardware, aplicaciones, endpoints, bases de datos, documentos, DNSs, shadow IT, y a las terceras partes. Es tal la diversidad y dimensión de la superficie digital que no siempre somos capaces de disponer de información actualizada sobre su composición. Es un desafío para nuestros equipos de TI y Ciberseguridad conocerla, mantenerla documentada y sobre todo actualizada para hacer frente a las amenazas, nuevas y antiguas. Si al escenario de amenazas cada vez más sofisticadas, le añadimos la escasez en el mercado de profesionales con las habilidades necesarias para afrontarlas con solvencia, estamos frente a la tormenta perfecta.

A este contexto se le añade la complejidad de la nueva normalidad, donde el trabajo remoto se ha instalado, y nos ha generado una mayor dependencia de la tecnología. Sin embargo, la enorme cantidad de usuarios en esta nueva situación ha facilitado la explotación de vulnerabilidades a los ciberatacantes.

Frente a esto, podemos afirmar que los desafíos más significativos se manifiestan en las siguientes situaciones:

• Aceleración de las iniciativas digitales: se han debido desplegar nuevas tecnologías sin previa planificación, lo que incrementó la frecuencia e impacto de los ciberataques

• Gestión de la Cadena de Suministro:hay una complejidad creciente de analizar el riesgo de numerosos vendors.

• Superficie de ataque expandida:acceso remoto, cloud, herramientas colaborativas han creado más vulnerabilidades tanto como datos y dispositivos a monitorizar.

• Discontinuidad del negocio:el aumento de ciberataques genera un aumento del riesgo por el que tanto la organización, como su cadena de suministros pueden sufrir la interrupción de su operación.

• Desaceleración económica,que implica una limitación a los presupuestos de IT y Seguridad, que deben hacer más con menos.

Aquellas compañías mejor preparadas para enfrentar estos desafíos son las que disponen de una completa visibilidad de su superficie de ataque, incluyendo por supuesto a la cadena de suministros. Es el primer paso hacia una estrategia que busque una eficiente mitigación del ciberriesgo.

Si bien cada industria y región tiene sus propios desafíos, ser ágiles es un aspecto indispensable para todas. En particular, aquellas organizaciones que planean mover sus datos compartimentados dentro del perímetro a la nube requieren de liderazgo técnico, pero también de seguridad. Precisamente para lograr que este cambio sea eficaz, la automatización para lograr la visibilidad de la superficie de ataque es indispensable.

Por otra parte, todo lo contado antes impacta de igual manera a los proveedores y por tanto  han buscado ser más eficientes en sus costes. ¿Cuánto han  impactado estas decisiones  en su ciberseguridad? En la medida que nuestra organización disponga de un programa adecuado de evaluación y monitorización de terceros, será más sencillo conocer los riesgos y gestionarlos.

Este programa debería disponer de los siguientes componentes:

• Identificación y priorización de activos:conocer todos los activos expuestos a internet si es posible, siendo recomendable clasificarlos acorde a su criticidad.

• Definición de umbrales de seguridad:  permiten monitorizar de forma ininterrumpida la salud del  ecosistema de la red, así identificar sus vulnerabilidades en tiempo real, y poder trabajar en su eliminación.

Estos umbrales se pueden definir en forma de ratings, los que permitirán hacer autoevaluación, comparar entre las empresas de la industria local o internacional, ver cómo somos vistos, y monitorizar a las terceras partes.

• Threat Intelligence: da la oportunidad de disponer de un conocimiento del escenario de amenazas para protegerse de ellas.

Asimismo, decíamos que la automatización y la agilidad son indispensables. Según nuestro punto de vista, algunas buenas prácticas recomendables para lograrlas son:

• Implementar herramientas que simplifiquen el análisis de riesgo, permitiendo comunicar a los stakeholders, en un lenguaje comprensible y con parámetros objetivos, las potenciales amenazas. Las soluciones de rating como SecurityScorecard informan con grados que van de la A a la F el nivel de riesgo potencial. Lo hacen de una manera objetiva y permiten la unificación de los criterios de evaluación.

• Optimizar la labor de los equipos de seguridad,mediante herramientas que automaticen las alertas y las acciones en respuesta a eventos de seguridad.

• Evaluar en forma continua la postura de seguridad,mediante herramientas de rating que monitorizan nuestra situación y la de nuestros vendors.

Disponer de una herramienta de rating, no solo provee una visibilidad de toda la huella digital de nuestro ecosistema, sino que establece un lenguaje fácilmente comprensible tanto por especialistas como por el management del negocio.

Este lenguaje permitirá también una colaboración estrecha con los proveedores, a quienes evaluaremos y monitorizaremos bajo el mismo estándar. Esta cooperación lleva a la coordinación entre los equipos de ambas organizaciones, a efectos de estar bien preparados para afrontar eventuales  incidentes de seguridad sincronizadamente.

Precisamente, las herramientas de scoring identifican las vulnerabilidades de nuestros vendors, información que podremos compartir con ellos y así crear planes de acción conjuntos a fin de lograr el mínimo nivel que exigimos para homologarlos.

La calificadora de riesgo Fitch utilizando la plataforma de scoring SecurityScorecard, ha publicado recientemente un trabajo donde relaciona el nivel de calificación de entidades crediticias con su performance en ratings de ciberseguridad. Efectivamente, los bancos con mejor nivel de rating crediticio disponen de un mejor scoring de ciberseguridad. Aunque muchas veces los grandes bancos son los que tienen mejores calificaciones de riesgo crediticio, no pensemos que el tamaño de las compañías son un predictor de ciberhigiene. Si bien estas empresas tienen más presupuesto, también son más complejas y con una mayor huella digital, en consecuencia su superficie de ataque es mayor. Solo aquellas compañías que ven el riesgo integralmente, incluyendo el riesgo de la ciberseguridad, ofrecen una mejor postura en este ámbito. Aquellas que no lo abordan apropiadamente, sufren brechas que luego no solo afectan a su operatividad, sino que su calificación de riesgo como organización puede verse afectada.

Resumiendo, el desafío es disponer de  una visibilidad continua de la superficie de ataque y su exposición al riesgo, que incluya tanto a nuestra organización como a las terceras partes. Esta monitorización nos dará la posibilidad de agilizar la gestión y lograr una comunicación efectiva entre áreas técnicas, directivas y terceras partes. Para lograrlo, proponemos la buena práctica de integrar herramientas de scoring transparentes a nuestro dashboard de seguridad.