Por Fernando Anaya, country manager de Proofpoint para España y Portugal

El cambio global hacia modelos de trabajo híbridos ha abierto una caja de pandora de potenciales ciberamenazas. En los últimos dos años y medio las opciones de trabajo remoto han aumentado, lo que a su vez ha incrementado la superficie de ataque potencial de una organización. Con un mayor uso de cloud y plataformas colaborativas, las personas son ahora más que nunca el mayor objetivo de ataque, además de particularmente más vulnerables, al trabajar fuera de la burbuja de seguridad de sus oficinas corporativas.

Las organizaciones están asimismo creando y moviendo más datos que nunca. Esto, a su vez, genera nuevas formas de riesgo para la seguridad de las empresas, dificultando tanto la comprensión de cuándo los datos están en peligro como la aplicación de los controles adecuados para mitigar ese riesgo. Así pues, ¿cómo pueden las organizaciones hacer frente a estos retos relativamente nuevos en materia de seguridad de los datos?

Una cuestión interna

Los datos no se pierden solos. No se escapan así como así. Los pierden un usuario descuidado, los roba un atacante externo a través de credenciales comprometidas, o se los lleva un empleado malintencionado incluso para algún competidor. Por eso, es importante, ahora más que nunca, protegerse contra las amenazas internas.

Según el informe Voice of the CISO 2022 de Proofpoint, los CISOs globales citaron las amenazas internas —ya sean negligentes, accidentales o criminales— como la amenaza más importante para su organización en los próximos 12 meses, con el 31% de los CISOs de acuerdo.

Aunque no se puede atribuir el aumento general de las amenazas internas a un solo factor, el cambio a poder trabajar desde cualquier lugar y el fenómeno de la Gran Dimisión han agravado estos riesgos. No hay duda de que una plantilla dispersa crea una mayor dependencia de cloud, una superficie de ataque significativamente mayor y un debilitamiento de la visibilidad y eficacia de los controles de pérdida de datos. Además, es más fácil que nunca compartir y exponer grandes cantidades de información sensible, tanto por descuido como de forma maliciosa.

Cómo afrontar el reto de los datos híbridos

Aunque la mayoría de las empresas ya están acostumbradas al mundo pospandémico, muchas políticas y procedimientos aún no están al día. Los controles establecidos para proteger datos, por ejemplo, se crearon principalmente en base a prácticas de trabajo tradicionales.

En muchos casos, las soluciones de protección contra la pérdida de datos (DLP, por sus siglas en inglés) se han centrado en herramientas y perímetros diseñados para mantener la información sensible dentro y a los ciberdelincuentes fuera. Este enfoque heredado de la DLP se enfocaba en los datos en uso, en movimiento y en reposo, sin mucho contexto fuera de esto.

Sin embargo, dado que muchas personas operan ahora más allá de los entornos de oficina tradicionales, las actitudes, el comportamiento y las formas de trabajar han cambiado. Con ello, también ha cambiado la manera de acceder a los datos e interactuar con ellos. Esta nueva forma de trabajar requiere una nueva forma de proteger datos sensibles tanto desde fuera como desde dentro. Una que ponga mucho más énfasis en las personas que en las herramientas y los controles.

Mientras que las políticas y los procedimientos pueden quedarse atrás en el nuevo entorno de trabajo híbrido, no se puede decir lo mismo de los ciberdelincuentes. Estos no han perdido el tiempo, primero aprovechando la interrupción causada por la pandemia y ahora perfeccionando sus señuelos para atacar a los usuarios en entornos nuevos y potencialmente menos seguros. Siguen apuntando a las personas, dondequiera que estén trabajando. 

El antiguo DLP puede detectar actividades sospechosas, pero no proporciona ningún conocimiento del comportamiento antes, durante o después del movimiento de datos de riesgo, y ofrece poco en cuanto a análisis del comportamiento de los usuarios de riesgo. En otras palabras, las antiguas herramientas no pueden ayudar a responder al contexto de "quién, qué, dónde, cuándo y por qué" detrás de una alerta. El resultado es que los equipos de seguridad están sobrecargados y el conocimiento de la actividad de la red es mínimo.

Una solución de DLP moderna puede solucionar esto, ayudando a los equipos de TI a detectar y revocar rápidamente las aplicaciones maliciosas de terceros y a bloquear a ciberdelincuentes conocidos o direcciones IP maliciosas que podrían poner en peligro las cuentas. Una solución moderna también adapta constantemente su detección, prevención y respuesta al nivel de riesgo del usuario y a la sensibilidad de los datos a los que se accede.

Personas, procesos y tecnología

Una estrategia de datos sólida debe basarse en una combinación de personas, procesos y tecnología. Si bien es vital establecer los controles tecnológicos correctos, el personal sigue estando en el centro de cualquier posible pérdida de datos. Ellos son los que tienen acceso privilegiado a sus redes. Son los que introducen sus credenciales en los sistemas. Y, dado que más del 90% de los ciberataques requiere interacción humana, son los que expondrán sus datos a los ciberdelincuentes con mayor probabilidad.

Por eso, una solución de DLP moderna debe tener en cuenta el comportamiento humano, ya sea en la oficina, en casa o cualquier otro sitio. Por desgracia, este no es el caso de muchos sistemas antiguos. La mayoría ve cualquier comportamiento anómalo como una señal de alarma instantánea, lo que afecta a la experiencia del usuario y hace perder un tiempo valioso a los equipos de seguridad.

Este enfoque centrado en las personas debe extenderse también a los programas de formación. Todas las herramientas y controles del mundo no son suficientes por sí solos. La protección total contra la pérdida de datos requiere una formación continua, específica y adaptable en materia de seguridad.

Los ciberdelincuentes de hoy en día evolucionan constantemente, dirigiendo nuevas y sofisticadas amenazas directamente al personal de las organizaciones. Las defensas deben evolucionar también, ya que si no se verán envueltos en una carrera armamentística que no podrán ganar.