Capacitar a los equipos, una estrategia ante la ciberdelincuencia

En una economía en decrecimiento como la que se espera para el año que viene, reducir costos podría parecer una medida apropiada. No obstante, una encuesta de Gartner de julio de 2022 a más de 200 directores financieros encontró que el 69 por ciento planea aumentar su gasto en tecnologías digitales y la organización proyecta que el gasto mundial en IT crecerá por encima del 5 por ciento en el 2023. Y es que la transformación tecnológica se ha convertido en parte fundamental de la agenda de competitividad de las organizaciones, de cualquier tamaño o sector, pues la tecnología es la única fuerza deflacionaria en un escenario de inflación, es el factor de producción que permite hacer más con menos.

Con esta aceleración digital continuada y con una fuerza de trabajo dispersa, aumenta la necesidad de tener una sólida estrategia de seguridad. El mundo entero ha sido testigo de cómo un ciberataque puede representar grandes pérdidas económicas y de información sensible, y tener consecuencias reputacionales y operativas de las cuales algunas organizaciones no se recuperan. No es de extrañar, por lo tanto, que la ciberseguridad se haya convertido en una prioridad de las compañías a nivel mundial.

Las cifras son elocuentes: de acuerdo con el último Informe de Defensa Digital de Microsoft, el número de ataques de contraseña por segundo aumentó en un 74 por ciento. Y mientras los cibercriminales aumentan la frecuencia y sofisticación de sus ataques, las organizaciones intentan mitigar los riesgos adquiriendo soluciones de seguridad robustas. “Sin embargo, lo que muchas veces se deja en un segundo plano puede ser la mejor línea de defensa: las personas. El éxito de la transformación digital de las organizaciones depende no solo de la tecnología, sino también del capital humano “ afirma Luisa Esguerra, directora de GTM de seguridad para Latinoamérica en Microsoft. 

Cuando se trata de seguridad, las herramientas son fundamentales, pero no lo son todo. El factor humano es la primera línea de defensa de una organización. Esto incluye tanto a los colaboradores, que necesitan desarrollar buenas prácticas para ser los primeros agentes de protección de los activos y la información de las organizaciones, como al personal especializada que entiende la infraestructura de la empresa, sus puntos frágiles, sabe aplicar las estrategias y herramientas para poner a prueba los controles y proteger a las organizaciones, “Sin personal entrenado, hacer inversiones en la tecnología de seguridad más robusta es como invertir en el sistema de alarmas y blindaje más sofisticado para tu carro, pero dejarle las puertas abiertas”señala Marcelo Felman.

No obstante, el mundo entero enfrenta una escasez preocupante de talento capacitado en seguridad digital. La oferta simplemente no parece suplir la demanda. Ya en 2020, el Estudio de la Fuerza de Trabajo en Ciberseguridad de (ISC)², señalaba una falta de 2,7 millones de profesionales en todo el mundo en 2020. Ahora, con la aceleración de la transformación digital, se estima que el déficit alcanzará 3.5 millones para 2025, lo cual representa un aumento del 350 por ciento en un período de ocho años. Entre las consecuencias de no contar con personal capacitado, las organizaciones citan sistemas mal configurados, lentitud de los ciclos de corrección, entregas apresuradas, falta de tiempo para una adecuada evaluación de riesgos, insuficiente visibilidad de los procesos y procedimientos. Todas estas son vulnerabilidades que facilitan la vida a los atacantes.

El primer camino es invertir en el desarrollo del talento. "Se debe contar con un plan estructurado de crecimiento profesional que permita a los colaboradores aprender sobre este sector y estar al día de las nuevas tendencias de ciberataques", dice Luisa Esguerra. Además, vale la pena crear un modelo de carrera diferenciado que atraiga y retenga a los distintos perfiles de profesionales del área. “Es importante que cada colaborador tenga la posibilidad de diversificarse y capacitarse en temas de ciberseguridad” añade.

Sin suficientes profesionales de seguridad capacitados para proteger a las organizaciones, los líderes empresariales deben buscar nuevos métodos para formar y entrenar el talento que necesitan. Los líderes de seguridad pueden crear nuevas trayectorias profesionales dentro de la organización y potencialmente descubrir y desarrollar talento interno. "La ciberseguridad necesita cada vez más abogados, más personas que trabajen en gobierno corporativo... El área es para todos y para todos, independientemente de su formación” añade Vanessa Padua, Líder de Ciberseguridad y nube de Microsoft para Latinoamérica.

La delincuencia, desafortunadamente, opera de manera ágil y sus estrategias de ataque cambian constantemente, lo cual exige una actualización constante de las capacidades de los equipos. Por ello, forma parte de la rutina de un profesional estar siempre en formación con ejercicios dinámicos, como las simulaciones, “que ayudan al intercambio de conocimiento, preparan a los equipos para un eventual ataque, ayudan a desarrollar planes estructurados de respuesta y recuperación y construyen resiliencia en las organizaciones", dice Marcelo Felman.

Equipo Rojo: conformado por profesionales que trabajan en seguridad ofensiva, con conocimientos en modalidades y técnicas de ataque. Cuentan con el apoyo de equipos de investigación (que alimentan al Equipo Rojo con información) y de ingeniería (que desarrollan herramientas de ataque).

Equipo azul: profesionales centrados en la defensa de los entornos. Este grupo incluye el equipo de respuesta a incidentes, o equipo de respuesta a incidentes de seguridad informática (CSIRT). Sus profesionales preparan los planes y acciones a realizar cuando la empresa sufre un ataque.

Equipo morado: profesionales que se unen a los dos equipos anteriores para realizar simulacros de ataque.

Para elegir qué tipo de ataque se reproducirá en la simulación, Equipo Rojo tiene en cuenta el contexto de la empresa y adopta un marco de mercado, que contiene una base de conocimientos sobre los ataques mapeados en todo el mundo. El más utilizado es Mitre Att&ck. Los equipos eligen los activos que serán objeto de los ataques, para que los sistemas se reproduzcan en un entorno controlado.

Si el modelo de ataque elegido era el phishing, por ejemplo, el Equipo Rojo lanza un mensaje malicioso al Equipo Azul. Si el mensaje ya está bloqueado automáticamente por el sistema, se verifica que la herramienta funciona. Pero en una simulación, el mensaje se deja pasar a propósito para evaluar si la respuesta es adecuada.

A lo largo de la acción y la respuesta, el Equipo Púrpura está vigilando, observando si los procesos de defensa que se diseñaron, de hecho, funcionan. Puede ocurrir que el profesional siga estos pasos, pero se olvide de eliminar el correo electrónico de la bandeja de entrada de todos; las simulaciones también pueden señalar la necesidad de corregir el código en las herramientas.

Una modalidad más avanzada son los llamados Juegos de Guerra, en los que el Equipo Rojo ataca sin que el Equipo Azul lo sepa.

Estableciendo una rutina con la ejecución de estos ciclos, Microsoft recomienda que cada empresa elabore y mantenga actualizado su "playbook" (un documento con los procesos e instrucciones) para los empleados que llegan a la operación. Así, estos ejercicios pasan a formar parte de la cultura de protección y mejora continua de la seguridad de los productos y servicios de forma permanente.

Promover el conocimiento y compartir buenas prácticas para ayudar a las organizaciones a reducir los riesgos relacionados con la seguridad es el objetivo del especial "Transformación Digital Segura", producido con el apoyo de Microsoft. Consulte todos los contenidos del especial para tener más información.