211service.com
Ciberseguridad en 2020: El auge del CISO
Las filtraciones de datos enseñaron duras lecciones a las empresas en 2019. Una conclusión clave: necesitan un director de seguridad de la información, dice Stephanie Balaouras de Forrester.
24 de febrero de 2020
Producido en colaboración con Seguridad de Microsoft
A medida que comienza el nuevo año (y la nueva década), una cosa es segura: la ciberseguridad seguirá teniendo un impacto cada vez mayor en los negocios, para bien o para mal. En este episodio, escuchamos a Stephanie Balaouras, una experta en ciberseguridad que ha hablado con miles de clientes durante sus 15 años en Forrester Research. Es vicepresidenta y directora del grupo de investigación de riesgos y seguridad, así como de investigación de operaciones e infraestructura.
Balaouras argumenta que todas las empresas deberían tener un director de seguridad de la información, o CISO, a medida que el mundo de las ciberamenazas se vuelve más intrincado y peligroso. 'Incluso las empresas que tienen un CISO deben analizar detenidamente qué tan alto en la organización informan', dice Balaouras. '¿Tienen el presupuesto adecuado? ¿Tienen suficiente personal? ¿Les has dado el margen de control adecuado?
Balaouras también revisa algunas de las mayores tendencias de ciberseguridad en 2019 y hace predicciones para 2020.
Business Lab está organizado por Laurel Ruma, directora de Insights, la división de publicación personalizada de MIT Technology Review. El programa es una producción de MIT Technology Review, con la ayuda de producción de Collective Next. La música es de Merlean, de Epidemic Sound.
La ciberseguridad no se trata solo de detener las amenazas que ve. Se trata de detener a los que no puedes ver. Es por eso que Microsoft Security emplea a más de 3500 expertos en delitos cibernéticos y usa IA para ayudar a anticipar, identificar y eliminar amenazas. Por lo tanto, puede concentrarse en hacer crecer su negocio y Microsoft Security puede concentrarse en protegerlo. Obtenga más información en Microsoft.com/cybersecurity.
Mostrar notas y enlaces
Investigación de Forrester: Ciberseguridad
Una guía del CISO para liderar el cambio por Jinan Budge, Forrester Research
La necesidad de una seguridad completa en la nube, una entrevista con Stephanie Balaouras, en YouTube
Transcripción completa
Laurel Ruma: De MIT Technology Review, soy Laurel Ruma y este es Business Lab, el programa que ayuda a los líderes empresariales a dar sentido a las nuevas tecnologías que salen del laboratorio y llegan al mercado.
Las amenazas a la seguridad están en todas partes. Es por eso que Microsoft Security cuenta con más de 3500 expertos en delitos cibernéticos que supervisan constantemente las amenazas para ayudar a proteger su negocio. Más en microsoft.com/cybersecurity.
Nuestro tema de hoy es la ciberseguridad y, más específicamente, el papel del director de seguridad de la información, el CISO. También revisaremos las noticias sobre ciberseguridad de 2019 y analizaremos las tendencias de ciberseguridad para 2020. Una palabra para ti: Deepfakes. Mi invitada es Stephanie Balaouras, analista de seguridad cibernética y ha hablado con miles de clientes en sus casi 15 años en la investigación de Forrester. Stephanie es vicepresidenta y directora del grupo de investigación de riesgos y seguridad, así como de investigación de operaciones e infraestructura. Stephanie, muchas gracias por hablar conmigo sobre Business Lab.
Stephanie Balaouras: Gracias.
Laurel: Para empezar, en 2017, Forester publicó un informe de Jeff Pollard, miembro de su equipo, sobre las trayectorias profesionales de los CISO, directores de seguridad de la información. Y particularmente me gusta hablar sobre este rol porque es muy nuevo para los C-suites en el negocio. Si Citibank nombró al primer CISO de la historia, en 1995, eso es historia realmente reciente. Pero si toda empresa es también una empresa de tecnología, ¿por qué no todas las empresas tienen un CISO?
Estefanía: Si observa la historia de otros roles, como creo que el primer CMO, el director de marketing fue en la década de 1950, todavía tenía empresas 20, 30 años después sin un CMO. Entonces, cuando estos roles emergentes comienzan por primera vez, toma algún tiempo para que se convierta en la norma. Pero diré que todas las empresas realmente deberían tener un CISO. Las empresas que cotizan en bolsa deben tener un CISO. Pero lo que a menudo encontraremos es que, según el tamaño de la empresa, a veces se saldrán con la suya llamando al CIO también al CISO oa algún otro ejecutivo de TI también como el CISO. Eso es bastante común con las empresas más pequeñas: se saldrán con la suya sin tener un rol independiente.
Pero lo que también encontrará es que si tienen una infracción o algún tipo de problema importante de seguridad cibernética o incluso una violación importante de cumplimiento relacionada con la seguridad de los datos, lo primero que harán es nombrar un CISO dedicado. Y luego, incluso las empresas que tienen un CISO dedicado, cuando tienen una brecha, muchas veces lo que sucede es que se dan cuenta de que el CISO no estaba lo suficientemente alto en la organización o no tenía el rango correcto de responsabilidades o el presupuesto suficiente. o suficiente gente. Entonces ellos arreglarán eso. El nombre CISO debería ser un requisito, pero diría que incluso las empresas que tienen un CISO deberían analizar detenidamente qué tan alto en la organización informan. ¿Tienen el presupuesto adecuado? ¿Tienen suficiente personal? ¿Les has dado el margen de control adecuado?
Laurel: Porque esa es una solución costosa, ¿no?
Estefanía: Sí exactamente.
Laurel: ¿Solo después de un ataque, tenemos que mirar los roles y responsabilidades bajo una nueva luz, bajo una luz más responsable?
Estefanía: Exactamente.
Laurel: Entonces, si el CISO perfecto es tanto una persona de negocios que puede hablar directamente con el CEO, explicar la necesidad de seguridad y mitigación de riesgos, pero luego también hablar con los clientes, tal vez así como con otros empleados, y hablar sobre seguridad y cómo es ese rol. importante para la empresa. ¿De dónde viene esta gente? ¿De dónde obtienen toda esta educación?
Estefanía: Cuando observamos las trayectorias profesionales de los CISO, encontramos que la mayoría de ellos ascendieron en los rangos de seguridad. Por lo general, comenzaron como profesionales de la seguridad. Obtuvieron décadas de experiencia en el papel. Pero lo que a menudo descubrimos es que la mayoría de ellos volverían para obtener títulos de posgrado, y en realidad buscarían un título en negocios. Con frecuencia obtenían maestrías en administración de empresas, y era porque necesitaban satisfacer ambos requisitos, que es, sí, soy un ejecutivo de tecnología, pero al mismo tiempo soy un ejecutivo de tecnología que en una gran empresa reporta al junta trimestralmente o informa directamente al CIO o directamente al CEO. Así que definitivamente es una combinación de educación y experiencia.
Diría que las universidades están haciendo un mejor trabajo al proporcionar títulos de pregrado y posgrado en seguridad de la información. Hay algunas áreas en las que son increíblemente débiles, como que la seguridad de las aplicaciones no se enseña bien a nivel de pregrado, si es que se enseña. Está hecho muy mal. La otra cosa sobre la que criticaré a las universidades es que no están haciendo un buen trabajo al reclutar mujeres para programas de pregrado y posgrado. Existe una gran brecha de habilidades, así como un problema de personal en seguridad, y en Forrester nos gusta decir que en gran medida es autoinfligido porque no estamos reclutando a la mitad de la población, y no estamos reclutando personas de diversos orígenes. Tenemos este molde de individuo del que reclutamos, y luego nos sorprendemos cuando no podemos encontrar suficientes personas con este conjunto de habilidades muy limitado, entonces.
Laurel: Sí, el informe dice que nueve de cada 10 CISO son hombres.
Estefanía: Exactamente. Todavía no hemos visto el final de 2019, pero en los últimos años eso ha sido cierto. Y si miras también al personal, es peor que la industria de la seguridad en general. Aproximadamente el 11% del personal de seguridad son mujeres. Es peor que la TI general. La TI general también tiene un problema, pero está más entre el 20 % y el 30 %, por lo que la seguridad es aún peor.
Laurel: Entonces, cuando hablamos de falta de diversidad en la seguridad en general, ¿cómo intentan responder las empresas a eso? ¿Está viendo alguna empresa en particular que muestre las mejores prácticas?
Estefanía: Definitivamente hay algunas mejores prácticas. En realidad, he visto muchos proveedores, como grandes proveedores de tecnología, que en realidad se están asociando con universidades e incluso se están asociando a nivel de escuela secundaria. Por ejemplo, con Girl Scouts of America, para fomentar programas que entusiasmen e interesen a las niñas en la seguridad cibernética desde una edad muy temprana y luego quieran continuar persiguiéndola a nivel de pregrado y posgrado. En varias universidades, hay programas de becas bastante agresivos.
Y luego también hay mucha introspección que está ocurriendo a nivel corporativo donde observamos la cultura de los equipos de seguridad. Observamos muchas de las rutas tradicionales desde donde reclutamos, que son conferencias dominadas por hombres o, nuevamente, tenemos estas descripciones de trabajo que enfatizan mucha experiencia militar como ejemplo. Entonces, es como ampliar la apertura de personas que reclutarán en la industria de la seguridad, la voluntad de desarrollar su conjunto de habilidades y hacer un trabajo mucho mejor para llenar el embudo, llenar la tubería real a largo plazo.
Pero para su punto, los equipos diversos toman mejores decisiones y, a la larga, tienen un mejor rendimiento. Y luego, lo segundo que diría es que hay tantos trabajos disponibles en seguridad, no solo en los EE. UU., sino también en todo el mundo. También es un problema de matemáticas. No vamos a llenar estos puestos vacantes si no estamos reclutando a la mitad de la población.
Laurel: Además, parecía que no se promovía necesariamente mucho talento en seguridad desde adentro. En los informes de Forrester, parecía que tenía más probabilidades de recibir un ascenso si iba a otra empresa. ¿Están las empresas reexaminando ahora sus propios talentos?
Estefanía: Eso es cierto tanto a nivel individual como a nivel de CISO. Por lo tanto, hemos encontrado entre las empresas Fortune 500 que los CISO primerizos eran raros y no fueron promovidos desde dentro. Por lo tanto, les gustaría contratar CISO de forma externa y querían CISO que tuvieran experiencia previa como CISO. Y, de hecho, si usted es alguien en seguridad, eso significa que si desea ser ascendido a CISO, su mejor oportunidad es mirar externamente, fuera de su empresa. Y también descubrimos que cuando las empresas contrataban CISOs externamente en lugar de promoverlos desde adentro, era más probable que tuvieran un informe más alto en la organización. Entonces, sí, en el nivel de CISO, las empresas podrían hacer un mejor trabajo al mirar hacia adentro y brindarles a esas personas la oportunidad adecuada para informar más alto en la organización.
Pero también encontramos cosas similares nuevamente en los niveles de gerente y de contribuyente individual, que es que no estaban contratando dentro de la empresa o cuando contrataron a personas, no les estaban dando buenas trayectorias profesionales y desarrollo continuo de habilidades. Entonces, nuevamente, si esas personas realmente querían avanzar en su carrera, la mayoría de ellos terminaron yéndose. Es por eso que decimos que gran parte de las habilidades y los desafíos del personal son completamente autoinfligidos.
Laurel: Entonces, es un poco un punto ciego en el que probablemente todos podrían hacerlo un poco mejor, ¿verdad?
Estefanía: Exactamente. Sí.
Laurel: Estaba leyendo este informe del Ponemon Institute, y esta frase en particular me llamó la atención y mientras hablábamos sobre el CISO y qué tipo de persona desempeñaría ese papel en primer lugar y la experiencia que tenían, más que solo un currículum, es también su actitud y habilidad para actuar muy rápido y muy inteligentemente y también comunicarse muy bien. Pero la cita fue, y estoy parafraseando un poco aquí, la tecnología ha transformado la era de Internet en un período de milagros crueles para los profesionales de la seguridad. Todos nuestros milagros crueles son que tenemos dispositivos en cada bolsillo. Podemos ir a cualquier lugar, podemos hablar con cualquiera en cualquier momento y podemos hacerlo a la velocidad de un rayo, pero al mismo tiempo, si es un CISO, ¿cómo asegura todo?
Estefanía: Correcto. Sí. Todos estos dispositivos que extienden las cuatro paredes de la empresa, básicamente extienden la superficie de ataque de la organización. Entonces, para los CISO, ha sido una especie de alejamiento de un enfoque tradicional de seguridad basado en el perímetro y, en realidad, adoptar un enfoque de seguridad más centrado en los datos y las aplicaciones, e incluso diría que centrado en la identidad.
No es que la red no sea importante, la seguridad de la red es muy importante, pero es más el enfoque de seguridad basado en el perímetro lo que ha cambiado drásticamente. De nuevo, donde no hay verdaderas cuatro paredes de la corporación. El perímetro es en realidad mucho más pequeño. Así que tendemos a pensar en enclaves seguros. ¿Cómo construyo un microperímetro alrededor de nuestros activos más importantes?
Cuando hablamos de una red extendida de todo tipo de dispositivos como usted mencionó o el entorno informático en sí mismo, que podría ser una combinación de local, nube, nube privada alojada y todas sus variaciones y cualquier tipo de población de usuarios que interactúe con los sistemas y datos de la empresa. Podrían ser sus propios empleados, podrían ser consumidores y clientes, podrían ser socios externos. Entonces, cuando piensa en dispositivos, poblaciones de usuarios y diferentes modelos informáticos, no hay perímetro. Por lo tanto, la atención se centra en proteger los datos en sí, independientemente de dónde viajen y del modelo de alojamiento o la ubicación. Realmente, realmente echando un vistazo a la identidad. Por lo tanto, limitar y hacer cumplir estrictamente el acceso, tanto humano como no humano. Por lo tanto, le da la vuelta al paradigma de seguridad tradicional. Pasa de centrarse en el perímetro a centrarse en los datos y la identidad.
Eso es lo que normalmente recomendamos a los CISO. Y a eso lo llamamos el modelo de seguridad de confianza cero, en el que asumes que ya tienes una brecha y nunca asumes la confianza en tu entorno. Siempre asumes que algo anda mal en alguna parte, pero funciona. Quizás no sea el giro más positivo del mundo, como, oh, confianza cero, pero funciona. es muy efectivo
La otra cosa que diría es que realmente alentaría a los fabricantes de todos estos dispositivos, sensores de IoT, dispositivos de IoT, todo lo que se pueda imaginar para que realmente hagan un mejor trabajo al incorporar la seguridad en el dispositivo desde el principio. Eso definitivamente facilitaría mucho el trabajo del CISO. Es tan frustrante. También está en gran medida fuera de su control.
Laurel: ¿Correcto? Bueno, especialmente—
Estefanía: Excepto los CISO que realmente trabajan en empresas de productos. Debe participar en el desarrollo de productos. Deberías estar asesorando a la organización.
Laurel: Y es interesante porque la seguridad no siempre es lo primero, ¿verdad?
Estefanía: No.
Laurel: Especialmente cuando estás haciendo diseño de productos. Entonces, ¿ves que eso sucede a menudo? ¿Los CISO realmente participan activamente en el diseño de productos?
Estefanía: No está al día, lamentablemente, pero es algo que sí recomendamos. Y yo diría que algunos CISO no necesariamente lo ven como su rol tradicional, ya que su rol tradicional ha sido proteger los sistemas de back-end de registro e infraestructura y los datos de la empresa y no necesariamente involucrarse en el desarrollo, pero en realidad participamos activamente Anime a los CISO a involucrarse en el diseño y desarrollo de productos para ayudar realmente a la organización a asegurar lo que vende. Sea lo que sea que venda, sea cual sea el servicio que esté brindando a un consumidor, un paciente, un ciudadano, otra corporación, si es una organización B2B, participe activamente en asegurar lo que vende.
Laurel: Y eso es ciertamente un diferenciador competitivo, ¿no es así?
Estefanía: Si absolutamente. Absolutamente. Descubrimos que la seguridad, así como la privacidad, y no son sinónimos, pero a veces van de la mano, crean una diferenciación competitiva para las empresas.
Laurel: Sí. Y ese es un diferenciador importante, y todo el ruido que tienes saliendo. Entonces, si hay algo muy específico que pueda comercializar, sería bueno. Pero también estamos hablando de que el CISO realmente tiene un papel activo en todo. Así que tienes que ser esta persona con múltiples talentos que puede hablar y entender el producto, así como estar en la comunidad, ¿verdad? Todo al mismo tiempo compartiendo, pero no compartiendo, los secretos de la empresa y cómo defiende los datos porque existe esta idea, especialmente en la comunidad tecnológica, donde comparte sus mejores prácticas y lo que ha aprendido. Y me preguntaba un poco acerca de eso, ¿cómo los CISO realmente comparten pero no comparten todo?
Estefanía: Sí, existe ese desafío. Muchos CISOs son muy reacios a hablar sobre detalles sobre sus implementaciones, y no necesariamente veo que eso cambie pronto. Sin embargo, a veces, en grupos más pequeños, hay muchas comunidades que apoyan a los CISO. En realidad, en Forester, tenemos un grupo de redes de pares de aproximadamente 100 CISO. Hay todo tipo de ISAC y comunidades de intercambio de inteligencia entre CISO similares que son específicos de la industria. Muy a menudo, en comunidades muy unidas donde se entiende que todo está bajo NDA, donde hay franqueza, donde hay algunas relaciones personales, los CISO compartirán mucho más. Pero he encontrado CISO dispuestos a hablar sobre la estrategia general. Cuando mencioné pasar de enfoques basados en el perímetro a enfoques centrados en datos e identidad. Hablando de cultura. La cultura es realmente muy importante, no solo en el CISO sino también para el resto de la organización de seguridad.
Porque necesita una organización que tenga el tipo adecuado de personal que realmente pueda hablar con los desarrolladores y ser parte del desarrollo de aplicaciones seguras, que pueda trabajar con los equipos de infraestructura y operaciones para asegurar las implementaciones en la nube. Eso podría funcionar con los equipos de marketing para ayudarlos a comprender las implicaciones de privacidad de cómo podrían personalizar los servicios, los datos y los anuncios para los consumidores. Por lo tanto, también necesita que el equipo de seguridad en sí, no solo el CISO, el equipo de seguridad en sí sea vocal y franco, colaborador y esté dispuesto a insertarse en los procesos comerciales y de TI centrales en toda la organización. Así que hablarán sobre cultura, hablarán sobre personal, hablarán sobre el tipo de habilidades que se requieren también. Definitivamente vemos algún cambio allí.
Laurel: Y también la empresa debe estar dispuesta a permitir que la seguridad cierre el círculo en esta idea, pero no solo en el producto, sino también en todos los demás. Entonces, marketing, pensando, nuevamente, en la seguridad primero o en algún momento. Entonces, ¿cómo tienes esta conversación, para que todos estén un poco educados? No tienes que ser un experto en seguridad si estás en marketing, pero tienes que estar dispuesto a escuchar.
Estefanía: Muchas veces, los CISO contaban las historias y todo era pesimismo. Creo que adoptar un enfoque mucho más basado en el riesgo en el que esté ayudando a la empresa a comprender los riesgos futuros y ayudándolos a comprender tanto la probabilidad como el impacto y aconsejándolos para tomar las decisiones correctas, como pasar de ese departamento de no a más de ese consultivo papel que creo que ayuda. Cuanto más te conviertas en ese experto consultivo en la materia, creo que puedes traer al resto de la organización contigo. Creo que eso es de gran ayuda y varía según el conjunto de habilidades de CISO en cuanto a qué tan buenos son para hacer eso. Creo que en cualquier momento también puedes poner las cosas en términos comerciales positivos, eso ayuda.
Había un analista en mi equipo que escribió este informe, se llamó seguridad con fines de lucro, y en él describió formas en que la seguridad podría ser potencialmente un generador de ingresos para la empresa. Nuevamente, podrían ser características de valor agregado por las que las personas estaban dispuestas a pagar más, o se convierte en un diferenciador competitivo en un producto o servicio que ofrece. Así que en realidad podría contribuir a la línea superior. Y luego también describió todas las formas que realmente pueden ahorrarle dinero a la empresa más allá de evitar infracciones y evitar multas por cumplimiento.
Hay todo tipo de formas en las que, si aplica la seguridad correctamente, puede mejorar drásticamente la experiencia de los empleados y reducir los costos operativos dentro de la empresa. La identidad es uno de los mayores ejemplos, cuando piensas en incorporar a un empleado y la capacidad de automatizar todas las formas en que les das acceso a los sistemas que necesitan. Restablecimiento de contraseñas. Quiero decir, hay tantas cosas al alcance de la mano en las que puede hacer que la vida de los empleados sea más fácil, pero en realidad está reduciendo los costos directos.
Laurel: Sí. Y eso es ciertamente algo en lo que no piensa, pero ciertamente se siente frustrado cuando tiene que rehacer su contraseña y tarda una eternidad y/o tiene que ir a un sistema diferente y bla, bla, bla. Pero ese tipo de simplificación no es solo desde una perspectiva de seguridad, sino que, como dijiste, es desde la perspectiva de todos para hacer sus vidas más fáciles, que es lo que finalmente todos los empleados quieren.
Estefanía: Sí.
Laurel: Entonces, ¿cómo se mantienen los CISO al tanto de las últimas tendencias? Quiero decir, ¿conferencias, esos pequeños grupos con los que hablan?
Estefanía: Sí, creo que hacen su propia investigación, ya sean publicaciones como la suya, firmas como Forrester, el otro gran tipo de firmas de consultoría estratégica también. Sin embargo, hacen su propia investigación. A menudo envían a su personal a muchas de las conferencias. Y luego creo que esos grupos de redes de pares también ayudan dramáticamente. Pero es difícil estar al tanto de todas las tendencias posibles. Por lo tanto, creo que siempre es útil contar con algún tipo de asesoramiento externo, para informarle sobre las amenazas emergentes, los riesgos emergentes, el cumplimiento emergente y las regulaciones que están ocurriendo en todo el mundo.
Laurel: Sí, y luego, como dijiste, tener ese grupo de pares para establecer confianza y algún tipo de transparencia al compartir las mejores prácticas y simplemente escuchar varias historias, incluso si es de un amigo que escuché, para hacer llegar esas advertencias a diversas organizaciones y personas. Hablando de eso, además de en estos grupos de pares, ¿hay mucha cooperación entre el gobierno y las empresas? ¿Está viendo más de esto o la gente se queda en su carril porque hay otros conflictos de los que preocuparse con las empresas y los gobiernos?
Estefanía: Sí. En los EE. UU. y, de hecho, en otros países como el Reino Unido, si se le considera una industria de infraestructura crítica, deberá tener relaciones cercanas con los funcionarios del gobierno federal. Si está en infraestructura crítica, quiero decir, habrá regulaciones de seguridad cibernética específicas de la industria que debe seguir, ya sabe, si está en energía. Quiero decir, incluso los servicios financieros se consideran infraestructura crítica. Entonces, tendrá que seguir las pautas de NIST, como ejemplo. Cualquiera que haga negocios con el gobierno federal tendrá que seguir el NIST.
No desea esperar para entablar relaciones con el gobierno federal o agencias específicas, como el FBI. No desea esperar hasta que sospeche algo o tenga una infracción. O en muchos casos, es al revés, es decir, han detectado algo, te están alertando. A veces, no pueden ofrecerle detalles específicos porque sus manos están atadas como parte de una investigación más amplia. Por lo tanto, puede desarrollar relaciones con muchas de las agencias del gobierno federal de EE. UU. con anticipación, de modo que pueda compartir inteligencia sobre amenazas. O, de nuevo, si algo realmente ocurriera, ya tienes esas relaciones preexistentes en su lugar.
Laurel: Sí, y hablando de algo que ya está ocurriendo y planes de preparación, ¿está viendo que más empresas desarrollan esos planes de preparación para, de nuevo, no si, pero cuando son pirateados o ocurre un ataque cibernético y necesitan hacerlo público?
Estefanía: Entonces, con la respuesta a incidentes, existe una especie de respuesta interna a incidentes, que es una especie de todos los procesos que necesita detectar, luego remediar y luego responder. Y muchas de las respuestas son más de lo que llamamos una especie de respuesta de nivel forense: determinar exactamente lo que sucedió, remediarlo, posiblemente recopilar evidencia forense si decidió que en realidad iba a iniciar una acción legal, dependiendo de quién fuera después. . Luego está la respuesta externa, y realmente necesitas ambas. Realmente necesita una respuesta a incidentes, un proceso y una iniciativa sofisticados dentro de la empresa con expertos dedicados, especialmente si es una gran empresa.
Pero creo que donde las empresas suelen fallar es en la respuesta a infracciones externas. Y nuevamente, las regulaciones requieren que si se trata de consumidores, si se trata de individuos afectados, debe notificarles dentro de días específicos. En muchos casos, son 30 días. Según el RGPD en Europa, son 72 horas o menos. Y hemos visto a las empresas fallar a la perfección en la respuesta a las infracciones externas, lo que significa que fueron cautelosas a la hora de ofrecer información a los consumidores.
No quiero meterme con las empresas porque culpar a las víctimas a menudo no es tan útil, pero he visto que las empresas culpan al consumidor, de alguna manera, diciendo: 'Oh, si tuviera una mejor higiene de contraseñas, si estuvieras monitoreando tus propias cuentas mucho más de cerca, esto no tendría un impacto tan grande.' No. Tienes que mostrar empatía con tus clientes. Ponlos primero. Haz todo lo que puedas para protegerlos. No sea cauteloso al compartir información debido a las preocupaciones de CYA. Y en algunos casos, si lo haces bien, es una oportunidad para no perder su confianza, sino potencialmente incluso para reforzarla y construirla, si los has puesto primero. Pero realmente puedes estropearlo y hacer que la brecha sea mucho peor de lo que debería ser.
Laurel: Y eso solo le costó a la compañía aún más dinero.
Estefanía: Exactamente.
Laurel: Cuando miras hacia atrás en 2019 y hay mucho de qué hablar sobre la seguridad cibernética, si observamos tres áreas específicas, primero son solo los ataques cibernéticos, pero muy específicamente en ciudades y municipios. Así que Nueva Orleans fue el más reciente, a finales de año, que sepamos, pero también fue inmediatamente después de que el estado de Luisiana sufriera un ataque de seguridad cibernética. Sabemos que está sucediendo en todo el país. Entonces, para hacer una pregunta muy cargada, ¿por qué las ciudades y los municipios son objeto de ataques cibernéticos cuando no son necesariamente los equipos mejor financiados?
Estefanía: Sí. Por eso, porque son blancos fáciles. Entonces, si han estado subfinanciando sus esfuerzos de seguridad durante años, entonces son mucho más fáciles de penetrar y luego pedir un rescate, incluso si el rescate es pequeño.
Laurel: Es mejor que nada.
Estefanía: Es mejor que nada. De hecho, ese es el consenso de gran parte del equipo, ya que muchos de estos gobiernos y municipios locales, municipales y estatales son objetivos fáciles porque han estado faltos de fondos y de personal durante años. Y la mayoría de las veces, hay motivación financiera, pero hay otros tipos de motivación. Puede ser político, social. Si llega a un tipo más grande de estados o agencias federales, incluso podría ingresar a la geopolítica e incluso militar en alguna naturaleza.
En realidad, la ciudad de Nueva Orleans, lo interesante de eso es que los atacantes no pidieron rescate. Entonces usaron ransomware para deshabilitarlos. Todo estaba encriptado y forzado. Creo que estaban reemplazando toneladas de infraestructura informática. Puede ser realmente difícil recuperarse de las copias de seguridad. Lo decimos tan a la ligera, como, 'Oh, solo recupérate de tus copias de seguridad'. La mayoría de las copias de seguridad se completan con errores y la capacidad de recuperarse de una copia de seguridad a escala es realmente muy, muy difícil. ¿Y quién sabe cuándo se introdujo realmente el ransomware? Entonces solo está reinstalando el ransomware.
Laurel: Interesante.
Estefanía: Pero sí. Según tengo entendido, en realidad no pidieron un rescate. Así que su motivación no era financiera. Entonces podría haber sido...
Laurel: Solo interrupción.
Estefanía: ... solo interrupción por el bien de ella.
Laurel: A ver si podían hacerlo, sí.
Estefanía: O, curiosamente, leí este artículo en el que obliga a la ciudad a reemplazar una tonelada de infraestructura informática, computadoras portátiles, computadoras de escritorio, infraestructura de servidores. Así que hay una parte de mí que se pregunta: 'Oh, podrían ser empleados de la ciudad. Sé cómo hacer que la ciudad mejore.
Laurel: Bien bien. Obligarlos.
Estefanía: Obligarlos.
Laurel: Arruinándolo todo.
Estefanía: Sí. Por lo tanto, son objetivos fáciles y las motivaciones para el ataque son muy variadas, creo, cuando se trata de infraestructura crítica y luego de la ciudad, el estado y el gobierno local.
Laurel: Y eso no es necesariamente cuando se pide un rescate que alguna vez averigües de dónde vienen o quiénes son o si son actores de un estado extranjero.
Estefanía: Sí, no necesariamente lo sabes.
Laurel: Nunca lo sabrás. Es solo una suposición.
Estefanía: Sí. De hecho, publicamos un informe controvertido este año que decía que, en algunos casos, las organizaciones podrían querer considerar pagar el rescate. Seré honesto, creo que a los gobiernos municipales, estatales y locales se les podría prohibir pagar el rescate. No sé. Tendría que investigar eso, pero las empresas del sector privado, aunque estoy seguro de que el FBI y otras agencias de aplicación de la ley preferirían que no lo hicieran, en algunos casos, en realidad podría tener sentido. Y las aseguradoras cibernéticas incluso dirían que podría tener sentido en algunos casos. Y en realidad hay empresas que se especializan en ayudar a las empresas a pagar el rescate. A veces, puede negociar un rescate más bajo. Es como el trueque. Actuarán como intermediarios entre los distintos personajes de la empresa. Obviamente, les estás pagando en una criptomoneda. No solo estás transfiriendo efectivo.
Laurel: Por supuesto.
Estefanía: Así que también pueden facilitar eso. Quiero decir, si nos fijamos en la ciudad de Baltimore, lo que terminaron gastando para recuperarse del ataque de ransomware fue probablemente cien veces más que el rescate real. Olvidé los números, pero la diferencia era ridícula.
Laurel: Por lo tanto, un consejo para las ciudades y los municipios sería que revisen sus sistemas e intenten actualizarlos y protegerlos de alguna manera.
Estefanía: Sí. Ciertamente, con ransomware, asegúrese de que todos sus sistemas estén actualizados, parcheados. Si observa los ataques más exitosos, los ataques externos, se están aprovechando de las vulnerabilidades y otros tipos de vulnerabilidades de software. No es nada lujoso. A todo el mundo siempre le encanta usar ataques avanzados o ataques patrocinados por el estado. La realidad es que la mayoría de estos ataques tienen un presupuesto bastante bajo, pero aún así son efectivos.
La otra cosa es echar un vistazo de cerca a sus copias de seguridad. No puedo enfatizarlo lo suficiente. La gente siempre pasa por alto sus copias de seguridad. Se convierte en este proceso de TI rutinario que nadie mira dos veces o la gente lo degrada y lo llama no importante. Podría ser más importante hoy si no quiere pagar el rescate.
****
Laurel: La ciberseguridad no se trata solo de detener las amenazas que ve. Se trata de detener a los que no puedes ver. Es por eso que Microsoft Security emplea a más de 3500 expertos en delitos cibernéticos y usa IA para ayudar a anticipar, identificar y eliminar amenazas para que pueda concentrarse en hacer crecer su negocio y Microsoft Security puede concentrarse en protegerlo. Obtenga más información en microsoft.com/cybersecurity.
****
Laurel: Entonces, otro tema interesante que surgió en 2019 fueron las violaciones generales de datos. Entonces, en 2019, realmente parecía que, cada dos días, alguna empresa o alguien anunciaba una violación de datos. Y luego, según Risk Based Security, en 2019 se expusieron más de siete mil millones de registros. Entonces, cuando volvamos a los CISO, ¿cómo están respondiendo realmente los CISO y los ejecutivos de la empresa si 2019 fue como este año en el que [hemos visto tantas] infracciones en un año?
Estefanía: Sí. Creo que 2019 fue finalmente el año de la fatiga por incumplimiento. Quiero decir, incluso fue difícil para nosotros mantenernos al día con cada infracción que apareció en las noticias. Creo que ayuda a ponerlo en perspectiva. No todas estas brechas fueron un ataque. Muchos de ellos en realidad fueron el resultado de exposiciones accidentales. Entonces, si, por ejemplo, desconfiguró el almacenamiento en la nube, en realidad se considera una violación, aunque no necesariamente hay pruebas de que algún tipo de tercero o atacante externo u organización haya hecho mal uso o abuso de los datos. Solo el hecho de que alguien internamente o, a menudo, es el investigador de seguridad quien descubre que toda la información estaba menos expuesta. Eso se considera un incumplimiento.
Pero sí. Si observa las infracciones en sí mismas, el 51% de las empresas tuvo al menos una infracción en el último año. Y ese número es probablemente más alto porque muchas organizaciones no lo saben de inmediato. Pero luego, hay un gran porcentaje de ellos, en realidad la mayoría, son internos, resultado de incidentes internos, incidentes de terceros, o simplemente dispositivos perdidos o robados. Y si observa las verdaderas infracciones externas, donde fue una parte externa la que lo atacó y obtuvo acceso a sus datos confidenciales, volviendo a gran parte de su bajo presupuesto, los tres principales vectores de ataque fueron un ataque directo a su aplicación, aprovechando una vulnerabilidad de software o credenciales de usuario comprometidas.
Y los tres, si lo miran... Odio ser impertinente y decir que es fácil de resolver, pero no necesariamente se necesita la tecnología de software más avanzada para solucionarlo, sino que es un desarrollo de aplicaciones seguro. Volviendo a todo el desarrollo y diseño de nuestros productos, solo se trata de asegurarse de que las aplicaciones que usted desarrolla que están orientadas al cliente sean seguras por diseño, que incorpore seguridad en ellas desde el principio. Eso reducirá una gran cantidad de ataques directos a las aplicaciones. Y luego, una vez que las aplicaciones se implementan en producción, nuevamente, protegiéndolas con todo, desde firewalls de aplicaciones web hasta otros tipos de medidas de seguridad que envuelven la aplicación y las protecciones.
La otra cosa son las vulnerabilidades de software. Muchos atacantes simplemente se aprovechan de las vulnerabilidades que no se han abordado. Entonces, tener un programa de gestión de vulnerabilidades realmente sólido, no es el tema más sexy del mundo, la gestión de vulnerabilidades, pero las empresas en realidad no tienen una buena manera de priorizar las vulnerabilidades y luego abordarlas.
Laurel: Y eso es fruta madura.
Estefanía: Tal fruta madura. Y luego el compromiso de credenciales de usuario, autenticación multifactor.
Laurel: Si. Ve a tu teléfono. Escriba la contraseña. Sin embargo, nos hemos acostumbrado bastante.
Estefanía: Correcto. Y tantas veces con estas infracciones importantes... y solíamos escribir este informe anual de lecciones aprendidas y casi se volvió tedioso porque seguía dando los mismos consejos una y otra vez, como el desarrollo de aplicaciones seguras, la gestión de vulnerabilidades, el cifrado de la mayoría los datos confidenciales que tiene y luego la autenticación de dos factores y luego tener un programa sólido de detección y respuesta a incidentes. Así que todavía hay frutos al alcance de la mano. Quiero decir, hablamos mucho sobre los ataques avanzados y la creciente superficie de ataque y eso es cierto, pero nuevamente, todavía no hemos abordado muchos de los aspectos básicos.
Laurel: Y esos conceptos básicos, como dijiste, has estado escribiendo sobre ellos durante años. ¿Cree que algunos de estos ataques más notables agregan color y tal vez llamen la atención de las personas de manera que estén dispuestas a dedicar parte de un presupuesto de TI a la vulnerabilidad?
Estefanía: Ellas hacen. En cuanto a su punto sobre la autenticación multifactor, creo que ahora se ha convertido en una conclusión inevitable y en una mejor práctica aceptada: debe tenerla en su lugar. Se tomó un tiempo. Tenía que ser brecha tras brecha. Tenía que ser la industria diciendo dos factores, dos factores, dos factores. Incluso las empresas de tecnología de consumo les dicen a sus clientes: 'Enciendan dos factores, enciendan dos factores'. Así que creo que cuanto más repetimos algunas de estas mejores prácticas, más se arraigan finalmente. Espero que suceda lo mismo con el desarrollo de aplicaciones seguras.
Y luego, la gestión de vulnerabilidades, nuevamente, tener una forma de priorizar las vulnerabilidades que necesita abordar es realmente importante. Y cada año se agregan miles de vulnerabilidades a la base de datos nacional de vulnerabilidades y el 30% de ellas se consideran críticas. Así que eso no ayuda. Necesita un proceso, interno, para priorizar aún más las vulnerabilidades en función de su propio contexto comercial, contexto de TI, su propio entorno de amenazas para ayudarlo a parchear el sistema.
Laurel: Porque de lo contrario, es sólo...
Estefanía: Sería abrumador.
Laurel: Tan abrumador.
Estefanía: Sí.
Laurel: Creo que los bancos y la industria bancaria son una de las industrias que obligan a la autenticación de dos factores, en el futuro. ¿Ve alguna industria en particular que haga eso con la protección de aplicaciones o la creación de aplicaciones seguras?
Estefanía: Creación de aplicaciones seguras, ¿quién creo que podría estar a la cabeza? Esa es una buena pregunta. No sé si alguna otra industria realmente se destaca. Hicimos este informe de seguridad del estado de la aplicación recientemente y fue bastante revelador, además de deprimente. No fue un informe para sentirse bien. Y luego hicimos una versión específica de la industria donde filtramos los datos que teníamos por parte del gobierno. Y el gobierno federal fue incluso peor que el sector privado, por lo que es bastante preocupante. Creo que las industrias que quizás más me preocupan serían la atención médica y el gobierno.
Laurel: Y esos son dos que la mayoría de la gente probablemente usa más regularmente que casi cualquier otra cosa.
Estefanía: Correcto.
Laurel: Sí. El de la salud no es una preocupación menor en absoluto. La idea de datos hospitalarios, datos personales, pero también PII [información de identificación personal] y simplemente ingresar a sistemas y máquinas. ¿Todo es una preocupación? Cuando todo es una preocupación, ¿cómo prioriza eso si es una institución de atención médica?
Estefanía: Sí. Creo que con el cuidado de la salud, durante mucho tiempo, gran parte del énfasis estuvo en cumplir con HIPAA. Hablando de EE.UU. específico. En los EE. UU., se hizo tanto énfasis en cumplir con HIPAA, que incluso los CISO se enfocaron en HIPAA en lugar de la verdadera seguridad cibernética. Históricamente, a menudo descubrimos que, desafortunadamente, el cuidado de la salud gastó menos que otras industrias en seguridad. Y de nuevo, si tenían un CISO, a menudo nos encontrábamos con que él o ella no reportaba lo suficientemente alto en la organización o no tenía el alcance de control adecuado. Eso está cambiando. Creo que el cuidado de la salud también tiene problemas, incluso si están abordando algunos de los problemas históricos de presupuesto que tuvieron, es una industria que está luchando con los costos. Si tiene un dólar para gastar en un sistema clínico versus seguridad cibernética, es una elección realmente difícil, particularmente en los EE. UU., donde gastamos tanto en atención médica, pero aún tenemos los peores resultados de atención médica de todas las naciones desarrolladas. Esa es la verdadera lucha: la seguridad requiere una cantidad decente de presupuesto para funcionar bien.
Sí. Entonces, el cuidado de la salud, lo que me preocupa es que están detrás de otras industrias en términos de madurez general, pero creo que eso está cambiando. Creo que la próxima área que probablemente me preocupe dentro del cuidado de la salud sería la seguridad de los dispositivos médicos y la seguridad de las aplicaciones.
Laurel: Sí, ese es un tema completamente diferente y aterrador, ¿verdad? Bueno, por último, lo que estaba pensando a partir de 2019 es que este tema es amplio y grande, pero también muy importante para la mayoría de las empresas que realmente producen un artículo físico o envían cosas de un lugar a otro, que son los ataques a la seguridad de la cadena de suministro. Si la cadena de suministro de una empresa es tan larga y complicada, no solo estamos hablando de asegurar, sí, sus instalaciones físicas o la nube. También es el producto. De dónde se envía, adónde va y luego también los proveedores.
Estefanía: Los componentes.
Laurel: Los componentes y los proveedores con los que trabaja.
Estefanía: Sí. Creo que mucho de eso comenzará con el riesgo general de terceros. Riesgo de terceros y riesgo de la cadena de suministro, quiero decir, la cadena de suministro es una especie de subconjunto del riesgo general de terceros. En general, diría que el riesgo de terceros ha sido uno de los cinco principales desafíos de los que muchos de nuestros clientes CISO nos hablan durante los últimos años. Nuevamente, si observa los datos de infracciones, casi un buen 25% a 30%, en algún lugar de ese rango de infracciones son el resultado de terceros. Y una gran empresa típica podría tener hasta 300 relaciones con terceros cuando se suman no solo los proveedores, sino también los proveedores de servicios de TI, los proveedores de la nube. Una vez hice un análisis de impacto comercial en el que estaba haciendo un inventario de todas las relaciones con terceros para una organización realmente mediana, mil empleados. Y encontré como 30 relaciones con terceros de las que la organización de TI no sabía nada.
Laurel: Oh, vaya.
Estefanía: Y ahora llevas eso a una gran empresa. Así que creo que mucho de eso volverá si puede comenzar con el programa central de riesgo de terceros. Uno, ¿tienes uno? ¿La seguridad está integrada en el riesgo de terceros? ¿Tienen capacidad de veto sobre las relaciones con terceros? Y no es solo una evaluación única de la postura de seguridad de terceros. También es una relación continua en la que los estás reevaluando periódicamente. Hay muchos requisitos para definir, como acuerdos de nivel de servicio en torno a la seguridad con terceros. Entonces, todo comienza con la gestión básica de riesgos de terceros. Y luego creo que también se extenderá al riesgo de la cadena de suministro.
Laurel: Y probablemente verá que las personas o las empresas realmente solo exhiben las mejores prácticas. Empujan eso aguas abajo a todos sus proveedores. Por lo tanto, si espera trabajar con nosotros, deberá seguir estos procedimientos.
Estefanía: Exactamente.
Laurel: está bien.
Estefanía: Exactamente. Sí. Hace tiempo que quería escribir este informe, que es, para el éxito empresarial a largo plazo, actuar como una empresa de incumplimiento. Las empresas que en realidad han tenido mega brechas y sobrevivieron a las secuelas iniciales, después de unos cinco años en realidad obtienen resultados comerciales que a menudo superarán al S&P 500. Y si retrocedes y observas mucho de lo que han hecho, los obliga a tomar decisiones comerciales y de TI y de seguridad realmente difíciles. Entonces, desde una perspectiva comercial, los obligará a volver a priorizar muchas de sus iniciativas estratégicas porque la brecha les costó $ 300 millones, $ 500 millones, incluso $ 1 mil millones. Por lo tanto, los obliga a esforzarse mucho más para analizar su estrategia comercial general y sus operaciones comerciales porque simplemente no tienen el dinero para gastar en todo. O, en algunos casos, tienen que liberarse de las malas decisiones en las que seguían invirtiendo dinero.
Desde una perspectiva de TI, los veremos implementar cosas que deberían haber hecho todo el tiempo. Riesgo de terceros. Tuve una empresa que tuvo una brecha dijo que después de la brecha, ya sabes, no podías comprar un lápiz sin...
Laurel: Aprobación.
Estefanía: Aprobación. Y no necesariamente quieres ir a ese extremo, pero estaba claro que no tenían ningún riesgo de terceros de antemano. O contratarán al CSO o cambiarán el lugar al que informa el CSO, comenzarán a financiar programas de respuesta a incidentes y de respuesta a infracciones. Entonces, la brecha en realidad los obliga a ser una empresa mucho más madura y mejor. Es desafortunado que tuvieran que atravesar la brecha para llegar allí.
Laurel: para llegar allí Supongo que eso es probablemente lo que todas las empresas deberían ver en algún momento, ¿realmente estamos haciendo todo lo que deberíamos hacer de la manera correcta? ¿Cuál es el estado de cosas, el estado de la empresa? y mirando fijamente. Pero estoy seguro de que eso tampoco te haría muy popular si esto fuera solo un ejercicio.
Estefanía: Sí.
Laurel: Si pasa por una terrible brecha de seguridad, entonces tiene una excusa. Así que volvemos a todo el asunto donde cuando sucede algo terrible, ahora tienes una excusa para...
Estefanía: Creo que las evaluaciones de madurez ayudan allí. Quiero decir que hay muchas evaluaciones de madurez específicas de la industria para la ciberseguridad. En Forrester, tenemos nuestras propias evaluaciones de madurez. Por lo tanto, a menudo encontraremos que los clientes lo usarán como referencia, y luego pueden ir a la junta y acudir a sus ejecutivos comerciales y de TI y decir: 'Mire, en contra de las mejores prácticas de la industria, aquí es donde estamos maduros. , y aquí es realmente donde somos débiles. Y luego eso también les ayuda a comenzar a crear hojas de ruta y luego justificar el financiamiento para iniciativas específicas porque se puede decir que mejorará nuestra madurez de 1.5 a 3. Y esto es realmente, para nuestra industria, necesitamos ser al menos un 3 en esta área.
Así que creo en su punto, tomando esa línea de base contra las mejores prácticas de la industria y eligiendo una evaluación de madurez, ya sabe, Forrester's, alguna otra firma de consultoría. Pero establezca una base en su postura de seguridad, comunique los resultados, trabaje con las empresas para establecer objetivos realistas sobre dónde debería estar como empresa e industria. Y luego eso realmente impulsa su hoja de ruta y gran parte de su financiación. Así que te da como un verdadero norte al que apuntar.
Laurel: Y lo pone en el camino de tener seguridad como un diferenciador.
Estefanía: Exactamente.
Laurel: Sí. Entonces, en 2020 probablemente veremos más de eso posiblemente. Pero algunas adiciones más preocupantes. Solo tocamos brevemente la geopolítica. El final del año nos mostró un camino un poco accidentado con Irán específicamente. Entonces, ¿cuánto cree que las empresas promedio están preocupadas por la geopolítica, o es solo cualquier mal actor que se les presente lo que necesitan para reforzar la seguridad?
Estefanía: De hecho, habíamos escrito este informe, quiero decir inicialmente en 2016, y fue para los CISO. Y el título era Ignore el riesgo geopolítico bajo su propio riesgo. Y fue esta idea que los CISO realmente necesitaban despertar a las implicaciones de seguridad cibernética del riesgo geopolítico. Entonces, sí, es Irán hoy. Podría ser otro país en el futuro. Incluso si piensa que, oh, no estoy en el gobierno, no estoy en infraestructura crítica, las organizaciones del sector privado están en el punto de mira todo el tiempo. De nuevo, en algunos casos porque son blancos fáciles, porque haces negocios con el gobierno federal.
Por lo tanto, debe preocuparse por el riesgo geopolítico. Y de nuevo, para muchas grandes empresas en las que eres multinacional, tienes que pensar en cómo afecta a tus empleados, tus oficinas, los terceros con los que haces negocios. Entonces, como si las OSC no tuvieran suficiente que hacer, deben tener en cuenta el riesgo geopolítico. ¿Cómo aumenta el riesgo? ¿Los convierte en un objetivo más? En realidad, curiosamente, si observa algunas de las infracciones, conoce a Marriott, por ejemplo. Himno, no recuerdo si eso fue hace unos tres años. No se habrían considerado a sí mismos como los objetivos de un estado nación, pero eran sus datos lo que querían.
Laurel: Por supuesto. ¿Y ese tipo de nombres de marquesina están más en riesgo o realmente es solo, sí, tienes algunos datos geniales?
Estefanía: Creo que se trataba menos del nombre y más sobre, en esos casos particulares, sobre los datos que tenían. Ya sabes, en el caso de Marriott, tenían información increíblemente detallada sobre los hábitos de viaje de los empleados gubernamentales y altos funcionarios. Creo que, en algunos casos, incluso tenían copias de sus números de pasaporte como parte de los datos confidenciales comprometidos.
En el caso de Anthem, tiene información médica confidencial sobre las personas. Debe pensar en el riesgo geopolítico y en cómo un estado nación podría usar sus datos.
Laurel: Definitivamente hay mucho allí. Pero, ¿qué pasa con la política interna y el riesgo? 2020 es un año electoral. Pero además de la seguridad de las urnas, ¿qué otro tipo de grupos de interés especial y campañas pueden estar recopilando datos que podrían ser objetivos?
Estefanía: Sí, quiero decir que es interesante. Bueno, de nuevo, la capacidad de dirigirse a los votantes es muy poderosa. Entonces, nuevamente, si es una organización de consumidores que tiene información muy detallada sobre las preferencias, gustos y hábitos de los individuos. Puede que no se use necesariamente para fines nefastos como el robo de identidad. Pero, de nuevo, podría ser utilizado por alguien que quiera apuntar e influir en esas personas. Así que definitivamente puedo ver, nuevamente, si usted es una empresa de consumo que tiene datos increíblemente detallados sobre preferencias, comportamientos de compra, actitudes, todo eso definitivamente estaría listo para la orientación.
Laurel: Además de ataques como deepfakes, ¿no?
Estefanía: Si.
Laurel: Entonces, ¿diría que los deepfakes son como el nuevo phishing o es solo una especie de phishing?
Estefanía: Sabor. Es una especie de la próxima evolución de la ingeniería social. Como si la ingeniería social no fuera lo suficientemente difícil de abordar, ahora también tenemos que lidiar con las falsificaciones profundas. Y siento que los deepfakes maduraron mucho más rápido de lo que esperaba la industria. Quiero decir, recuerdo haber leído y escuchado podcasts y expertos diciendo: 'Oh, ya sabes, todavía estamos a años de las falsificaciones profundas que realmente pueden engañar a los expertos'. Y siento que esa línea de tiempo estaba muy lejos.
Laurel: Camino acelerado.
Estefanía: Camino acelerado.
Laurel: Entonces, Forrester tiene este gran informe llamado Predicciones 2020, y la predicción es que las falsificaciones profundas costarán a las empresas más de un cuarto de mil millones de dólares el próximo año. Entonces, la tecnología se está acelerando, pero también el impacto y el daño.
Estefanía: Sí, correcto. Y creo que al igual que una infracción típica, están los costos inmediatos. Entonces, si piensas en tus típicos ataques de ingeniería social. Recientemente, fue una empresa alemana en la que alguien fue capaz de falsificar de manera convincente la voz del director ejecutivo y convencieron a otro ejecutivo dentro de la empresa para que les transfiriera algo así como un cuarto de millón de dólares. Entonces, hay un ejemplo de su próxima evolución de compromiso empresarial y ataques de ingeniería social. Así que puedes imaginar que es aún más sofisticado, de mayor escala, pero también se trata de las consecuencias. Demostrando que fue un deepfake, lidiando con la respuesta de incumplimiento, cómo lo manejas. Definitivamente creemos que el costo total podría ser significativo.
Laurel: ¿Es algo que las compañías de seguros están listas para manejar o pueden manejar?
Estefanía: Curiosamente, ese ejemplo que acabo de dar, por lo que es un deepfake, todo sucedió sobre la infraestructura informática. Se consideraría fraude en lugar de un ataque externo. Así que no estoy seguro de que su seguro cibernético lo cubra.
Laurel: Guau.
Estefanía: Y sé que muchas empresas lo hacen como parte de su respuesta. Se supone que se cubrirá una buena parte. Para una gran empresa, no es inusual tener una póliza de seguro cibernético de $ 100 millones. Entonces, si confía en poder usar esos $ 100 millones, dependiendo de la naturaleza de lo que sucedió exactamente. Si se clasifica como fraude, es posible que no lo cubran.
Laurel: ¿Qué podrían hacer los ejecutivos? Vuelve a las contraseñas secretas y los apretones de manos o...
Estefanía: Sí, bromas aparte. Si en esos casos de transferencia bancaria o cualquier otra cosa que involucre datos confidenciales, tener ese segundo factor, la autenticación, creo que en realidad es realmente importante.
Laurel: Interesante. Obviamente, deepfakes, mucha tecnología de rápido movimiento, todo se mueve y se vuelve mucho más sofisticado. Entonces, no solo estamos hablando de que los buenos tengan acceso a toda la tecnología. Los malos también lo hacen. Entonces, ¿qué estamos viendo en otra predicción de Forrester aquí sobre inteligencia artificial armada y aprendizaje automático? Es un tema amplio, pero con una tecnología que avanza tan rápidamente y todos tienen acceso a las mismas herramientas, ¿hay una carrera armamentista o es solo que todos tenemos que cuidarnos unos a otros y simplemente hacerlo?
Estefanía: Creo que son ambos. Me refiero a que la seguridad es una carrera armamentista perenne. Diré que creo que los equipos de seguridad necesitan adoptar el aprendizaje automático y otros tipos de inteligencia artificial muy rápidamente. Tan rápido como los malos son. Quiero decir que hay grandes oportunidades para automatizar muchos de nuestros procesos centrales dentro de la seguridad. Todo, desde la detección hasta la remediación y la respuesta real.
Usar el aprendizaje automático para mejorar las capacidades de detección. Así que imagine si pudiéramos detectar algo más rápidamente y luego se automatizara mucho más de nuestra respuesta. En este momento, mucho de lo que hacemos es muy manual. El manual de detección, como suelen ser los equipos de seguridad, como si miras un SOC típico, quiero decir que están inundados con miles de alertas. Tratar de dar sentido a qué alertas son más importantes que otras es difícil. Entonces, de nuevo, es una especie de priorización. Comprender de inmediato cuáles son realmente nefastos y peligrosos es fundamental. Y puedes contratar a tantas personas como quieras. Nunca serías capaz de seguirle el ritmo.
Laurel: Correcto.
Estefanía: Así que realmente necesitas tecnología para hacer eso por ti. Pero luego, una vez que sabe que algo realmente es malicioso, nuevamente, en este momento es un proceso manual que se inicia, es decir, necesitaría restablecer manualmente las contraseñas de los usuarios. Deberá aislar manualmente los dispositivos de la red. Todo se hace manualmente y, en algunos casos, todavía tenemos muchos pasos en los que solicitamos aprobación. En el futuro, todo eso sucedería automáticamente. Necesitaría que las empresas trabajaran con usted para decir: 'Está bien, de ahora en adelante, si alcanza cierto umbral, si estamos seguros en un 90 % de que esto es malicioso, entonces el equipo de seguridad, todos los procesos están automatizados'. Todo lo que acabo de describir, como el restablecimiento de contraseñas, el aislamiento de dispositivos, todo eso puede suceder automáticamente. No es necesario esperar la aprobación de nadie.
Laurel: ¿Y el tiempo es esencial?
Estefanía: Sí, entonces tenemos que hablar sobre las empresas que necesitan someterse a una transformación digital para cumplir con las nuevas expectativas de los clientes y las cambiantes demandas comerciales. Creo que los equipos de seguridad deben experimentar su propia transformación digital, porque todo lo que hacemos hoy en día es muy manual y requiere mucho tiempo. Y si vamos a mantenernos al día con los ciberdelincuentes que se aprovechan de estas tecnologías, debemos hacerlo más temprano que tarde.
Hubo una empresa que usó algoritmos de aprendizaje automático para dirigirse a personas con mensajes de ingeniería social más sofisticados y pudo aumentar no solo la cantidad total de personas que pudieron diseñar socialmente, sino también el éxito de los clics exponencialmente con aprendizaje automático y tecnologías de automatización. Así que sí, tenemos que mantenernos al día.
Laurel: ¿Diría que hay otras tendencias particulares que está buscando para 2020 o cosas que la gente debería estar atenta?
Estefanía: De hecho, creo que el riesgo de terceros y la cadena de suministro seguirán siendo un problema muy importante. Y esa es en realidad otra área debido al tamaño del problema. Cuando hablo de una empresa que tiene 300 relaciones con terceros, eso es solo un promedio. Hay grandes empresas con un número aún mayor que ese, y lleva mucho tiempo evaluar la postura, negociar SLA, continuar evaluándolas, controlarlas, obtener registros de ellas para comprender dónde están sus datos. Por lo tanto, el desafío del riesgo de terceros por sí solo necesita su propio conjunto de herramientas de automatización y reglas de la cadena de suministro. Creo que la transformación del SOC seguirá siendo un problema en 2019.
Laurel: ¿El centro de operaciones de seguridad?
Estefanía: El centro de operaciones de seguridad. Como si no tuviéramos escasez de habilidades y de personal. Incluso si pudiera contratar a todas las personas que desea, no puede mantenerse al día con la escala y el desafío de los problemas. Así que también hay que adoptar la automatización allí.
Laurel: ¿Ve empresas que adoptan la automatización primero, tal vez en seguridad, donde pueden haber dudado más en otras partes del negocio?
Estefanía: Si. Y durante mucho tiempo hubo dudas sobre la adopción de la automatización, porque existía el temor de que pudiera bloquear una transacción comercial legítima. Y ya sabes, históricamente, el equipo de seguridad luchó para ser visto como un socio comercial. Eran el departamento de no. Y entonces existía este temido temor de bloquear potencialmente cualquier tipo de transacción comercial legítima. Creo que ese miedo se ha ido ahora dadas todas las brechas que tenemos. El negocio es como, 'No, si sabes que algo es malicioso, lo bloqueas'.
Laurel: Correcto.
Estefanía: 'O dentro de cierta confianza, crees que es malicioso, lo bloqueas'. Entonces, definitivamente hay una apertura a la automatización. Diré, hay una frase como no automatizar estúpido. No puede simplemente invertir en una tecnología de automatización si carece de procesos fundamentales en su SOC. Por lo tanto, debe madurar sus operaciones SOC y tener procesos maduros y luego puede automatizarlos. De lo contrario, solo estás automatizando estúpido. Y en algunos casos también, es por eso que muchas empresas recurren a los servicios administrados.
La gran mayoría del presupuesto de seguridad ahora se gasta en servicios. Ya sea que se trate de servicios gestionados profesionales o de consultoría, o de seguridad realmente entregada como un servicio desde la nube. Se ha alejado de los productos locales hacia los servicios. Y creo que parte de eso refleja la necesidad de que los equipos de seguridad necesiten ayuda externa. Tienen una escala de problema, tienen un problema de experiencia, por lo que recurren cada vez más a los servicios. Y luego, a medida que el negocio se basa cada vez más en la nube, sus tecnologías de seguridad también deben basarse en la nube.
Laurel: Y rápidamente
Estefanía: Exactamente.
Laurel: Sí. Y eso ciertamente vuelve al punto de partida, no lo hagas solo. No puedes hacer todo esto solo en el desierto.
Estefanía: Definitivamente no.
Laurel: Bueno, muchas gracias, Stephanie. Fue genial tenerte hoy en el Business Lab.
Estefanía: Gracias por invitarme. Fue genial estar aquí.
Laurel: Esa fue Stephanie Balaouras, vicepresidenta y directora de grupo de investigación de riesgos y seguridad, así como investigación de operaciones e infraestructura en Forrester Research, con quien hablé desde Cambridge, Massachusetts, la sede del MIT y MIT Technology Review, con vista al río Charles. Además, gracias a nuestro socio, Microsoft Security.
Eso es todo por este episodio del Business Lab. Soy su anfitrión, Laurel Ruma. Soy el director de Insights, la división de publicaciones personalizadas de MIT Technology Review. Fuimos fundados en 1899 en el Instituto de Tecnología de Massachusetts, y también puede encontrarnos impresos, en la web, en docenas de eventos en vivo cada año. Para obtener más información sobre nosotros y la feria, visite nuestro sitio web, TechnologyReview.com. Este programa está disponible dondequiera que obtenga sus podcasts. Si disfrutó de este episodio, esperamos que se tome un momento para calificarnos y comentarnos. Business Lab es una producción de MIT Technology Review. Este episodio fue producido por Collective Next. Gracias por su atención.
Las amenazas a la seguridad están en todas partes. Es por eso que Microsoft Security cuenta con más de 3500 expertos en delitos cibernéticos que supervisan constantemente las amenazas para ayudar a proteger su negocio. Más en Microsoft.com/cybersecurity.
