La ciberseguridad ya preocupa a directivos y se impone en los entornos de trabajo

Según los datos que maneja el Incibe, España es el primer país de la Unión Europea (UE), y el segundo en el mundo después de EE.UU., por número de CSIRT (Equipo de Respuesta a Incidentes de Seguridad), lo que le sitúa como uno de los países con un ecosistema de ciberseguridad más maduro, a nivel global, alcanzando la cuarta posición en el ranking de la Unión Internacional de Telecomunicaciones de Naciones Unidas.

El mismo organismo advierte y evidencia la necesidad de cubrir más de 83.000 puestos de trabajo en ciberseguridad antes de 2024. En medio de ambos datos se sitúa el enorme cambio que en nuestro país, y en el resto del mundo, se ha producido en los entornos de trabajo con la introducción de la necesaria ciberseguridad en el día a día de las personas, sobre todo a nivel profesional. Según nos indica el experto en el tema y director de investigación y concienciación de ESET España, Josep Albors, “los cambios introducidos por las necesidades derivadas de la pandemia también han afectado a cómo se gestiona la ciberseguridad actualmente”, además de la profusión de ataques que se han intensificado y sofisticado en los últimos años.

Los directivos ya no se ponen de perfil

Algo ha cambiado para las empresas y sus entornos de negocio y de trabajo, porque según las últimas previsiones de ciberseguridad de la empresa analista Canalys, el gasto mundial en ciberseguridad (incluidos los productos y servicios empresariales) aumentará un 13,2 % en 2023 y seguirá siendo un sector de crecimiento clave. Sus cálculos esperan que el gasto total en 2023 alcance los 223.800 millones de dólares. Sin embargo se van a mirar con lupa los presupuestos para centrarse solo en invertir en las necesidades de ciberseguridad más apremiantes para minimizar el riesgo de infracciones.

El estudio Perspectivas Mundiales de Ciberseguridad 2023 del Foro Económico Mundial (WEF) mostró que la profunda desconexión entre cómo perciben los responsables de ciberseguridad o CISO y los directivos de las empresas ha empezado a reducirse, que estos últimos son más conscientes de las amenazas, las incorporan a la gestión de riesgo empresarial y se tienen más en cuenta en los Consejos de Administración.

No obstante, aún hay peros. Todavía no hay un entendimiento fluido entre los CISO y los directivos, no confluyen en dimensionar los riesgos en materia de ciberseguridad y en implementar las necesarias medidas para favorecer la necesaria ciberresiliencia. El informe del WEF también advierte de que hay un problema en la elevada rotación de los responsables de la ciberseguridad en todas las organizaciones, y la inmediatez a la hora de atajar las amenazas merma la estrategia más estudiada para el largo plazo, la planificación y la inversión. El tiempo siempre corre en contra.

Sus conclusiones indican que las ciberamenazas han cambiado y se centran más en la interrupción de la actividad y el daño a la reputación de la corporación. Además, la guerra de Ucrania y en general la inestabilidad geopolítica mundial han aumentado el temor a un acontecimiento cibernético catastrófico de gran alcance que afecte a todos a su propia empresa, más o menos como el covid, pero en los sistemas TI y en los próximos dos años. Así lo creen el 43% de los entrevistados, lo que se traduce en que se invierte para tener defensas cotidianas, y no en ciberresiliencias realmente profundas y estratégicas.

La investigación ha constatado un secreto a voces; los directivos ven claramente la influencia de su cadena de suministro, sus comerciales y sus clientes en los riesgos de ciberseguridad de sus empresas. Así, todos reconocen querer y pretender reforzar los controles de seguridad para terceros con acceso a sus sistemas, sobre todo fijándose en qué países o zonas geopolíticas concretas hacen negocios. Por ejemplo, si hacen negocios con Rusia, no son muy fiables ahora mismo. La transformación digital que se está produciendo en muchas empresas y organizaciones, a la que no se puede ni se debe renunciar, incorpora tecnología emergente que también aporta y suma más riesgos.

Sin embargo, se avanza, porque las normativas y leyes relativas a la privacidad de datos han cambiado la visión de los responsables de la seguridad, y han sido claves para la concienciación a la hora de ponerse manos a la obra para reducir los riesgos de la ciberseguridad no solo en relación a los datos. Los CISO reconocen que la regulación incentiva las acciones necesarias en materia de ciberseguridad. Esto es todo un avance.

Queda camino por andar, como avanzar en crear una cultura centrada en la seguridad, lo que requiere un lenguaje común basado en métricas, y esforzarse en comunicar a los altos directivos con un lenguaje sencillo y didáctico cuáles son los riesgos, las amenazas y las acciones necesarias.

La ciberseguridad ha cambiado los entornos de trabajo

Los directivos empiezan a escuchar a los responsables de la seguridad de las TI, pero todo parece hacerse a golpe de parcheo. La explosión tecnológica de los últimos años, sumada a su adopción y al crecimiento de la digitalización de procesos, servicios, etc. ha supuesto un verdadero desafío. Para Mar López, responsable de Accenture Security para el sector público y sanidad, “esto ha acelerado que todo tipo de organizaciones se hayan planteado múltiples aspectos relativos a la adopción de la tecnología, su funcionamiento y cómo las personas la utilizamos. Ha habido que adecuarse a un nuevo modelo de trabajo donde lo físico y lo digital se ha fusionado”.

Para López, esta situación, además, ha llevado a enfrentarnos a amenazas conocidas y no conocidas, considerando así factores de riesgo por superficie de exposición, que impactan principalmente sobre los negocios, cuestiones reputacionales y en la forma que tenemos que hacer las cosas. “Sabemos que el 93% de los ataques que se producen en una empresa son de ingeniería social, es decir, por vulnerabilidades del factor humano, por lo que es fundamental que todas las personas de una organización, incluidos los proveedores y clientes, entiendan el concepto de riesgo”, asegura López.

Esta analista coincide con el informe del  WEF en que el reto para responsables y especialistas del sector es trasladar a los directivos la idea de la seguridad como un imperativo en la estrategia, además de la importancia del trabajo en equipo para manejar los riesgos. “Es cierto que los líderes empresariales ahora son más conscientes de los riesgos cibernéticos de sus organizaciones; sin embargo, existe la necesidad de ir más allá para evaluar y poner en marcha próximos pasos que puedan aplicarse en toda la empresa”, augura la responsable de Accenture Security.

El trabajo ha cambiado. El teletrabajo y las opciones híbridas han potenciado soluciones que han generado nuevos retos de seguridad. “El tema de las conexiones remotas es especialmente delicado y ha obligado a implementar y gestionar soluciones como las VPN, y a mejorar los mecanismos de autenticación multifactor. En la actualidad se deben monitorizar todo tipo de conexiones, entrantes y salientes, desde cualquier dispositivo perteneciente a la empresa”, concreta Albors. A esto se suma “que se deben recopilar acciones sospechosas que puedan estar relacionadas con un posible ciberataque, y contar con profesionales (internos y/o externos) capaces de identificar y bloquear estas intrusiones”.

Las tecnologías que nos aseguran ya, o lo harán en el futuro

Cada vez los ataques tienen un impacto más relevante y se atiende a un mayor crecimiento y complejidad. Para atender esta situación se están realizando grandes esfuerzos para anticiparnos ante nuevos factores de incertidumbre: “Estrategias de seguridad, —enumera Mar López— normativa y acciones de todo tipo que van desde la concienciación a la I+D+i para construir un entorno más ciberresiliente, que pasa por la concienciación y la preparación”.

Además de la concienciación, “en la actualidad ya se está haciendo mucho hincapié en la recopilación de datos provenientes de todo tipo de dispositivos y su monitorización”, señala Josep Albors, lo que permite detectar comportamientos anómalos y bloquear posibles ciberataques en sus fases iniciales de desarrollo. El problema para él está en los volúmenes de datos: “Es tan grande la cantidad de información a analizar que es necesario contar con sistemas que sepan separar la información realmente relevante y proporcionársela a los especialistas, para que estos puedan ser capaces de detectar estos ataques sin caer en la fatiga por estar sobre informados”. Albors aporta una solución que ya se está utilizando, “la inteligencia artificial y el aprendizaje automático juegan un papel muy importante en este aspecto y es de prever que lo seguirán haciendo, porque evolucionarán a corto y medio plazo”.

A la IA y el machine learning, en opinión de López “hay que sumarle la automatización y el deep learning, que nos apoyarán a la toma de decisiones, los análisis de riesgos y el intercambio de información. El blockchain o la tecnología cuántica también serán esenciales, como el 5G, el cloud o el edge computing, que nos ayudarán a ser más rápidos”, afirma.

Desde Canalys, también apuntan a estrategias como implementar arquitecturas Zero Trust para abordar las vulnerabilidades que se han explotado con éxito en los últimos tres años desde el comienzo de la pandemia. Y prevén que las ventas de productos de ciberseguridad, incluida la seguridad de endpoints, seguridad de redes, seguridad web y de correo electrónico, seguridad de datos, gestión de identidades y accesos, y análisis de vulnerabilidades y seguridad, van a aumentar un 11,7%, hasta los 79.500 millones de dólares en 2023 en todo el mundo.

Pero hay algunas tecnologías que, según su uso, pueden conseguir el efecto contrario. Matthew Ball, analista jefe de Canalys, asegura que “el ransomware sigue siendo la mayor amenaza para las organizaciones desde una perspectiva operativa, financiera y de marca. Pero la aparición y el abuso de modelos generativos de IA, como ChatGPT, aumentarán el riesgo a otro nivel en 2023”. Según explica, esto permitirá y acelerará la creación de códigos maliciosos a escala industrial por parte de más actores de amenazas, “y aumentará la frecuencia y el alcance de los ataques”.

Para López, en todo este entorno es clave apostar por la investigación y el aprendizaje continuo, para estar más preparados ante situaciones que tendremos que gestionar con conocimientos y tecnología. La mayoría de los ataques detectados actualmente utilizan técnicas y procedimientos ya conocidos desde hace años, con las variaciones que les han permitido seguir siendo efectivos aun hoy en día. “Es importante destacar este punto, puesto que los ataques más avanzados, aquellos que muchas veces ocupan titulares, son pocos en comparación. Incluso una de las amenazas más peligrosas para las empresas actualmente, como es el malware, sigue utilizando vectores de ataque conocidos y que se pueden bloquear con medidas de seguridad existentes desde hace tiempo”, nos explica.

Falta de proveedores y soluciones holísticas

El principal problema es que muchas empresas no aplican ni siquiera las políticas de seguridad más básicas y eso facilita mucho el trabajo de los delincuentes.

Para eso está la tecnología, “para ayudarnos, —dice López— pero ella sola sin un planteamiento estratégico y bien dimensionado puede ser insuficiente. Abordar la ciberseguridad desde un punto de vista holístico otorga a las empresas la capacidad y la confianza para escalar y conseguir más agilidad cuando se trata de adaptarse a cualquier impacto futuro”.

Albors nos indica que en los últimos años hemos visto numerosas fusiones y adquisiciones en el sector de la seguridad, principalmente orientadas a obtener tecnologías o, directamente, información que permita hacer frente mejor a los ciberataques. Aunque hay casos como su empresa, ESET, “que apuesta por seguir manteniendo su independencia financiera y empresarial, pero no por ello renunciamos a seguir estrechando los lazos de colaboración en materia de compartición de información relacionada con ciberamenazas con otras empresas del sector de la ciberseguridad”, reconoce el analista, porque es imprescindible para luchar contra la ciberdelincuencia.

La colaboración entre empresas e instituciones, muy presente en el sector desde sus inicios, permite hacer frente al desafío de las nuevas amenazas de forma más efectiva ser capaces de proporcionar la mayor información posible para detectar ciberataques en constante evolución. Pero esta necesidad choca de frente con la falta de profesionales en el campo de la ciberseguridad y la gran rotación laboral de los mismos que existe.

El WEF lo advierte también: se necesitan más personas, y hace falta dedicar el tiempo, la reflexión y la inversión necesarios para programas de desarrollo de cibercapacidades. La contratación y retención de cibertalentos es un reto clave para gestionar la ciberresiliencia cibernética. Una amplia solución para aumentar la oferta de profesionales de las TI, y en especial de su seguridad, es ampliar y promover los esfuerzos de inclusión y diversidad. Además, las organizaciones deben comprender que el amplio espectro de habilidades necesarias hoy en día puede ayudarles a ampliar sus grupos de contratación. Ya se han puesto en marcha iniciativas prometedoras, pero suelen centrarse en grupos reducidos.