Es un hecho, que en algún momento, los ambientes de OT y/o TI de las empresas pueda ser comprometidos, desde un par de colaboradores con sus equipos con malware que afecta su productividad, hasta un problema catastrófico que puede dejar a la organización paralizada por días y con su información subastada al mejor postor en el mercado negro de la web. Por más medidas de control que establezcamos o mejores sistemas tecnológicos de seguridad que dispongamos, el mercado del cibercrimen sigue creciendo y las víctimas, aumentando.
Pensábamos que con mantener seguro un entorno particular y acotado era suficiente, pero con las nubes, los contenedores, el teletrabajo, smartphones, wifi, 5G, IA, …, etc., toda tecnología de seguridad queda corta. Poco a poco, los puntos de control se multiplican más allá de nuestras capacidades y lo que antes era evidente, como un defacement, ahora son ataques que prácticamente no se diferencian de la operación normal hasta que se concretan con devastadoras consecuencias.
La vanguardia tecnológica
Las redes sociales agregan otro punto que escapa a cualquier intento de control; es sabido del incremento del scam, del phishing y del robo de credenciales para exponer la información que, en otro momento, requería mucho más esfuerzo obtener. Asimismo, cada día resulta más difícil para los equipos de seguridad controlar a los usuarios sin interferir en su productividad; conocer la red y cada una de las interacciones que existen en ella; sumado al negocio y los desarrollos que pocas veces permiten exhaustivos procesos de QA; por lo que cada vez resulta más complejo garantizar la seguridad.
¿Qué podemos hacer? Queda perseverar, ir a la vanguardia en términos tecnológicos, de conocimiento, de administración, de mejores prácticas, de establecer cada uno de los escenarios de prueba posibles tratando de emular lo que hacen nuestros adversarios, que siempre tendrán la ventaja, ya que les basta encontrar un único agujero para lograr sus objetivos, mientras que nosotros necesitamos estar atentos a todas las posibles fisuras.
Dicho todo lo anterior, tenemos que conocer cómo funcionan nuestras tecnologías y estrategias defensivas para sintonizarlas en cada capa, conocer lo que debemos proteger y corregir lo que genera ruido (no obviarlo) para detectar pequeñas anomalías que nos permitirán actuar rápidamente ante las primeras acciones de un atacante. Hay que conocer el impacto y el compromiso de cualquiera de los componentes en nuestro ciber ambiente, saber qué pasa si perdemos un servidor, si se corrompe una base de datos, si una máquina está con su configuración por defecto y saber si esas situaciones se corresponden con la operación habitual o a la presencia del “enemigo”.
Tenemos que conocer a nuestros colaboradores y practicar el sabio principio de controlar sus privilegios sobre los activos que poseen a su alcance, tratando de que sea el estrictamente necesario para cumplir con sus funciones, y someterlos a todas las verificaciones de identidad necesarias e incluso controlar lo que hacemos nosotros mismos como administradores de la seguridad.
Sigue leyendo
Las amenazas se complejizan: ¿cómo responder frente a los ataques?
Es preciso buscar, permanentemente, mejoras tecnológicas, optimizar continuamente nuestros procesos y la formación de nuestra gente, saber que con la automatización se elimina el factor humano de labores repetitivas y se reducen errores y tiempos, pero que trae de la mano controlar estos nuevos procesos.
Es preciso establecer planes de respuesta al máximo de escenarios posibles, dándole vida a los sabidos BCP y DRP; poniendo a prueba una y otra vez nuestros sistemas, como cajas negras, grises o blancas, con equipos internos y externos; estableciendo mecanismos de corrección, de actualización, de parchado y de reseteo; debemos monitorear lo que pasa y almacenar la data de forma segura y por un buen tiempo, para analizarla y buscar vulnerabilidades; generar métricas para contar con capacidad de gobernanza de este complejo sistema a través de los cada vez más numerosos indicadores que nos surgen.
Lee también
¿Por qué América Latina es una mina de oro para los ciberdelincuentes?
Con el advenimiento de los contenedores no bastan los WAF y tenemos que pensar en tecnologías RASP; frente a los APT no alcanza el antivirus potenciado, sino que se debe incorporar el EDR; ya no basta el firewall de nueva generación, el SIEM tradicional y un SOAR, sino que se deben incorporar las tecnologías XDR/MDR, componentes manejados por IA, ya es tiempo de tener un MDM y controlar lo que hacen nuestros usuarios con sus smartphones y tablets.
También, hay que replicar todos los mecanismos de seguridad conocidos en los ambientes nube y controlar la comunicación entre los usuarios con las tecnologías CASB; aplicar políticas de control en los AD, ya sean on premise o en la nube, y no perder de vista lo que se hace en el dominio. Debemos tener control de acceso a nuestra wifi o a cualquier punto de la red tradicional, híbrida o nube, e incluso ambientes industriales es preciso tener tecnologías de control similares a las de los ambientes TI, ya que, incluso los PLC pueden ser el blanco de un ataque que paralice nuestra línea de producción o genere un accidente catastrófico en la planta.
Con la llegada del 5G y el auge de la IoT, en un futuro cercano hasta la cafetera de la oficina puede convertirse en un punto por donde un ciberdelincuente acceda a nuestra organización. Está en uno estar preparado para evitar daños.
.
¿Qué podemos hacer? ¿Hay alguna forma de estar preparados?
