¿Cómo cambias de trayectoria rápidamente cuando estás bajo amenaza?

Por Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Gurú de la ciberseguridad. Casada y madre de cuatro. Disfruta del buceo, el senderismo y la restauración de muebles. Vive en McLean, Virginia.

8 minutos de lectura 6 ago. 2020

Hay una larga lista de vulnerabilidades organizativas que los directores de la seguridad de la información (CISO, por sus siglas en inglés) deben afrontar, pero algunas medidas prácticas pueden ayudar a mitigarlas.

En resumen
  • Entre los pasos sencillos para prepararse para la nueva versión del negocio "como de costumbre" se incluyen la actualización de las políticas de seguridad y la realización de una limpieza profunda de dispositivos y redes.
  • Los directores de la seguridad de la información con visión de futuro deben volver a priorizar la estrategia, la hoja de ruta y el presupuesto para satisfacer las peticiones inevitables de una pausa en los gastos a medida que se revisa la estrategia empresarial.
  • A largo plazo, ciertas macrotendencias también pueden sumarse a la agenda del CISO, como la vigilancia, los pagos digitales y el marketing omnicanal.

A medida que las organizaciones se recuperan y los empleados se preparan para regresar al trabajo, los líderes de seguridad pueden enfrentar el desafío de reiniciar sus operaciones y ayudar a los equipos a adoptar una nueva realidad. También es probable que alineen y prioricen los presupuestos dentro de un contexto de negocio modificado, así como que limpien los riesgos que puedan haber sido introducidos involuntariamente durante el período de crisis.

Las investigaciones recientes publicadas por EY y la Asociación Internacional de Profesionales de la Privacidad (IAPP) indican que el 60% de las organizaciones abreviaron o bien prescindieron totalmente de los controles de seguridad en y alrededor de las nuevas capacidades introducidas para apoyar su negocio.

Reducción en los controles de seguridad

60%

de las organizaciones, ha abreviado o totalmente prescindido de los controles de seguridad en y alrededor de las nuevas capacidades introducidas para apoyar su negocio.

Para ayudar a los CISO táctica y estratégicamente, hemos esbozado un conjunto de acciones a tomar ahora, en lo que sigue y, a largo plazo, más allá.

(Chapter breaker)
1

Capítulo 1

Ahora: La ciberlimpieza de COVID-19

Algunos pasos sencillos para ayudar a prepararse para la nueva versión del negocio "como de costumbre".

¿De qué deberíamos preocuparnos?

Es una larga lista. Al considerar abrir los negocios de nuevo, la expansión requerida del trabajo a distancia hace que sea más probable que las personas hayan:

  • Sido concedidas con el privilegio de administración local en su computadora portátil
  • Sincronizado y almacenado los datos corporativos con las cuentas personales de almacenamiento en la nube
  • Sincronizado las contraseñas corporativas con los navegadores personales o los keychains
  • Habilitado la impresión desde dispositivos domésticos
  • Almacenado datos sensibles en salas de equipo abiertas
  • Almacenado datos en una memoria USB o en un disco duro USB externo
  • Reconfigurado/mal configurado los ajustes de seguridad locales (como firewall personal, VPN, wireless, Bluetooth, antivirus y actualizaciones de software/sincronización automática del almacenamiento)

Y hay otras posibles areas, debido a las disrupciones del negocio "como de costumbre", que pueden hacer vulnerables a las organizaciones. Entre ellas se incluyen:

  • Los supervisores/gerentes pueden haber recopilado información personal identificable sobre las personas para hacer un seguimiento de su salud y estado.
  • Los dispositivos endpoint de los empleados podrían estar infectados con malware a través de exitosas campañas de phishing – y como resultado, el malware podría haber encontrado residencia dentro de su red, residiendo dentro de los registros de datos, sitios de colaboración u otros sistemas y servidores.
  • Los parches y actualizaciones pueden haber sido aplazados.
  • Se abreviaron los procesos de garantía de calidad relacionados con el desarrollo de programas informáticos, lo que dio lugar a un número estadísticamente mayor de defectos por línea de código que pueden ser vulnerables a la explotación.
  • Se han relajado los controles de acceso, se han concedido cuentas o credenciales de acceso remoto adicionales a teletrabajadores, socios o personal subcontratado.
  • Se ha concedido acceso privilegiado a los proveedores de servicios y/o al personal de apoyo.

Debido a las disrupciones de la actividad habitual, entre las posibles areas que pueden hacer vulnerables a las organizaciones figuran el aplazamiento de las actualizaciones, la relajación de los controles de acceso y los programas informáticos malintencionados en la red debido al éxito de las campañas de phishing.

¿Por dónde empezamos?

Aquí hay unos simples pasos a seguir mientras nos preparamos para la nueva versión del negocio "como de costumbre".

  • Actualizar las políticas de seguridad y educar a los empleados sobre cómo borrar la información que se ha almacenado inadvertidamente en las cuentas personales.
  • Utilizar las herramientas de gestión de la configuración para eliminar o reconfigurar características o funciones que normalmente no están permitidas por la política (compare la configuración con la golden image, si es posible).
  • Revisar los directorios para la concesión de acceso privilegiado durante el período de infecciones, asegurarse de que el acceso es necesario o revocar el exceso de privilegios.
  • Realizar una limpieza profunda de los dispositivos y redes – evaluar los dispositivos y redes en busca de pruebas de infección de malware y comunicación de mando y control.
  • Revisar los registros creados durante el período COVID-19 en busca de anomalías – tales como comportamientos inesperados, brechas en el registro y más.
  • Asegurarse de que los paquetes de protección endpoint estén actualizados y configurados correctamente.
  • Ejecutar escaneos avanzados de vulnerabilidad de la red.
  • Revisar y volver a dar prioridad a los parches y actualizaciones.
  • Asegurar que el proceso de incidencia pueda cubrir los eventos relacionados con el ransomware.
(Chapter breaker)
2

Capítulo 2

Lo que sigue: Reajuste de la estrategia y realineación de las prioridades presupuestarias

Las preocupaciones en materia de seguridad continúan al mismo ritmo, independientemente de la evolución de la economía.

¿De qué deberíamos preocuparnos?

Si miramos hacia atrás a la experiencia de la última recesión, se podría argumentar que el mercado de la seguridad debería ser inmune a la caída económica:

  • Los hackers no dejan de hackear – el cibercrimen aumenta cuando los que tienen conocimientos de informática se unen a las filas de los criminales para obtener los ingresos necesarios.
  • Los usuarios finales no paran de hacer doble clic – los desesperados financieramente se vuelven más vulnerables que nunca a sofisticadas estafas financieras
  • Los reglamentos no desaparecen simplemente
  • El número de vulnerabilidades – nuestra superficie de ataque – aumenta a medida que las organizaciones aplazan o retrasan la aplicación de parches y actualizaciones
  • El espectro de pérdida de empleo, insatisfacción laboral o sentimientos de inequidad económica aumenta el riesgo interno
  • Aumenta la demanda de productos falsificados
  • Existe una mayor dependencia de terceros subcontratados o de proveedores de servicios en la nube para realizar las funciones básicas del negocio a un costo menor

Dicho esto, es probable que incluso en el mejor de los casos, los CISO de la era COVID-19 se enfrenten a un presupuesto plano o nominalmente creciente a medida que se revisen los programas de IT no esenciales y se aplazan las actualizaciones.

Por lo tanto, es importante que los CISO con visión de futuro vuelvan a establecer estratégicamente las prioridades de su estrategia, su hoja de ruta y su presupuesto, evitando un inevitable estancamiento cuando la empresa solicite una pausa en los gastos al revisar la estrategia empresarial.

¿Por dónde empezamos?

Aquí hay algunas acciones para tomar ahora:

Llevar a cabo una estrategia de defensa del presupuesto y una hoja de ruta del proyecto

La crisis de COVID-19 ha cambiado el panorama de riesgos. Por lo tanto, es fundamental que los CISO con visión de futuro reevalúen su riesgo – identificando las amenazas, vulnerabilidades y posibles repercusiones en términos financieros. Cuantificar y priorizar la aplicación y/o el funcionamiento de los controles en función del valor que aportan a la gestión de ese riesgo. Orientar la hoja de ruta de su proyecto para abordar primero lo peor. Al crear un programa orientado a los negocios y financieramente defendible, será difícil para los líderes empresariales cuestionar el enfoque o redirigir sus recursos.

Considerar un programa de simplificación e integración de control radical

Todos reconocemos que la plétora de herramientas y fuentes de datos de las que dependemos ha abrumado nuestra capacidad de gestionar eficazmente nuestras herramientas y fuentes de datos, por no hablar de comprender y responder a un volumen cada vez mayor de alertas de seguridad. Irónicamente, en los tiempos que corren, es difícil dejarlo ir, especialmente con la creciente preocupación del C-level sobre el riesgo cibernético. Un entorno recesivo es la oportunidad perfecta para dar un paso atrás y simplificar.

Construir una fuerte cultura de security by design

En el mejor de los casos, la seguridad se introduce en un programa de transformación digital al final del proceso – generalmente como un elemento de cumplimiento. Con los cambios inevitables asociados al mayor uso de los servicios en la nube, la subcontratación por terceros de las funciones básicas del negocio y/o la reducción del personal interno, es fundamental que el equipo de seguridad se introduzca en el debate como una función de riesgo empresarial.

Reconsiderar el enfoque hacia la privacidad

Para cualquiera que trabaje en este campo, es bien sabido que la privacidad necesita evolucionar. Esto se debe a los avances tecnológicos, así como a los cambios en las actitudes y percepciones de la sociedad – que normalmente están enraizadas en factores nacionales y culturales – y que son muy reactivas a la percepción de acontecimientos extraños. Ahora, en medio de la pandemia de COVID-19, debemos preguntarnos... ¿qué pasa después? ¿Han cambiado fundamentalmente las percepciones de los consumidores sobre la privacidad? ¿Han cambiado nuestras percepciones sobre la fiabilidad del gobierno y las empresas? ¿Existe la oportunidad de que los gobiernos y las empresas redefinan los enfoques para la recolección y el uso de la información personal en el futuro? Si es así, ¿cómo son esos enfoques?

(Chapter breaker)
3

Capítulo 3

Más allá: Adaptar las operaciones a la nueva realidad

Los CISO tienen la oportunidad de estar bien situadas como asesores de empresas y facilitadores de la transformación.

¿De qué deberíamos preocuparnos?

En un futuro próximo se levantarán las restricciones de refugio en el lugar, la gente volverá a trabajar en diversas configuraciones y se reanudarán las operaciones normales.

Los CISO necesitan anticiparse a eso:

  • Algunos empleados serán reacios a regresar y continuarán trabajando a distancia
  • La escasez y los riesgos de la cadena de suministros seguirán disrumpiendo el negocio normal
  • Las amenazas internas siguen siendo altas, ya que el futuro de los funcionarios sigue sin estar claro
  • Los estados-nación continuarán explotando la persistencia obtenida anteriormente
  • InfoSec continuará descubriendo brechas históricas mientras gestiona los importantes riesgos de ransomware actuales
  • Las empresas invertirán en infraestructura a medida que se renueve el énfasis en la resiliencia y la planificación de contingencias

A largo plazo, es posible que ciertas macrotendencias se añadan a la agenda de los CISO:

Vigilancia

Para hacer frente a la crisis y proteger a sus electores, los gobiernos e incluso algunas grandes empresas están desplegando aplicaciones impulsadas por la IA que utilizan cámaras, drones, imágenes térmicas, rastreadores de localización y software de seguimiento facial. Un informe de la IAPP sugiere que "la sociedad civil y las empresas privadas han abogado por un marco normativo claro de la tecnología de reconocimiento facial... Entre las posibles medidas podría figurar el requisito vinculante de hacer participar a expertos en protección de datos y especialistas en derechos humanos en los equipos que trabajan en el desarrollo de la tecnología, a fin de garantizar el cumplimiento de los derechos fundamentales por diseño". Los CISO deben esperar plenamente la aparición de nuevos requisitos de cumplimiento a medida que los organismos reguladores equilibren la necesidad de los poderes de vigilancia con el impulso democrático de los derechos de privacidad.

Pagos digitales

El carácter físico del uso del dinero en efectivo puede hacer que las plataformas de pago digitales sean un diferenciador competitivo. Desde el punto de vista de la seguridad, este cambio exigirá que los CISO reconsideren el papel de las tecnologías, como la gestión de la identidad y el acceso (IAM), transformándolas de una herramienta de control en una herramienta que permita la interacción con el cliente. Por ejemplo, los IAM sin contacto verán que entregan tecnologías en instalaciones de "ladrillos y mortero" que permiten la autenticación facial o de voz. Los IAM deben ser especialmente cautelosos con la explotación fraudulenta de estas plataformas: las credenciales comprometidas representan el 80% de las infracciones.

Marketing omnicanal

La crisis de COVID-19 ha acelerado la tendencia hacia el comercio electrónico, ya que el 44% de los consumidores espera hacer más compras de comestibles online y el 39% espera hacer más compras de productos duraderos online en los próximos uno a dos años, según el EY Future Consumer Index. Con este cambio a la venta retail en línea viene un empuje para aumentar las capacidades de marketing omnicanal. La recopilación de más información sobre los consumidores, a medida que se rastrean sus actividades, ayuda a crear nuevas oportunidades para los comerciantes, y para que los CISO identifiquen y prevengan el fraude. Pero esto también introduce nuevos riesgos para la privacidad y una posible percepción negativa de los clientes. Existe un creciente "choque tecnológico" contra las empresas de tecnología motivado por las preocupaciones sobre la privacidad y lo que las empresas hacen con sus datos. Los CISO deben asegurarse de que la recopilación de datos de los clientes no sólo cumple las leyes pertinentes, sino que también está justificada y proporciona beneficios útiles a los ojos de los consumidores.

Tendencia acelerada hacia el comercio electrónico

44%

de los consumidores esperan hacer más compras en línea en los próximos uno a dos años.

¿Por dónde empezamos?

Independientemente de cómo se desarrolle el futuro próximo, los CISO pueden estar bien situados como asesores comerciales y facilitadores de la transformación, centrándose en lo siguiente:

  • Es necesario reajustar la estrategia y la hoja de ruta de la seguridad cibernética, así como la gobernanza, la gestión y la estructura operacional de la seguridad.
  • Las metodologías de evaluación de riesgos deberían revisarse para reflejar las necesidades operacionales revisadas.
  • Se necesitarán nuevos indicadores clave de rendimiento y de rentabilidad para los stakeholders en las empresas a fin de reflejar el rendimiento cibernético en este nuevo mundo.

Liderar a través de la crisis de COVID-19

Tenemos una visión clara de las preguntas críticas y las nuevas respuestas necesarias para la continuidad del negocio y la resiliencia.

Explorar

Contáctanos para recibir apoyo inmediato

Accede a nuestra ayuda para la gestión de crisis, la continuidad del negocio y la resiliencia de la empresa.

 

Contáctanos

Resumen

Para ayudar a los CISO táctica y estratégicamente, hemos esbozado un conjunto de acciones a tomar ahora, en lo que sigue y, a largo plazo, más allá. Las acciones incluyen considerar un programa de simplificación e integración de control radical, y construir una fuerte cultura de security by design. Es probable que las macrotendencias como la vigilancia, los pagos digitales y el marketing omnicanal también tengan un impacto. Los CISO deben asegurarse de estar bien situados como asesores de negocios y facilitadores de la transformación.

Acerca de este artículo

Por Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Gurú de la ciberseguridad. Casada y madre de cuatro. Disfruta del buceo, el senderismo y la restauración de muebles. Vive en McLean, Virginia.