El concepto de ciberseguridad acapara titulares en los medios de comunicación y conversaciones en los despachos de los directivos de las grandes empresas del mundo. Para hablar de sus implicaciones, hemos contactado con seis expertos de las compañías Fortinet, GData, Panda, Stormshield, Eset, Trend Micro y Getronics, que nos han respondido a distintas cuestiones sobre la seguridad en las empresas.
¿Qué han aprendido las empresas tras el Wannacry?
Para Ángel Victoria, de GData, la principal enseñanza de Wannacry fue que la seguridad no puede improvisarse. En concreto, recordó la importancia de hacer copias de seguridad regulares y mantener los equipos actualizados. Y si esto último es imposible, por cuestiones de compatibilidades con aplicaciones vitales para la compañía, Wannacry nos explicó que es necesario afrontar el riesgo del no parcheado de la forma más adecuada a cada caso. Por ejemplo, segmentando las redes para acotar posibles infecciones en departamentos estancos.
Wannacry marcó un antes y un después en concienciación. La repercusión mediática que obtuvo logró que el mundo comprendiera qué es el ransomware y también qué empresas y usuarios prestarán, por fin, mayor atención a la importancia de la ciberseguridad, según Alberto Tejero de Panda.
Tal y como opinan desde Fortinet, Wannacry también mostró al mundo de los negocios que grandes empresas con enormes presupuestos también pueden sufrir ciberataques y hay que estar preparados para ello.
[hde_related]
Además, nos enseñó cómo el equilibrio entre disponibilidad y seguridad estaba demasiado inclinado hacia la primera. Es lo que opina Borja Pérez de Stormshield. Parchear en grandes empresas puede ser complejo, pero es necesario hacerlo. Esto es más claro todavía con la segmentación, que contiene el ataque en áreas más reducidas. Sin embargo, vemos que un año después, organismos como el NHS británico, que se vio seriamente afectado, no han puesto en marcha medidas que evitarían que sufriese hoy el mismo ataque. Se olvidan demasiado pronto las consecuencias de un ciberataque. En el mismo sentido se ha manifestado José de la Cruz, de Trend Micro, que recuerda que todavía hoy se encuentran empresas expuestas por no parchear dicha vulnerabilidad.
En Getronics creen que la principal enseñanza es que mostró a otras empresas el impacto que puede causar en el negocio de una compañía. Muchas empresas se vieron afectadas de distintas maneras. Wannacry, entre otras cosas, ha servido para revisar los procedimientos de contingencia y poner en marcha medidas que permitan minimizar el impacto de amenazas similares en el negocio.
¿Son las actualizaciones de seguridad un problema para las grandes empresas?
Las grandes empresas aplican actualizaciones de seguridad en sus sistemas. En muchas ocasiones se aplican primero en entornos de preproducción y después se pasan a producción, explica José Luis Laguna, como exCISO de una empresa del IBEX 35. Es importante que las empresas de cualquier tamaño tengan una política para la aplicación de actualizaciones de seguridad, no solo del sistema operativo, también del software y del firmware de los equipos.
Todos los expertos se muestran de acuerdo en la necesidad de tener parcheados no solo sistemas operativos, sino también aplicaciones y firmware, aunque siempre verificando que la interacción de las aplicaciones de negocio con el parche instalado no produzcan comportamientos inesperados.
Este es el punto en el que más inciden en Eset, donde en las grandes empresas los administradores de esas redes aplican las actualizaciones en entornos controlados y limitados para detectar y evitar posibles fallos. Lo que se necesita no es aplicar inmediatamente las actualizaciones en estos entornos, sino dotar a estos departamentos de más recursos para que puedan realizar las pruebas pertinentes en menos tiempo.
¿Cómo incide el nuevo RGPD en la seguridad?
Para Fortinet, el cambio en las sanciones es muy importante. Empresas que antes no cumplían la ley porque les era más económico pagar una multa ahora tienen que implementar las protecciones exigidas por el RGPD (Reglamento General de Protección de Datos) para proteger los datos de carácter personal de sus clientes, ya que ahora sí que es más económico hacerlo que pagar la sanción.
También hay otras novedades que serán muy importantes, como indican desde Panda, puesto que algunos de los cambios y obligaciones más significativos que el nuevo reglamento exige están en la forma de gestionar la protección de los datos personales, demandando un mayor compromiso de las organizaciones tanto públicas como privadas. Lo más importante es el papel adquirido de la denominada responsabilidad activa, otorgando un mayor peso a la prevención de cualquier incidente que afecte a datos personales.
[hde_summary] Es necesario aprovechar nuevas soluciones como el machine learning y el big data junto con la monitorización no solo del endpoint y otros sistemas de nuestras infraestructura, sino también de los propios usuarios. [/hde_summary]
Desde Trend Micro, creen que es imprescindible por ello contar con una estrategia de ciberseguridad y tecnologías al respecto que blinden las infraestructuras de una organización. Además, consideran que la implantación del RGPD ayudará a los departamentos de seguridad a contar con el presupuesto necesario para asegurar su cumplimento.
No solo eso, sino la necesidad para muchas grandes empresas de incorporar a un delegado de Protección de Datos como opinan desde Getronics. Aunque sea alguien externo a la compañía, será el responsable de establecer controles y medidas reales de seguridad que eviten cualquier robo, fuga o destrucción de esos datos personales
¿Cómo se pueden detectar los ciberataques en las grandes empresas?
Los expertos consultados ponen el acento en el criptojacking y el software malicioso que logra introducirse en nuestra red provocando diversos problemas de rendimiento al consumir todos los recursos de los dispositivos para el minado de monedas. En su opinión, es fundamental contar con herramientas que sean capaces de detectar estas amenazas y bloquearlas. También aquellas amenazas desconocidas o de «día cero» que pueden mostrar a un atacante cómo dañar nuestra empresa.
Tal y como nos indican desde Getronics, es necesario aprovechar nuevas soluciones como el machine learning y el big data junto con la monitorización no solo del endpoint y otros sistemas de nuestra infraestructura, sino también de los propios usuarios, que puedan generar perfiles de comportamiento, y detectar aquellos que sean anómalos, como por ejemplo, movimientos o cifrados masivos de datos.
No es fácil llegar a un equilibrio entre seguridad y facilidad de uso. A la hora de trabajar, los empleados necesitan tener herramientas ágiles que no limiten sus acciones. Pero estas medidas de seguridad se tornan básicas para poder reforzar la seguridad de las empresas ante la creciente amenaza de los ciberataques.
