¿Qué es la nueva normalidad? No es nada más que adaptarnos a un nuevo estilo de vida y de trabajo, sin embargo, en el ámbito de la ciberseguridad esto no es nuevo.
Desafortunadamente la pandemia por COVID-19 vino a “acelerar” y a tratar de concientizar de una manera más urgente algo que desde hace mucho todas las empresas debieron tener previamente listo e implementado en sus empresas, esto es, una buena infraestructura en ciberseguridad.
En la actualidad hay muchas personas responsables de las áreas de TI que consideran que tener un firewall, un firewall de nueva generación e, inclusive, algunos podrían optar por alguna solución de IPS independiente para incorporarla a su infraestructura y pensar que con eso basta para tener una buena protección, cuando en realidad no es así. Se suele confundir cuando hablamos de ciberseguridad con la seguridad perimetral pero, ¿qué es el perímetro, o cómo defino cuál es mi perímetro? Debemos comenzar analizando esta pregunta para poder entender bien una parte de la ciberseguridad. El perímetro no sólo es todo lo que viene de internet hacia nuestra red (tráfico de la WAN a la LAN) si no que puede ser también en nuestra misma LAN.
Debemos entender que la segmentación en nuestra red para delimitar servicios es extremadamente importante (VLAN’s, ACL’s, DMZ), un buen EDR para todos los endpoint, porque hay que tomar en cuenta que las nuevas amenazas (nuevo malware) siempre está un paso adelante de un antivirus tradicional, por lo cual detener alguna amenaza de este tipo se vuelve muy complicado para un antivirus tradicional.
Entendiendo esto, podríamos abordar desde otro punto de vista la parte de la ciberseguridad y darnos cuenta de que, para tener una buena protección, un firewall no es suficiente. Debemos anticiparnos a los ciberdelincuentes y cubrir todas las posibles brechas de seguridad que podamos tener. Otro aspecto importante es delimitar los accesos a los usuarios sólo a donde realmente deban de entrar, generar horarios de acceso para así poder detectar posibles anomalías con alguna credencial. Para lograr este objetivo es necesario contar con herramientas que nos ayuden a la rápida detección de amenazas como un NAC en conjunto con un SIEM, conexiones VPN, protección al correo electrónico y capacitación a los usuarios.
Sabemos que todo esto podría sonar muy costoso y además podríamos pensar en que vamos a requerir gran cantidad de personal capacitado para gestionar todas las soluciones de manera correcta, cuando en realidad no es así.
La alternativa puede ser contar con el apoyo de un MSSP (Managed Security Service Provider) para que, en conjunto con un buen SOC de nueva generación, lo suficientemente bueno para apoyar con alguna cacería de amenazas (en dado caso de ser necesario), nos permitan anticipar y/o detectar alguna anomalía de forma oportuna y así prevenir la mayor cantidad de
riesgos que pudiesen afectar la operación de la empresa.
Aunado a esto debemos contar con personal “capacitado”, no para reaccionar o corregir alguna falla de seguridad, si no para prevenir las mismas y, sin dejar de lado que debemos enfocarnos en el eslabón más débil de la cadena de seguridad: el usuario.
Concientizar a tus colaboradores no técnicos de los problemas que puede haber si no tienen cuidado al momento de estar realizando sus actividades laborales y que sean capaces (al menos) de detectar los ataques más comunes realizados por los ciberdelincuentes en la actualidad. Claro que el usuario no puede hacer todo esto sin la ayuda de los administradores de TI, es por eso que es labor completamente directa de ellos el apoyar a la organización a que esté protegida en todos los posibles flancos que un cibercriminal pudiera atacar.
Recordemos que estamos en una era en donde la información vale mucho, por lo cual debemos hacernos un par de preguntas importantes y desde ahí partir: ¿cuánto vale mi información? y ¿cuánto vale 1 minuto de caída en mi operación? La inversión que debas hacer en ciberseguridad dependerá mucho de la respuesta de cada uno de nosotros, pero claramente todos debemos comenzar a invertir. Son tiempos complicados pero no permitamos que los cibercriminales nos compliquen aún más.
Durante esta pandemia de COVID-19 los ataques de ransomware se han intensificado normalmente acompañados de campañas de phishing, generando pérdidas para algunas empresas de hasta medio millón de dólares. Este tipo de campañas se aprovechan de la
situación por la que estamos pasando y tratan de suplantar a distintos organismos como hospitales, generando noticias falsas e inclusive haciéndose pasar por la Organización Mundial de la Salud y tristemente muchas instituciones de salud se han visto afectados por este tema de la ciberseguridad. Tan solo entre el 14 y el 18 de marzo del año en curso surgieron más de 3600 nuevos dominios de phishing con temas de COVID-19, el crecimiento de los ataques ha sido bastante significativo. Para finales de febrero del 2020, el ransomware había crecido un 7% solo en Europa y la semana siguiente el crecimiento ya era del 10%; esto marca una clara tendencia de los ciberdelincuentes de aprovecharse de la situación para explotar alguna vulnerabilidad en nuestros sistemas, recordando que nosotros los usuarios también somos una posible vulnerabilidad.
Es por eso que la protección tradicional a los endpoint como un antivirus ya es cosa del pasado, ahora con el incremento del trabajo remoto se requiere un control más agresivo en los dispositivos de los usuarios. Un EDR aunado a alguna solución que nos ayude a tener un perfecto control de acceso a los recursos de la red es una buena forma de comenzar a reforzar nuestras defensas contra el malware y los ciberdelincuentes, ya que regularmente como lo mencioné antes, protegemos la compañía y el o los perímetros, pero descuidamos la gestión de accesos y los endpoint de los usuarios que ahora son el foco por donde muchas amenazas están entrando. El trabajo remoto va y seguirá en aumento, por lo cual las brechas de seguridad crecerán si no las controlamos desde ahorita, recordemos que entre más vías de acceso a los recursos de la empresa tengamos, más brechas de seguridad estaremos abriendo para los ciberdelincuentes.