Discovering new trends

Retos de la Ciberseguridad

Conclusiones informe anual CERT sobre ciberamenazas 2015 y tendencias 2016
2 de Septiembre de 2016
Ciberseguridad
Consultoría y Tecnología Digital

Según el informe anual de ciberamenazas 2015 y tendencias 2016 del Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) Centro Criptológico Nacional, (CNN-CERT); el volumen y sofisticación de las amenazas ha venido incrementándose de forma exponencial durante los últimos años, convirtiendo la misión de proteger el footprint digital de los clientes en una tarea realmente compleja. Este hecho, junto con la revolución que está sufriendo el modelo TI de las compañías empujado por los procesos de Transformación Digital de los negocios (canales, nuevos negocios y relación con clientes, principalmente), hace que la aproximación tradicional; de las organizaciones a la ciberseguridad no cubra las necesidades reales de protección de los negocios.

Desde esta óptica, se hace necesario explorar nuevas aproximaciones y modelos de ciberseguridad que den respuesta a las necesidades reales.

No existe Transformación Digital sin ciberseguridad

Los principales retos que afrontan las compañías a la hora de protegerse tienen que ver también con la evolución y las tendencias del negocio, la denominada Transformación Digital. Actualmente se identifican 4 corrientes:

  • Cloud Computing, y filosofía DevOps: Se caracteriza principalmente por el creciente uso de servicios cloud, por el uso que hacen de ellos sus empleados y colaboradores, así como por la agilidad que estos demandan a la hora de que las TI satisfagan los requisitos de ciberseguridad (resiliencia y reducción del riesgo) sin que ello suponga un freno al time to market del negocio. Muy relacionado con el cloud, el modelo as a service también plantea un gran reto en cuanto que el impacto que puede tener un incumplimiento de los ANS de seguridad por parte del proveedor de servicios, en muchos casos no puede ser compensado por penalizaciones económicas, como es el caso de las fugas de información (Sony, Target, Panama Papers, Cablegate/wikileaks, etc).
  • Internet de las Cosas; y ciberseguridad industrial (OT). Los dispositivos conectados son uno de los pilares de la transformación digital de los procesos de negocio de las compañías y de los productos que éstas comercializan ya que permiten obtener información de valor sobre la cual tomar decisiones de optimización, oportunidad, etc. Este nuevo paradigma plantea nuevos vectores de ataque que se deben proteger, los cuales, dependiendo de la criticidad de los elementos, pueden resultar de extrema importancia. La problemática de estos entornos no está al alcance de las empresas de ciberseguridad “tradicionales” (pure players) ya que no basta conocer las medidas de ciberseguridad, sino también entender la funcionalidad industrial del dispositivo y su funcionamiento técnico. Las empresas del sector en general no están preparadas para afrontar este enorme reto.
  • Omnicanalidad y adopción del móvil como canal principal. Los retos en este aspecto tienen que ver con garantizar y, sobre todo, facilitar una identidad digital que contribuya a la mejor experiencia del cliente, que sea sencilla (por ejemplo, biometría) y válida para todos los canales y servicios. Al mismo tiempo, también es necesario garantizar la seguridad de los dispositivos en sí mismos, en este caso los dispositivos móviles cuyo boom en materia de vulnerabilidades e incidentes estamos comenzando a experimentar.
  • Big Data. Hoy todos los datos del negocio caminan hacia el data lake, abandonando los entornos de base de datos tradicionalmente protegidos aunque sea con medidas básicas de ciberseguridad. El paradigma del Big Data plantea grandes oportunidades en materia de ciberseguridad puesto que la explotación de enormes series históricas de datos capturados permite inferir y anticipar incidentes con cada vez mayor precisión. Pero también plantea grandes retos relacionados con la protección de los datos almacenados y la limitación del acceso de usuarios y administradores así como la tokenización (anonimización) de los mismos para evitar un tratamiento inadecuado desde el punto de vista de la privacidad, manteniendo la utilidad estadística para el negocio.

¿Qué objetivos se persiguen? Prevención y, ahora sobre todo, resiliencia

Tradicionalmente se ha trabajado la seguridad preventiva tratando de minimizar el riesgo de materialización de las amenazas. Sin embargo la experiencia de estos últimos años demuestra que cada vez son menos efectivas estas medidas y que es necesario "convivir con el enemigo" (las amenazas se van a materializar) y por tanto es necesario desplegar medidas que aseguren: primero, que las organizaciones serán conscientes del incidente lo antes posible y segundo, que el negocio está preparado para resistir y mantener la actividad con la máxima normalidad a pesar del ataque.

A qué nos enfrentamos

Para este 2016, una vez más, un incremento en la capacidad de los atacantes para sortear los sistemas de seguridad y evitar ser detectados. Tanto el perfil de los ciberdelincuentes como la naturaleza de los ataques han supuesto una sofisticación exponencial de los desafíos, sumando enormes capacidades tecnológicas con un uso cada vez más eficaz de la ingeniería social. Todo ello se traduce en un crecimiento constante del nivel de riesgo que suponen dichas actividades fraudulentas.

Las amenazas de seguridad que más relevancia están teniendo desde el punto de vista de la dificultad de detección y de la gravedad de los incidentes provocados son:

  • Amenazas Persistentes Avanzadas (APT): Ataques a largo plazo basados en software malicioso e intervención humana continuada que, de forma sigilosa, van penetrando progresivamente en los sistemas de información de las compañías sorteando los perímetros de seguridad sin ser detectados y accediendo a la información más confidencial de las organizaciones. Cuando son detectadas suele ser tarde.
  • Ramsomware. Táctica empleada por bandas criminales que mediante la infección con código malicioso (e ingeniería social como método de infección), secuestran dispositivos e información y piden rescates por su liberación.
  • Phishing avanzado, mediante técnicas de ingeniería social se crean ataques personalizados normalmente dirigidos hacia C levels de las compañías.

¿Acompañan adecuadamente normativa y legislación?

Un último punto a tener en cuenta en cuanto a las tendencias de ciberseguridad son los cambios en la legislación, principalmente las nuevas directivas y reglamentos en el ámbito europeo. Por un lado, el nuevo reglamento de protección de datos pretende devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital. También incluye nuevas normas mínimas sobre el uso de datos para fines judiciales y policiales.

Por otro lado, la Directiva NIS (previsto entre en vigor en agosto de 2016) sobre seguridad de las redes y de la información establece obligaciones de seguridad para los operadores de servicios esenciales (en sectores críticos como la energía, el transporte, la salud y las finanzas) y los proveedores de servicios digitales (mercados en línea, motores de búsqueda y servicios en nube). Además se exigirá a cada Estado de la UE que designe a una o más autoridades nacionales y elabore una estrategia para afrontar las ciberamenazas. La pregunta que podemos hacernos en esta materia es hasta qué punto una legislación “regional” no armonizada internacionalmente es capaz de introducir garantías en el ámbito digital y por otra parte, si el ámbito judicial será capaz de correr al mismo ritmo que lo hacen los paradigmas tecnológicos. Y de no ser así, ¿cuál debe ser el modelo regulatorio y legislativo?.

La propuesta de valor de Minsait

Minsait ha desarrollado una propuesta de valor para hacer frente a estos retos mediante un conjunto de soluciones orientadas a cubrir las necesidades de los clientes.

Ciberseguridad 360 aglutina el conjunto de servicios SOC e infraestructuras de protección que los departamentos de IT de las compañías necesitan para cubrir estas amenazas. Con las soluciones Identidad Digital Minsait cubre las necesidades de identidad digital de la industria 4.0, combinando tecnología biométrica, de verificación de documentos e infraestructura de clave pública.