Los últimos cinco años han sido turbulentos para el sector de las tecnologías de la información. Así como la tecnología se ha vuelto más avanzada y ubicua, también han aumentado las amenazas que enfrenta la industria. Para contrarrestar estas amenazas hay una multitud de servicios y tecnologías de seguridad, que presentan una gran cantidad de opciones para las empresas modernas. Esto puede resultar abrumador para quienes no están preparados.
La escala de los ataques que enfrenta el sector de las tecnologías de la información ha aumentado considerablemente en los últimos años. Las organizaciones ya no se preocupan únicamente por los piratas informáticos solitarios y las amenazas internas. En cambio, las empresas modernas enfrentan una amplia gama de amenazas, como violaciones de datos y ataques de ransomware. Según Statista, en 2021 se estimó que el tiempo de inactividad promedio dedicado a la recuperación de un ataque de ransomware era de más de 20 días. Mientras tanto, existen importantes sanciones económicas para las organizaciones que se determina que han sido negligentes en sus deberes de protección de datos después de infracciones.
Este aumento de las amenazas también ha sido impulsado por la facilidad con la que se pueden realizar los ataques, como mediante el uso de servicios de piratería ilegal que se ofrecen en la web oscura. Aunque ha habido algunos arrestos de alto perfil, estos no han sido tan frecuentes como el aumento de los ataques cibernéticos. “Nadie está siendo castigado en los tribunales”, observa Brad King, director de tecnología de Scality. “Puedes detener a los asesinos metiéndolos en la cárcel, pero cuando esas personas [hackers] eventualmente los atrapan, serán encerrados y seis meses después volverán a hacer lo mismo otra vez “.
Tras varios ataques de alto perfil, como el ataque de ransomware WannaCry en el NHS en 2017, que recibió una cobertura importante de los medios, ha aumentado la conciencia de las amenazas planteadas por los malos actores. Las personas ajenas al sector de las tecnologías de la información son mucho más conscientes de los ciberataques y, en consecuencia, exigen que se haga más para proteger sus datos.
Toma de decisiones impulsada por el miedo
Todo esto se ha combinado para generar una atmósfera de miedo dentro del sector de las tecnologías de la información. Los presupuestos de TI limitados significan que la amenaza que plantean los actores malintencionados ya no se canaliza hacia preparaciones proactivas, sino hacia respuestas reactivas. “La industria de TI está reaccionando a una gran cantidad de ruido mal informado”, dice Alex McDonald, presidente de EMEA de Storage Networking Industry Association (SNIA). “Lo que estamos tratando de hacer es darle sentido a lo que la gente quiere: quieren seguridad sin costo que sea infinitamente flexible”.
El enfoque en las respuestas reactivas se ha visto agravado por la carrera de armamentos tecnológicos entre los equipos de seguridad y los piratas informáticos. Los piratas informáticos lanzan una nueva forma de ataque, contra la cual los equipos de seguridad cibernética desarrollan una nueva defensa, lo que hace que los piratas informáticos se adapten. Como consecuencia, hay muchas tecnologías nuevas en el mercado, que las organizaciones pueden sentirse obligadas a adquirir para escenarios “por si acaso”.
Por lo tanto, los usuarios finales corren el riesgo de verse abrumados por la cantidad y variedad de productos de seguridad disponibles. Esto tiene tanto que ver con la comercialización de un producto, impulsada por proveedores que compiten con sus rivales de mercado en una industria saturada, como con la gama de productos disponibles. Por lo tanto, para que los proveedores se destaquen en un entorno de este tipo, existe la tentación de enfatizar demasiado sus productos.
Por lo tanto, es necesario que los usuarios finales adopten un enfoque pragmático en sus estrategias de compra, considerando su perfil de amenazas y vulnerabilidades potenciales. “Se trata de gestionar un equilibrio entre el riesgo y la recompensa, en torno a los activos que son importantes para una organización”, dice Paul Watts, un distinguido analista del Information Security Forum (ISF).
Las redes empresariales ahora son mucho más complicadas de lo que eran antes. Esto, a su vez, ha hecho que asegurarlos sea más desafiante, especialmente dado su mayor alcance y mayor accesibilidad a los datos. “Tiene sus servidores web, servidores de datos y estas cosas interactúan”, dice King de Scality. “No existe un sistema que pueda simplemente incorporarse a las copias de seguridad de ayer por la mañana”.
Prepárate, en lugar de reaccionar
Antes de realizar cualquier compra, es necesario obtener una comprensión completa de las redes que serán compatibles y el flujo de datos a través de todas ellas. Este análisis permitirá una selección más sencilla de tecnologías de seguridad adecuadas para satisfacer las demandas de seguridad relevantes.
Dicho análisis debe incluir el crecimiento proyectado de la red de una organización, porque quedar atrapado en un servicio de seguridad que no permite el crecimiento podría convertirse rápidamente en un factor restrictivo o limitante.
Esta información puede formar parte de un plan de compras, lo que permite a las organizaciones estimar con precisión sus compras anticipadas. También refuerza una noción importante de que la seguridad ya no es un problema de TI, sino de negocios. Por lo tanto, esto le da una mayor flexibilidad al presupuesto de TI, lo que permite una mejor planificación estratégica y a largo plazo.
Otro efecto secundario de la propagación del miedo es que gran parte de la atención se centra en el miedo a ser pirateado. Por lo tanto, si bien muchos buscan identificar y bloquear a los posibles actores maliciosos, existe una tendencia a no considerar las posibles ramificaciones de ser pirateados.
En muchos sentidos, es casi un hecho que las organizaciones serán pirateadas; y cuanto más grandes son, más grandes se vuelven el objetivo. Detectar y bloquear la piratería es importante, pero igualmente, es necesario prepararse para lo que sucede cuando hay un ataque y cómo se pueden restaurar los datos perdidos y la funcionalidad de la red en la fase de recuperación posterior.
“Todos pueden hacer copias de seguridad, pero ¿alguien puede hacer la restauración?” dice King. “Se trata de la recuperación”.
Experiencia, no solo educación
Un plan sólido de gestión de desastres, formulado con elicitación de expertos y probado para problemas imprevistos, será invaluable para permitir una rápida recuperación de datos. Tener los escenarios de recuperación apropiados en su lugar permite a las organizaciones tener preparaciones avanzadas para las respuestas necesarias que necesitan realizar tan pronto como ocurre un ataque. Las buenas prácticas se pueden reforzar mediante la realización de escenarios de desastre simulados, como una violación de datos o un ataque de denegación de servicio distribuido (DDoS), lo que permite a los equipos de TI obtener experiencia práctica en un ataque de red y cómo responder en el peor de los casos. .
Sin embargo, la preparación de un documento de estrategia de seguridad adecuado requiere un autor o autores con la formación y la experiencia adecuadas. “Busco conocimiento, experiencia y reputación”, dice Watts de la ISF. “Hay mucha gente en el mercado que tiene sus credenciales. Puede tragarse el libro de texto, pero aplicar ese conocimiento en un entorno empresarial es lo que le hace ganar sus galones “.
Próximamente habrá más asistencia disponible, en forma de un organismo regulador, de acreditación y de normas de la industria. El Consejo de Ciberseguridad del Reino Unido se formó recientemente, inicialmente como parte del Departamento de Cultura, Medios Digitales y Deporte (DCMS), antes de convertirse en un organismo gubernamental independiente. Su objetivo es desarrollar y promover estándares reconocidos a nivel nacional para la seguridad cibernética en apoyo de la Estrategia Nacional de Seguridad Cibernética del gobierno del Reino Unido. Para 2021, su visión declarada era que “el Reino Unido es seguro y resistente a las amenazas cibernéticas, próspero y confiado en el mundo digital”.
Parte del mandato del Consejo de Ciberseguridad del Reino Unido será reunir una serie de organismos profesionales para formar un marco de acreditaciones de ciberseguridad reconocidas. Esto permitirá a los empleadores identificar más fácilmente a aquellos con la experiencia y la capacitación necesarias para desarrollar un paquete de adquisiciones de seguridad para sus redes.
Sin embargo, el Consejo de Ciberseguridad del Reino Unido será un organismo regulador único y algunos preferirían un arreglo diferente. “Preferiría varios organismos que representen a la industria, en lugar de uno”, dice McDonald de SNIA. “Cuantos más puntos de vista y personas más diferentes estén involucradas en él, más transparente se vuelve”.
Lidere con conocimiento, en lugar de reaccionar con miedo
Con la cobertura continua de los medios de comunicación sobre las filtraciones de datos recurrentes, se puede entender por qué existe un elemento de alarmismo, que puede afectar a los usuarios finales. Por lo tanto, invertir en tecnologías y servicios de ciberseguridad sin considerar primero la necesidad de compras puede generar presupuestos ineficientes. También existe el riesgo potencial de quedar bloqueado en un servicio restrictivo que podría exponer los aspectos vulnerables de una red a un ataque.
Tener un conocimiento profundo de la arquitectura de red actual y esperada, así como de los posibles vectores de amenazas a los que se enfrenta, permite un enfoque más consciente de las adquisiciones de seguridad y, por lo tanto, proporciona una postura de seguridad cibernética más eficaz.
Es lamentable que no se trate tanto de un caso de Si serás atacado, pero Cuándo. Centrarse únicamente en la prevención puede dejar vulnerabilidades y provocar un tiempo de inactividad excesivo y la pérdida de datos. Un cambio en la metodología hacia un enfoque más holístico, considerando la recuperación de datos en particular, mejorará la resiliencia y mitigará los niveles dañinos de tiempo de inactividad después de un ataque.
Hay mucho de qué preocuparse cuando se considera la amenaza de un ciberataque, pero un enfoque holístico de la seguridad basado en el riesgo permitirá una postura de seguridad sólida.