Riesgos, vulnerabilidades y confianza cero: términos clave que el CISO y la junta directiva deben acordar

Desglosamos los términos básicos de ciberseguridad que los colaboradores suelen interpretar de forma diferente o incorrecta.

Para implementar programas de ciberseguridad eficaces y mantener al equipo de seguridad profundamente integrado en todos los procesos empresariales, el CISO debe demostrar periódicamente el valor de este trabajo a la alta dirección.

Esto requiere hablar el idioma de los negocios, pero una trampa peligrosa aguarda a quienes lo intentan.  Los profesionales de la seguridad y los ejecutivos suelen utilizar las mismas palabras para referirse a conceptos totalmente diferentes.
A veces, se utilizan indistintamente varios términos similares.
Como resultado, es posible que la alta gerencia no comprenda qué amenazas está tratando de mitigar el equipo de seguridad, cuál es el nivel real de ciberresiliencia de la empresa o dónde se están asignando el presupuesto y los recursos. Por lo tanto, antes de presentar elegantes paneles de control o calcular el retorno de la inversión de los programas de seguridad, vale la pena aclarar sutilmente estos matices terminológicos indispensables.

Al aclarar estos términos y construir un vocabulario compartido, el CISO y la junta directiva pueden mejorar de forma significativa la comunicación y, en última instancia, fortalecer la postura de seguridad general de la organización.

Por qué el vocabulario de ciberseguridad es importante para la gerencia

Las diferentes interpretaciones de los términos son más que un simple inconveniente: pueden tener consecuencias bastante sustanciales. La falta de claridad en los detalles puede dar lugar a lo siguiente:

  • Inversiones mal asignadas. La gerencia podría aprobar la compra de una solución de confianza cero sin darse cuenta de que solo es una parte de un programa integral a largo plazo con un presupuesto significativamente mayor. El dinero se gasta, pero los resultados que la gerencia esperaba nunca se logran. Del mismo modo, en lo que respecta a la migración a la nube, la gerencia puede suponer que el traslado a la nube transfiere automáticamente toda la responsabilidad en materia de seguridad al proveedor y, en consecuencia, rechazar el presupuesto destinado a la seguridad de la nube.
  • Aceptación ciega del riesgo. Los responsables de las unidades de negocio pueden aceptar los riesgos de ciberseguridad sin comprender plenamente su posible impacto.
  • Falta de gobernanza. Sin comprender la terminología, la gerencia no puede formular las preguntas adecuadas (y difíciles) ni asignar las áreas de responsabilidad de manera eficaz. Cuando se produce un incidente, a menudo resulta que los propietarios de las empresas creían que la seguridad era competencia exclusiva del CISO, mientras que, en realidad, carecía de autoridad para influir en los procesos empresariales.

Ciberriesgo frente a riesgo de TI

Muchos ejecutivos creen que la ciberseguridad es un problema puramente técnico que pueden traspasar al departamento de TI. Aunque la importancia de la ciberseguridad para las empresas es indiscutible, y los ciberincidentes se han clasificado durante mucho tiempo como uno de los principales riesgos comerciales, las encuestas muestran que muchas organizaciones aún no logran involucrar a líderes no técnicos en las discusiones sobre ciberseguridad.

Los riesgos de seguridad de la información suelen agruparse con cuestiones relacionadas con las tecnologías de la información, como el tiempo de actividad y la disponibilidad del servicio. En realidad, el riesgo cibernético es un riesgo empresarial estratégico vinculado a la continuidad del negocio, las pérdidas financieras y el daño a la reputación.

Los riesgos de TI son generalmente de naturaleza operativa y afectan a la eficacia, la fiabilidad y la gestión de costes. La respuesta a los incidentes de TI suele estar a cargo del personal de TI. Sin embargo, los incidentes graves de ciberseguridad tienen un alcance mucho más amplio; requieren la participación de casi todos los departamentos y tienen un impacto a largo plazo en la organización en muchos aspectos, entre ellos la reputación, el cumplimiento normativo, las relaciones con los clientes y la salud financiera general.

Cumplimiento frente a seguridad

La ciberseguridad está integrada en los requisitos normativos a todos los niveles, desde directivas internacionales como NIS2 y RGPD hasta pautas industriales transfronterizas como PCI DSS, además de mandatos departamentales específicos. Como resultado, la gerencia de la empresa suele ver las medidas de ciberseguridad como casillas de verificación de cumplimiento, ya que cree que una vez que se cumplen los requisitos reglamentarios, los problemas de ciberseguridad se pueden considerar resueltos. Esta mentalidad puede derivarse de un esfuerzo consciente por minimizar el gasto en seguridad (“no hacemos más de lo que se nos exige”) o de un malentendido sincero (“hemos superado una auditoría ISO 27001, por lo que somos inviolables”).

En realidad, el cumplimiento consiste en satisfacer los requisitos mínimos de los auditores y los organismos reguladores gubernamentales en un momento determinado. Desafortunadamente, la historia de ciberataques a gran escala a las principales organizaciones prueba que los requisitos “mínimos” tienen ese nombre por una razón. Para obtener una protección real contra las ciberamenazas modernas, las empresas deben mejorar continuamente sus estrategias y medidas de seguridad de acuerdo con las necesidades específicas de cada sector.

Amenazas, vulnerabilidades y riesgos

Estos tres términos se utilizan a menudo como sinónimos, lo que lleva a conclusiones erróneas por parte de la gerencia: “¿Hay una vulnerabilidad crítica en nuestro servidor? ¡Eso significa que tenemos un riesgo crítico!” Para evitar el pánico o, por el contrario, la inacción, es crucial utilizar estos términos con precisión y comprender cómo se relacionan entre sí.

Una vulnerabilidad es una debilidad, una “puerta abierta”. Esto podría ser un fallo en el código del software, un servidor mal configurado, una sala de servidores sin cerrojo o un empleado que abre todos los archivos adjuntos de los correos electrónicos.

Una amenaza es una posible causa de incidente. Esto podría ser un actor malicioso, malware o incluso un desastre natural. Una amenaza es lo que podría “atravesar esa puerta abierta”.

El riesgo es la pérdida potencial. Es la evaluación acumulativa de la probabilidad de que se produzca un ataque exitoso y lo que la organización pueda perder como resultado (el impacto).

Las conexiones entre estos elementos se explican mejor con una fórmula sencilla:

Riesgo = (Amenaza × Vulnerabilidad) × Impacto

Esto se puede ilustrar de la siguiente manera. Imagina que se descubre una vulnerabilidad crítica con un índice de gravedad máximo en un sistema obsoleto. Sin embargo, este sistema está desconectado de todas las redes, se encuentra en una habitación aislada y solo lo manejan tres empleados autorizados. La probabilidad de que un atacante acceda a él es prácticamente nula. Mientras tanto, la falta de autenticación de dos factores en los sistemas de contabilidad crea un riesgo alto real, debido tanto a la alta probabilidad de sufrir un ataque como al importante daño potencial que podría causar.

Respuesta ante incidentes, recuperación ante desastres y continuidad del negocio

La percepción que tiene la gerencia de las crisis de seguridad suele ser demasiado simplista: “Si nos ataca un ransomware, solo tendremos que activar el plan de recuperación ante desastres de TI y restaurar los datos a partir de las copias de seguridad”. Sin embargo, la combinación de estos conceptos y procesos es extremadamente peligrosa.

La respuesta a incidentes (RI) es responsabilidad del equipo de seguridad o de proveedores especializados. Su trabajo consiste en localizar la amenaza, expulsar al atacante de la red y evitar que el ataque se propague.

La recuperación de desastres (RD) es una tarea de ingeniería de TI. Es el proceso de restaurar servidores y datos de depósitos de copias de seguridad después de que se haya completado la respuesta al incidente.

La continuidad del negocio (BC) es una tarea estratégica para la alta dirección. Es el plan para que la empresa continúe la prestación del servicio a los clientes, el envío de mercancías, el pago de compensaciones y la comunicación con la prensa mientras sus sistemas principales siguen sin funcionar.

Si la gerencia se enfoca únicamente en la recuperación, la empresa carecerá de un plan de acción para el período de inactividad más crítico.

Conciencia de seguridad frente a cultura de seguridad

Los directivos a veces asumen que el simple hecho de impartir formación en materia de seguridad garantiza resultados: “Los empleados han aprobado su examen anual, por lo que ahora no harán clic en un enlace de phishing”. Por desgracia, confiar únicamente en las formaciones organizadas por RR. HH. y TI no es suficiente. La eficacia requiere cambiar el comportamiento del equipo, lo cual es imposible sin el compromiso de la gerencia de la empresa.

La conciencia es conocimiento. El personal sabe qué es el phishing y comprende la importancia de las contraseñas complejas.

La cultura de seguridad se refiere a patrones de comportamiento. Es lo que hace un empleado en una situación estresante o cuando nadie está mirando. La cultura no se forma mediante pruebas, sino mediante un entorno en el que es seguro informar de los errores y en el que es habitual identificar y prevenir situaciones potencialmente peligrosas. Si el empleado teme al castigo, ocultará un incidente. En una cultura saludable, informarán de un correo electrónico sospechoso al SOC o darán un codazo a un colega que se olvide de bloquear su ordenador; de este modo, se convertirán en un eslabón activo en la cadena de defensa.

Detección frente a prevención

Los líderes empresariales a menudo piensan en categorías obsoletas de “muro de la fortaleza”: “Compramos sistemas de protección caros, por lo que no debería haber forma de atacarnos. Si ocurre un incidente, significa que el CISO ha fallado”. En la práctica, prevenir todos los ataques es técnicamente imposible y económicamente prohibitivo. La estrategia moderna se basa en un equilibrio entre la ciberseguridad y la eficacia empresarial. En un sistema equilibrado, los componentes centrados en la detección y la prevención de amenazas funcionan en conjunto.

La prevención desvía los ataques masivos automatizados.

Detección y Respuesta (Detection and Response) permite identificar y neutralizar los ataques dirigidos más profesionales que logran eludir las herramientas de prevención o explotar vulnerabilidades.

El objetivo principal del equipo de ciberseguridad hoy en día no es garantizar una invulnerabilidad total, sino detectar el ataque en una fase temprana y minimizar el impacto en el negocio. Para medir el éxito en este ámbito, el sector suele utilizar métricas como el tiempo promedio de detección (MTTD) y el tiempo promedio de respuesta (MTTR).

Filosofía Zero Trust frente a productos Zero Trust

El concepto Zero trust (confianza cero), que implica “nunca confiar, siempre verificar” para todos los componentes de la infraestructura de TI, ha sido reconocido durante mucho tiempo como relevante y eficaz en la seguridad corporativa. Requiere de una verificación constante de la identidad (cuentas de usuario, dispositivos y servicios) y del contexto para cada solicitud de acceso, partiendo de la premisa de que la red ya ha sido vulnerada.

Sin embargo, la presencia de “zero trust” en el nombre de una solución de seguridad no significa que una organización pueda adoptar este enfoque de la noche a la mañana simplemente comprando el producto.
El modelo de confianza cero no es un producto que se pueda “activar”; es una estrategia arquitectónica y un proceso de transformación a largo plazo. La implementación del modelo zero trust requiere reestructurar los procesos de acceso y perfeccionar los sistemas de TI para garantizar la verificación continua de la identidad y los dispositivos. Comprar software sin cambiar los procesos no tendrá un efecto significativo.

Seguridad de la nube frente a seguridad en la nube

Al migrar los servicios de TI a una infraestructura en la nube como AWS o Azure, a menudo se tiene la falsa impresión de que el riesgo se transfiere por completo: “Le pagamos al proveedor, así que ahora la seguridad es su problema”. Se trata de una idea errónea y peligrosa, y una interpretación incorrecta de lo que se conoce como el modelo de responsabilidad compartida.

La seguridad de la nube es responsabilidad del proveedor. Protege los centros de datos, los servidores físicos y el cableado.

La seguridad en la nube es responsabilidad del cliente.

Los debates sobre los presupuestos para proyectos en la nube y sus aspectos de seguridad deben ir acompañados de ejemplos de la vida real. El proveedor protege la base de datos contra el acceso no autorizado de acuerdo con la configuración que los empleados del cliente establecieron. Si los empleados dejan una base de datos abierta o usan contraseñas débiles, y si el autenticador de dos factores no está activado para el panel del administrador, el proveedor no puede evitar que personas no autorizadas descarguen la información, una situación que ocurre con demasiada frecuencia. Por lo tanto, el presupuesto de estos proyectos debe tener en cuenta las herramientas de seguridad en la nube y la administración de la configuración por parte de la empresa.

Análisis de vulnerabilidades frente a pruebas de penetración

Los líderes suelen confundir las comprobaciones automatizadas, que entran dentro del ámbito de la ciberhigiene, con la evaluación de la resiliencia de los activos de TI frente a ataques sofisticados: “¿Por qué pagarles a hackers por una prueba de penetración (pentest) si ejecutamos un análisis cada semana?”

El análisis de vulnerabilidades comprueba una lista específica de activos de TI en busca de vulnerabilidades conocidas. En pocas palabras, es como un guardia de seguridad que hace rondas para comprobar que las ventanas y puertas de la oficina estén cerradas con llave.

Las pruebas de penetración (pentesting) son una evaluación manual para valorar la posibilidad de una brecha real mediante la explotación de vulnerabilidades. Para continuar con la analogía, es como contratar a un ladrón experto para que intente entrar en la oficina.

Uno no sustituye al otro, ya que una empresa necesita ambas herramientas para comprender su verdadera situación en materia de seguridad.

Activos administrados frente a superficie de ataque

Un error común y peligroso se refiere al alcance de la protección y la visibilidad general que tienen las TI y la seguridad. En las reuniones es común oír: “Tenemos un inventario preciso de nuestro hardware. Estamos protegiendo todo lo que poseemos”.

Los activos de TI administrados son elementos que el departamento de TI ha adquirido, configurado y puede ver en sus informes.

Una superficie de ataque es cualquier elemento accesible para los atacantes: cualquier punto de entrada potencial a la empresa. Esto incluye TI en la sombra (servicios en la nube, aplicaciones de mensajería personal, servidores de prueba, etc.), que es básicamente todo lo que los empleados ponen en marcha por su cuenta, eluduendo los protocolos oficiales, para acelerar o simplificar su trabajo. A menudo, son estos activos “invisibles” los que se convierten en el punto de entrada de un ataque, ya que el equipo de seguridad no puede proteger lo que no sabe que existe.

Amor, inteligencia artificial y robots

¿Por qué tenemos una relación de amor-odio con las aplicaciones de citas y cómo nos están afectando al cerebro? ¿Puede un emoji dar inicio a una guerra? ¿Es posible casarse con una inteligencia artificial? Reflexionamos sobre cómo la tecnología moderna está redefiniendo el amor y nuestras propias ideas al respecto.

Consejos
  • Para el resto de países