Durante los últimos 20 años, se ha producido un gran cambio en la batalla de la ciberseguridad: hemos pasado de los hackers aficionados a las tácticas de cibercriminales bien organizados y financiados. Echando la vista hacia atrás nos damos cuenta de que ahora nos enfrentamos a una verdadera amenaza informática para las compañías en comparación con los riesgos del pasado.
En pleno apogeo de la transformación digital, la evolución de los ataques avanza a un ritmo récord y la pregunta que se hacen muchos departamentos de IT es cómo pueden detener a los nuevos ciberdelincuentes. Desafortunadamente, nos movemos en un entorno demasiado complejo como para ofrecer una respuesta simple. Por ello, conviene más preguntarse cómo podemos maximizar nuestra seguridad para que los criminales encuentren demasiado costoso atacarnos.
A partir de este punto de vista, debemos establecer estrategias que nos ayuden a mejorar la seguridad y aumentar la dificultad para cualquier atacante. Esto no implica mantenerse bajo un estado de alarma permanente, pero sí tomar una postura preventiva ante un eventual ataque.
Explicamos cinco fórmulas para aumentar el coste de un ataque:
La higiene es importante
Si en nuestro día a día, hay sencillos gestos como lavarse las manos que resultan útil para evitar infecciones, a nivel tecnológico sucede algo parecido. Existen unas directrices mínimas de seguridad operativa que equivalen al lavado de manos:
- Conocer nuestro entorno, especialmente aquellos activos de más valor
- Revisar e instalar actualizaciones de mantenimiento
- Utilizar contraseñas complejas y métodos de cifrado
- Reforzar la gestión administración de las redes de la empresa
- Exigir y mantener el registro para los inicios de sesión.
Modernizar la seguridad endpoint
En muchos casos, las empresas han modernizado sus recursos de seguridad bajo un enfoque limitado centrándose en los antivirus, la encriptación y, algunos pocos, una tecnología de detección y respuesta de punto final o endpoint. Cada uno de estos elementos requiere de agentes IT y equipos de operaciones que consumen recursos críticos y, en muchas ocasiones, sobrecargan el Security Info & Event Management System (SIEM).
En cambio, una seguridad endpoint moderna es capaz de integrar y automatizar completamente estas funciones. Es decir, una gestión unificada de accesos y dispositivos. Lo esencial de estos sistemas es:
- Realizar las funciones básicas del antivirus
- Proteger la identidad del usuario y contener el movimiento lateral en la red interna.
- Detener el ransomware de cifrado
- Aprovechar una plataforma de inteligencia para detectar indicadores de ataques y otras amenazas
- Capturar información crítica para reproducir una infracción en movimiento y realizar análisis forenses de la red.
Proteger el correo electrónico
Gran parte de los ataques modernos comienzan con un correo electrónico y las empresas lo saben. Por eso resulta sorprendente que sigan implementando servicios antispam y antivirus, pero no emplean capacidades de sandboxing o de reescritura de URL. A menos que quieran que el “cortafuegos humano” siga siendo su última línea de defensa, el correo electrónico es una aplicación crítica que es necesario asegurar.
Plataforma inteligente
Los ataques modernos se basan en incógnitas. Esta es la razón por la que algunas tecnologías como los antivirus no siempre tienen éxito. Los sistemas inteligentes deben basarse en un vasto conjunto de datos capaces de configurar indicadores de ataque y amenazas rápidamente. Las empresas que disponen de estos recursos están en una clara ventaja para protegerse y detectar los comportamientos desconocidos que pueden resultar peligrosos.
Respuestas y operaciones de ciberseguridad
Los expertos en seguridad siguen siendo esenciales a la hora de proteger a la empresa. En la actualidad hay escasez de profesionales y la demanda sigue creciendo. Según diversos estudios, la necesidad de fuerza de trabajo en el sector aumentará previsiblemente a seis millones en 2019 a nivel internacional. Para ayudarnos a defendernos en este nuevo espacio, una de las prioridades será garantizar la preparación y la capacitación de estos perfiles.
En demasiadas ocasiones, el plan de respuesta para abordar posibles incidentes solo incluye a los equipos de IT. Sin embargo, para asegurar su efectividad, debería incorporar a los departamentos de legal, marketing, a la alta dirección y a otras partes interesadas del negocio. En este sentido, las empresas deben ser capaces de reducir el ruido de las alertas y alimentar los sistemas con la información necesaria para detectar solo aquellas amenazas relevantes. Para ello, se debe pasar de una gestión reactiva a la caza proactiva.
Puedes acceder al artículo original en inglés en el blog de seguridad de Microsoft.