Combatiendo el panorama actual de las amenazas

NetEvents Europa ha reunido en Londres a expertos de BitGlass, Cognition Secure, ISC, Javelin Networks, Menlo Security y Verizon para ofrecer a las empresas consejos sobre cómo interpretar y defenderse de las mayores amenazas de hoy en día, desde el ransomware, el ransomworms, el robo de credenciales y el spearphishing avanzado.

Las últimas generaciones de malware están costando a las empresas grandes sumas de dinero en términos de pérdida de productividad, cortes de servicio, multas y demandas, así como de valor para los accionistas. El alto perfil de estos incumplimientos y las nuevas reglas que impondrá el nuevo Reglamento General de Protección de Datos de Europa (GDPR) deberían hacer que abordar el panorama de las amenazas sea una cuestión prioritaria para las juntas directivas.

“Como industria gastamos 100.000 millones de dólares defendiéndonos con las tecnologías de seguridad cibernética, pero nada está funcionando. Hoy en día contamos con más tecnologías de seguridad cibernética que nunca y, sin embargo, cada vez tenemos más ciberataques exitosos”, ha observado Greg Fitzgerald, COO de Javelin Networks.

Ante esto, ¿qué puede hacer una empresa? ¿Qué reflexiones se ciernen sobre los CISOs? Duncan Brown, vicepresidente asociado de prácticas de seguridad de IDC en Europa, culpa en gran parte de los daños colaterales de este tipo de ataques a la creencia falsa sobre la probabilidad de que estos ataques tengan un impacto. “La mayor sorpresa sobre el ataque de WannaCry fue que resultó una sorpresa para mucha gente. La mayoría de nosotros en la industria éramos muy conscientes de la amenaza, pero nos equivocamos en la evaluación del riesgo”.

Brown ha explicado que “claramente hubo un fracaso en la evaluación del riesgo en términos malentendidos por las organizaciones sobre la probabilidad de estos ataques”, demostrando la pobre respuesta que las empresas, instituciones y gobiernos tienen hoy en día ante estas amenazas.

“El brote de WannaCry fue fantástico, ya que ha llevado la conciencia de seguridad a un nivel alto. Debemos educar a los empleados para que sepan que sus contraseñas no son seguras y para eso necesitamos mostrarles nuevas formas de autenticación o nuevas formas de acceder a un nuevo sistema. Desde luego, con el cloud computing necesitamos asegurarnos de tener más control”, ha afirmado Eduard Meelhuysen, vicepresidente de Bitglass.

Meelhuysen no es optimista. “La educación es clave, pero los hackers,  phishers o constructores de ransomware estarán siempre por delante de nosotros”.

Malas políticas y falta de capacidad

Jason Steer,  Solutions Architect de Menlo Security en EMEA, ha manifestado que las políticas de correo electrónico y web y las tecnologías de protección están traicionando a las empresas. “Las infracciones a menudo comienzan con malas políticas de correo electrónico y web”. Steer ha corroborado que confiar en los empleados para hacer siempre lo “correcto”, siempre fracasará.

Por su parte, Carl Gottlieb, director de consultoría de Cognition Secure, ha explicado que la industria de la seguridad tiene mucha culpa. “Construimos productos en un laboratorio, testamos que funcionan y los desarrollamos, pero nunca probamos cómo se comportarán en el mundo real, en un contexto en el que los productos antimalware o antivirus no se mantienen al día”.

“En el marco europeo, bajo el nuevo Reglamento General de Protección de Datos (GDPR), podemos decir que la privacidad es ahora una manera de obtener una ventaja competitiva. Si nos enfocamos en hacer evaluaciones de riesgos críticos para el negocio en TI, podremos evitar incidentes como WannaCry”, ha remarcado Gottlieb, ya que el directivo ha señalado que una de las cosas que también fallaron con WannaCry fue que los departamentos de TI y los departamentos de InfoSec no incluyeron las evaluaciones de riesgos de seguridad en las evaluaciones de riesgos empresariales.

Asimismo, Laurance Dine, director ejecutivo del equipo de respuesta de investigación de Verizon, ha destacado una falta de preparación y una falta de capacidad probada para restaurar información que podría ser destruida por el ransomware u otros ataques. “En teoría, las grandes organizaciones tienen sistemas para hacer frente a la corrupción o destrucción de datos, pero la gran mayoría de las entidades que fueron golpeadas por WannaCry no tenían idea de lo que iban a hacer, cómo iban a restaurar los datos”.

El GDPR, que entrará en vigor en 2018, aumentará los criterios de privacidad y protección de datos. Si las empresas no siguen las buenas prácticas y caen en un incumplimiento podrían sufrir multas significativas. “El GDPR está ayudando a obtener más atención de las Juntas en términos del presupuesto que se gasta en seguridad”, ha concluido Eduard Meelhuysen.