Connect with us

Eventos

CSO Conference+Awards 2021: “Ciberseguridad, los nuevos riesgos en la nueva normalidad”

Published

on

Organizado por CIO México y Computerworld México, el evento anual CSO Executive Forum evolucionó, agregando nuevas temáticas, misiones y funciones. Es por ello que este año cambió su nombre a CSO Conference+Awards 2021, y en su décima tercera edición tuvo por título “Ciberseguridad: nuevos riesgos en la nueva normalidad”.

Este evento tuvo como premisa que, ahora más que nunca, el CSO tiene un papel trascendental dentro de las organizaciones. Su deber es proteger el funcionamiento de la empresa, mismo que ha sido modificado gracias a la contingencia sanitaria.

Para abundar sobre temas, se conjuntó de manera virtual a expertos en seguridad digital. Mediante una serie de conferencias virtuales se expusieron los conocimientos necesarios para entender el proceso de innovación operativa dentro de un modelo de negocio, así como un panel de mejores prácticas con la participación de los responsables de Seguridad TI de Santander México y Heineken.

Mejores prácticas, para construir una defensa activa mediante MITRE Shield

Juan Carlos Vázquez, Regional Sales Manager para Attivo Networks/Datawarden, ofreció una ponencia acerca de las tácticas y técnicas empleadas por los adversarios de ATTACK de MITRE y cómo hace frente a esto por medio de MITRE Shield.

Al respecto, el experto aseguró que la defensa activa MITRE Shield cambia el paradigma para entender las ciberamenazas, pues este tipo de defensa es una base de conocimientos de defensa activa desarrollada para enfrentar a los adversarios, misma que se fundamenta en diez años de trabajo de la entidad MITRE.

Hablar de MITRE Shield es hablar de defensa activa y, según un concepto ideado en el Departamento de Defensa de Estados Unidos, es el empleo de acciones  ofensivas limitadas y contraataques, para poder negar o limitar un área al enemigo. “El objetivo de la defensa activa es confundir y retrasar al atacante dentro de sus actividades.

Algo relevante dentro del MITRE Shield es que abarca el rango de la defensa activa desde actividades fundamentales, que son la base para una buena defensa”, explicó Vázquez. “Sin embargo, también toca temas muy avanzados para estar preparados para ataques futuros”.

Juan Carlos Vázquez, Regional Sales Manager para Attivo Networks/Datawarden.

En palabras del experto, MITRE Shield está conformado por dos grandes rubros: las tácticas y las técnicas. Las primeras comprenden el objetivo fundamental, con base a estas tácticas se categoriza la librería denominada Shield. Por su parte, las técnicas son las acciones que el defensor implementa para poner en marcha las tácticas. Se debe tomar en cuenta que las técnicas pueden ofrecer diferentes resultados dependiendo cómo se apliquen.

“Para entender mejor este concepto, MITRE Shield está planteado como una serie de cubos que representan las técnicas. A su vez, estos cubos estarían almacenados en contenedores que, en este caso, son las tácticas. La idea es que el defensor tome diferentes cubos a partir de cada contenedor y pueda conjuntar diferentes esquemas de defensa activa. Actualmente Shield tiene documentadas 33 técnicas y 290 casos de uso que el analista puede aplicar”, añadió Vázquez.

Abundando en el tema, el directivo comentó que Shield es un Framework de defensa activa que permite hacer frente a los ataques, además posibilita aprender sobre los mismos para mejorar las defensas en el futuro.

“Este Framework estimula el ser creativo y genera conciencia que las brechas pasarán tarde o temprano. MITRE Shield pone a disposición del defensor contenedores con cubos para que se puedan hacer combinaciones, cuyos resultados pueden ser muy interesantes”.

Además, MITRE Shield no discrimina. “No importa si la organización sabe poco o mucho de defensa activa, aplica para cualquier tipo de organización sin importar su vertical o tamaño”, concluyó Vázquez.

Las implicaciones del análisis del ciberriesgo

Edher Domínguez, Cyber Security Engineer para Tenable, abordó el tema del análisis del ciberriesgo. Dijo que se trata de un “desafío”, pues hay bastantes variables a considerar y muchas veces no se sabe por dónde empezar.

Edher Domínguez, Cyber Security Engineer para Tenable.

Para fijar prioridades, el especialista aconsejó revisar qué fue lo más relevante del 2020 en cuestión de ciberseguridad. En particular, destacó los ataques de ingeniería social y phishing, y aseguró que en la gran mayoría de los casos las empresas no van a ser atacadas con novedosas “armas letales”, sino con herramientas ya conocidas. Asimismo, mencionó los ataques basados en Internet de las Cosas (IoT) y al ransomware, entre otros.

De acuerdo con Domínguez, los ataques casi siempre vienen de activos que no parecen ser críticos, pero que sirvieron como puente para llegar a su verdadero objetivo.

“Para actuar y hacer correcciones debemos adoptar métodos que nos permitan calcular qué tan expuesto está cada uno de mis activos que componen a mi empresa. Y sobre todo a identificar qué tan crítico es cada activo. Esto es importante porque siempre va haber una porción de activos que no sabemos que no están ahí; y si sabemos de su existencia, no siempre sabemos de un ejercicio de acceso. Para ello es necesario generar una capacidad de predicción y de esta manera se va cerrando la pinza en toda mi superficie explotable”.

En conclusión, el experto recomendó estar atento a las vulnerabilidades no atendidas, a los ciberataques más frecuentes y a identificar los activos más vulnerables. “Si somos capaces de apalancar y tener presente los recursos y moverlos hacia un cambio de estrategia, los beneficios que podemos obtener son muy altos”, asveró Domínguez.

Cómo mitigar el Ransomware con la segmentación definida por software

En su oportunidad, Oswaldo Palacios, Senior Sales Engineer para México & North LATAM de Guardicore, destacó que una de sus misiones de su compañía es proveer protección a los activos y aplicaciones críticas mediante la “microsegmentación simple e intuitiva”.

Mediante una “prueba de concepto en línea”, mostró que la Segmentación Definida por Software funciona en cualquier ambiente de TI, puede escalar tanto como se necesite, provee amplia visibilidad y brinda capacidades avanzadas para la detección de brechas de seguridad y respuesta.

Oswaldo Palacios, Senior Sales Engineer para México & North LATAM de Guardicore.

En su opinión, son tres las principales características que diferencian a las soluciones de Guardicore. La primera ellas es otorgar una visibilidad del centro de datos, desde cómo se comunican las aplicaciones y los activos a nivel de procesos. La segunda, es el denominado Enforcement, es decir, la capacidad de tomar decisiones, crear políticas y ambientes seguros de acuerdo con la información manejada; y como tercera medida está la seguridad. “Al obtener la visibilidad y el control de los procesos que se están ejecutando en los servidores físicos o virtuales, sin importar si están en una nube privada o pública o en un data center o dos, es posible obtener un nivel importante de seguridad”, aseveró.

El directivo de ‎Guardicore remarcó que cuando se busca tener un ambiente más seguro, muchas compañías piensan en segmentación. Sin embargo, en opinión del ejecutivo, este modelo tiende a tener muchos riesgos porque no siempre es posible ver cómo se están comunicando los servidores.

La propuesta de Guardicore es contar con microsegmentación, esto es, segmentos tan pequeños como tener control de dos servidores que se encuentran en una subred o de una nube pública. Además este tipo de soluciones está preparada para el futuro y puede funcionar en cualquier ambiente o sistema operativo.

Abundando sobre cómo las soluciones de Guardicore protegen al usuario sobre ataques e intrusiones, agregó que se realiza un seguimiento profundo de los procesos para detectar atacantes. Dentro del panel de control es posible visualizar a detalle qué fue lo que ocurrió, el origen del ataque y un completo informe sobre el bloqueo que se hizo mediante reglas de microsegmentación.

“Una solución que haga bloqueos de proceso a proceso no lo hace nadie. No dudamos que actualmente haya otro que lo haga parcialmente, pero como lo hace Guardicore no hay otra solución igual. Además, tenemos soluciones con el módulo de Deception o de engaño activo. Es decir, cuando se identifica un ataque, éste reenvía la conexión y la “tunelea” al servidor de Deception. Este último tiene la inteligencia de identificar el tipo de ataque y, sin importar si se trata de un ataque de Windows o Linux, levanta un servicio ficticio correspondiente”, ejemplificó en forma práctica Oswaldo Palacios.

El ambiente es híbrido, ¿y la seguridad de los datos?

Como una introducción a este tema, Maydeli Solorio, Gerente Regional para México y Centroamérica de Thales, presentó algunos de los principales hallazgos del Informe de amenazas anual realizado por Thales en conjunto con IDC. Este informe no sólo cuenta con datos de empresas de Estados Unidos y Europa, además contiene estadísticas de organizaciones de México y Brasil.

Entre los hallazgos encontrados se descubrió que el 80% de los encuestados tiene dos o más proveedores de plataforma como servicio, 74% ocupa 11 o más proveedores de software como servicio y el 78% de las empresas encuestadas tiene dos o más proveedores de infraestructura.

Maydeli Solorio, Gerente Regional para México y Centroamérica de Thales.

En promedio, el 49% de todos los datos de la empresa son almacenados en la nube, de este total el 45% de toda esa información almacenada son datos confidenciales. Al respecto, Maydeli Solorio comentó que tener operaciones o información en la nube tiene muchas implicaciones de seguridad.

“Por ello se debe planificar la evolución hacia este ecosistema híbrido poniendo por delante la seguridad de la información. Y es prioridad el buen manejo de las llaves que están cifrando los datos, para posteriormente agregar servicios de cifrado”.

“Tenemos que coexistir con ese ambiente de nube híbrida”, agregó Solorio. “Nuestro deber es balancear los servicios en premisa y en nube para brindar un esquema integral y consistente de seguridad de la información. Todo esto independiente de dónde se encuentren almacenados los datos”.

La ejecutiva remarcó que la labor de resguardar la ciberseguridad es todo un desafío, pero cuando se trata de la nube implica también ceder parte del control y la arquitectura a un tercero. Por tanto, las herramientas que se deben utilizar para esta tarea son un poco distintas a las utilizadas en sistemas On Premise.

Para una buena gestión dentro de los ambientes híbridos, la Gerente Regional para México y Centroamérica de Thales sugirió pensar en las necesidades futuras. Y resaltó que la plataforma TI facilita el contacto con los clientes en la integración de servicio

Por ello es importante revisar los requerimientos a corto, mediano y largo plazo. Todo ello con el objetivo de adaptarse a los nuevos requerimientos de las áreas de negocio sin comprometer la seguridad de la información.

“El escenario multi nube es un escenario que está creciendo aceleradamente. Debemos buscar plataformas de seguridad que protejan la arquitectura actual, pero que se pueda adaptar a las necesidades futuras de las organizaciones”, afirmó.

Una constante búsqueda de amenazas en la red

El encargado de hablar sobre las soluciones propuestas por Lumen Technologies fue su Gerente Regional de Data Center y Seguridad para América Latina, Pablo Dubois, quien remarcó durante su presentación que ante la “nueva normalidad” que estamos viviendo hay cuatro pilares en materia de ciberseguridad que se deben tener muy presentes: seguridad conectada que podamos embeber y gestionar desde la red; edge cloud para poder llevar los datos lo más cerca posible de clientes; una red adaptativa que se pueda adecuar a lo que el negocio necesite; y un entorno de colaboración para el negocio remoto.

Para encontrar soluciones confiables a todas estos desafíos, Dubois comentó que Lumen Technologies cuenta con Black Lotus Lab, su laboratorio de ciberseguridad. Una de sus principales funciones es recopilar información dentro de sus redes.

Pablo Dubois, Gerente Regional de Data Center y Seguridad para América Latina de Lumen Technologies.

“Lo que hacemos es usar nuestra red como un gran sensor que nos permite ver si hay diferentes patrones de ataque que tiene clientes y no clientes, porque vemos a nivel de toda la red”. Agregó que se detectan los centro del Mando y Control C2 que son los que orquestan diversos ataques a servicios como botnets o servicios de spam. Posteriormente seleccionamos la información importante y tratamos de desactivar esos C2. Hacemos 63 desactivaciones mensuales.

En el tema de los ataques DDoS, el experto señaló que desde el inicio de la pandemia han detectado su incremento en un 25%. Indicó que esto no sorprende, pues ahora la fuerza laboral de una empresa se encuentra remota, por lo cual lanzar un ataque DDOS también interrumpiría las operaciones de una empresa.

“En nuestros sistemas bloqueamos al día 140 ataques DDoS dirigidos a nuestros clientes con protección de este tipo de ataques. Y para frenar los ataques con grandes capacidades de volumen tenemos esquemas de protección en capas y globales. Eso nos permite detener el ataque desde el punto más cercano de donde se genera”.

Dubois puso como ejemplo, que si uno de los clientes se encuentra en México y lo atacan desde Europa hace sentido detenerlo desde allá. “(Para ello) contamos con centros de operaciones de seguridad a nivel global, lo que nos permite adelantarnos a las amenazas y poder proteger mucho mejor a nuestros clientes”, señaló el directivo de Lumen Tecnologies.

La evolución de las amenazas y las estrategias de seguridad más efectivas

Los expositores de esta mesa redonda coincidieron que es más que evidente que el cibercrimen se ha incrementado desde el inicio de este confinamiento. Sin embargo, en opinión de Jacobo Resnikov, Cortex Manager para Latinoamérica de Palo Alto, otro importante problema es que las organizaciones tienen una ciberseguridad reactiva.

“Para ejemplificar este caso recordemos que estamos llenos de alarmas de seguridad que muchas veces no son atendidas. El problema se agudiza cuando esa alarma pasa a un incidente operativo. Esto, por consecuencia, provoca que tengamos una ciberseguridad de postura reactiva”.

Ante este tipo de situaciones, Resnikov aseguró que Palo Alto puede ayudar a pasar de ser reactivos a tener a una capacidad proactiva disminuyendo el tiempo de detección y de respuesta.

Es por ello que Resnikov describió Cortex, una de las divisiones de Palo Alto. Esta solución proporciona servicios enfocados a la inteligencia de amenazas, automatización, etc., y es una interesante opción para protegerse de las principales ciberamenazas provenientes de los adversarios.

Jacobo Resnikov, Cortex Manager para Latinoamérica de Palo Alto.

El gerente de producto explicó que Cortex funciona bajo cuatro características clave, siendo la reducción de la superficie del ataque la primera de ellas. Otro de los grandes pilares de Cortex es la prevención. “La posibilidad de prevenir la mayoría de los eventos hace que no tenga que responderlos después. Lo mejor es que los elementos preventivos no alertan hasta que suceda algo de verdadera importancia”.

La tercera característica es Inteligencia Artificial (IA), la cual ayudará a procesar datos y ofrecer la información correcta para mostrar lo que está ocurriendo. Estas analíticas detectan qué elementos virométricos pueden determinar que hay un problema para mitigarlo inmediatamente. Además, Cortex cuenta con automatización con capacidades para responder hasta en 95% de las actividades asignadas, sostuvo Resnikov en su presentación.

Los nuevos ciber riesgos ante la nueva normalidad

El evento finalizó con un panel de mejores prácticas titulado “Ciberseguridad: nuevos riesgos en la nueva normalidad”, el cual contó con la participación de Miguel Ángel Cachón, Director de Riesgos Tecnológicos y Ciber Riesgos de Santander México, y Carlos Treviño, Global IT Audit Manager de Heineken. El panel fue moderado por Mireya Cortés, Editora Online, y José Luis Becerra, Editor de CIO México.

Ambos invitados comenzaron la dinámica haciendo referencia a las mayores dificultades en materia de ciberseguridad que debieron enfrentar a partir de la pandemia.

Para Miguel Ángel Cachón, su mayor desafío fue la transformación acelerada en el entorno laboral, además del trabajo remoto que aplicaron para la mayoría de su plantilla de trabajadores. Según el especialista, esto desembocó en el uso masivo de firewalls y VPN.

Miguel Ángel Cachón, Director de Riesgos Tecnológicos y Ciber Riesgos de Santander México.

Un reto adicional, y con el que no contaban inicialmente, fue “convivir con herramientas de colaboración a distancia, mismas que no eran de uso común para el personal y no todos estaban familiarizados con el manejo de las mismas”.

Asimismo, destacó el peligro de posible fuga de información. Para anticipar este problema, dijo, clasificaron la información y desplegaron políticas de Data Loss Prevention (DLP).

Acerca de las principales amenazas digitales a las que se enfrentaron a partir de este nuevo esquema de trabajo remoto, Carlos Treviño, de Heineken, comentó que detectaron un incremento importante en los ataques de ransomware, situación que calificó como predecible debido al cambio del ambiente laboral a otro donde no se cuenta con la suficiente protección e infraestructura.

Carlos Treviño, Global IT Audit Manager de Heineken.

Otro desafío relacionado con la ciberseguridad fue el importante aumento de uso de dispositivos móviles. Además, el uso de nuevos canales de presencia remota ha incrementado el riesgo de la colaboración y la operación de las organizaciones.

En temas de presupuesto y el ajuste del mismo, Cachón dijo que dentro de su organización hubo un incremento importante en el presupuesto. La razón principal fue incrementar las capacidades para trabajar a distancia, no obstante, posteriormente confirmaron que este esquema de trabajo les ha traído importantes ahorros.

Por su parte, Treviño agregó que dentro de su organización diversas áreas tuvieron un impacto en el tema presupuestal pero, dado que están conscientes que los ataques cibernéticos han aumentado y el impacto del ataque puede ser mayor, en el área de TI se ha mantenido constante el presupuesto.

Con relación a la adopción de nuevas tecnologías para reforzar la seguridad de la empresa, el Global IT Audit Manager de Heineken opinó que actualmente es obligatorio pasar de un esquema reactivo a un esquema operativo y predictivo.

Para lograrlo se deben optar por tecnologías con automatización avanzada, que ejecuten procesos que no dependan de la revisión constante del recurso humano. Esto también evitará tener un extenso equipo de trabajo.En su reflexión final, Miguel Ángel Cachón comentó que hay que conocer muy bien a quién le damos nuestra confianza. De acuerdo con el directivo, uno de los factores por los que el cibercrimen ha ido en aumento es porque la gente confía en lo que ve. “En caso que se establezca cualquier tipo de comunicación no solicitada se debe desconfiar en todo momento y, de ser posible, establecer una conexión segura, revisar certificados digitales, la identidad de la contraparte, etc.”, concluyó el directivo.

-César Villaseñor, CIO México

Advertisement
 

VIDEOS

Resources

Advertisement

Recientes

Advertisement