Hugo Werner de Akamai: todas las empresas deben contar con un consultor en ciberseguridad 

No hay territorio seguro ante los ciberataques, ni presupuesto de TI que le permita estar blindado. 

Hugo Werner es vicepresidente Regional de Akamai para América Latina, una corporación proveedora de soluciones basadas en la nube para la gestión de datos, aplicativos, contenidos en masa y, ante todo, provee soluciones para la seguridad de esta información crítica.  

Con Werner conversamos sobre los altos niveles de complejidad que hoy enfrentan las empresas para protegerse de ciberataques, y los procedimientos base para el desarrollo de una política de ciberseguridad.Un resumen de la conversación está disponible en vídeo como parte de nuestras entrevistas, o como un podcast acompañando esta nota.

En la vida de una empresa, bufetes de abogados, asesores fiscales y auditores contables, se cuentan de primeros en la lista de los proveedores externos. Pues bien, con la misma confianza hay que poner en la lista la figura de los consultores en ciberseguridad para soportar el diseño de políticas de protección ante ataques, y en el diseño de un plan de mitigación y gestión de daños. Porque la mayor certeza es que mientras lee estas líneas, sus sistemas de seguridad ya han sido vencidos. 

Que la protección de los activos digitales haya pasado a ser la prioridad número uno de los CIOs en todo el mundo no es tema baladí. Supone un cambio en la cultura empresarial porque la ciberdelincuencia ha demostrado tan poderosa como los grandes centros de seguridad global, ergo el mismísimo Pentágono en los Estados Unidos.  

¿Qué tan sofisticado se ha convertido la ciber extorsión en los mercados de América Latina? Leía recientemente un reporte de Akamai que señalaban como estas organizaciones ya emulan el mundo corporativo.

La manera en que se hacían los ataques anteriormente era más simple. A medida que las organizaciones se han hecho más sofisticadas en términos de protección, entonces los ataques ya no son de un solo vector. Sino que los ataques empiezan a ser de múltiples vectores. Cuando un criminal va tras un ataque, empieza con un ciclo, una cadena en la cual primero va a explorar, a identificar si hay medidas de control. Establece la mejor vía de entrar a la organización, Así pasa muchos meses dentro de los sistemas viendo qué hay… Entendiendo. Y después, cuando está listo y tiene infecciones laterales, es cuando hace el ataque. 

ESCUCHA EL AUDIO PODCAST: Entrevista con Hugo Werner, VP de Akamai para América Latina

En Europa se está viendo ciberataques que están inhabilitando a la operación de hospitales o inhabilitando la operación de un gran mayorista farmacéutico. En el caso de América Latina, ¿cuáles son las industrias más atacadas? 

Esto depende de cada país y depende de la situación. Entre las industrias más atacadas en América Latina estaban los bancos y quizás el comercio electrónico. Pero hay diferencias en lo que vemos hoy en este momento es que ya estas industrias no son las únicas. Ya los bancos y los comercios electrónicos están bien protegidos y ahora nos damos cuenta de que la industria de la manufactura está siendo atacada en México. Por otro lado, hemos visto crecer las incidencias en el sector salud en países como Chile. Si vemos el caso de Brasil, vemos hay mayores incidencias en salud porque ha habido una tendencia en los últimos 15 años de venta de planes de salud. 

Luego de un ataque de ramsomware, son pocas las acciones de defensa que se pueden acometer, pero si es importante contar con el soporte de un equipo especializado que trabaje en la mitigación y limpieza de los activos de datos luego de que han sido vulnerados.  

¿Cuál es la filosofía de abordaje de riesgos que presenta Akamai a las organizaciones y cómo casan con tendencias que se vienen consolidando, por ejemplo, como Zero Trust?

Desde el punto de vista de Akamai, la seguridad la manejamos básicamente en dos áreas. La seguridad dentro de la organización, dentro del firewall, todo lo que está ahí, que son los servicios internos, eso es un área de protección. Y allí adentro, básicamente, nos regimos por las prácticas de Zero Trust.   

En lo interno aplicamos un modelo de microsegmentación básicamente lo que hace es resolver el problema de estas infecciones laterales que estábamos conversando antes. Con estos agentes de la microsegmentación logramos proteger el activo de un nuevo ataque o expansión lateral y así vamos neutralizando un tipo de ataque como el que llamamos ransomware. 

¿Cómo la nube, o las multi nubes, han complicado la protección de activos de datos que ahora están en distintas plataformas que controla la empresa o no?

En lo que ayudamos a nuestros clientes es a entender cuáles son los activos de mayor criticidad. Hay empresas que por filosofía interna dicen, yo no voy a poner nada en la nube que sea crítico. Y yo te podría decir hoy que se puede tener un ambiente en la nube tan o más seguro como on premise.   

Entonces es mucho más lógico pensar que no es posible tener solo on premise y mantener fierros maximizados cuando la demanda de infraestructura tiene picos. Se impone un modelo más más dinámico porque además muchos de los ataques ransomware que estamos viendo son sistemas que están on premise.  

Son sistemas sin ninguna exposición hacia el exterior y que, sin embargo, sufren ataques multi vectores, todo este tipo de fishing, smashing, malware a command control, que poco a poco, pueden ir penetrando al interior de los sistemas. No importa si es on premise, o en el cloud, es cuestión de filosofía de la organización. Cualquiera de los dos puede ser muy seguro. 

Comentabas que en el contexto de los ambientes en la nube se podía obtener un nivel de seguridad tan confiable como si pusieras todo tu capital en defender tu sistema on premise. Pero cuando nos vamos a la base media de las compañías en América Latina, nos conseguimos con estadísticas preocupantes, como que solo 30% de verdad está invirtiendo en proyectos avanzados en Zero Trust, o que la gran mayoría sigue estando anclada en el modelo del firewall. ¿Si quisiéramos, de alguna manera dibujar una hoja de ruta para acelerar la transición?

Muchas de las organizaciones de cierto tamaño, grandes, les cuesta estar al día con todas las vulnerabilidades. Por ejemplo, en cuanto vulnerabilidades del Zero Day, o de Día Cero, todos los días sale una nueva, y no toda la gente, y no todas las organizaciones, pueden tener un equipo multidisciplinario, e inclusive si lo consiguen, a lo mejor no hay suficiente presupuesto para poner todas las defensas que se necesitan.  

Existen empresas, ya sean integradores o compañías especializadas en ciberseguridad, en Akamai trabajamos con empresas que son nuestros partners. Básicamente una organización que no puede tener personal in house, puede trabajar con consultores especializados en ciberseguridad. Y esta puede ser la mejor decisión porque se pueden contar con empresas que pueden estar especializadas en dar un servicio de análisis, cobrando una tarifa por ayudarme a entender todas las vulnerabilidades que tengo, asignar el riesgo de mi infraestructura, colocar profesionales que preparen al equipo interno para el momento de algún ataque, y sobre todo que genere un run book, que en ciberseguridad es un documento estratégico que resume ante un caso de ataque: 

• Primeras acciones de contención. 
• A quien llamar 
• Quiénes son las personas que pueden tener acceso. 
• Procedimiento de defensa y control de daños. 

Esta es una herramienta super básica y que muchas empresas no tienen. Estos partners por lo general saben cuáles son las cuatro o cinco tecnologías esenciales que una empresa necesita tener para poder ayudar en cualquier tipo de ataque. Brindan una ruta que se puede seguir y que resulta accesible desde el punto de vista de costos.  

En Akamai nosotros disponemos soluciones para esta preparación, pero también para el control de emergencias en medio de un ataque, para superarlos en 24 y 36 horas. 

Sin embargo, luego de un ataque de ramsomware, son pocas las acciones de defensa que se pueden acometer, pero si es importante contar con el soporte de un equipo especializado que trabaje en la mitigación y limpieza de los activos de datos luego de que han sido vulnerados.  

Cuando se está ya en medio de un problema de ataque o vulneración de los datos, es importante que los equipos de tecnología suban las incidencias a las juntas directivas y se busque ayuda.