Procrastinar, problema clave para la ciberseguridad 

En términos simples,  procrastinar es dejar para mañana lo que podemos hacer hoy. 

Cualquiera diría que las empresas saben que no deben hacer eso con la ciberseguridad. Pero no es así. 

 

Los expertos y los fabricantes de software de seguridad ya han establecido, sin duda, que las personas pueden constituir el riesgo más grande en las defensas de ciberseguridad de empresas y gobiernos. 

Del mismo modo, distintos estudios nos han señalado que la corrección de este problema se logra con la creación de una cultura de ciberseguridad que comprometa a las personas en comportamientos defensivos. 

Tres elementos claves, sin embargo, suelen quedar fuera de esta conversación:

1.- Establecer cualquier cultura en una organización requiere del respaldo del alto liderazgo de la misma 

2.- Las personas, en general, tienen resistencia a los cambios 

3.- Los directivos y gerentes también son personas: no están exentos de estas resistencias

En este punto, es probable que usted piense que aunque las tres – obviedades – de arriba pueden ser ciertas, en realidad no son relevantes. 

¿Por qué? Porque la gravedad de los ataques de ciberseguridad debería bastar para que las empresas tengan  la creación de entornos seguros en el top 3 de sus prioridades. 

No obstante, las brechas de seguridad siguen demostrando que esto no es así. Debemos, entonces, preguntarnos:

• ¿Por qué ocurre este fenómeno? 
• Y ¿cuáles son las consecuencias de “dejar para mañana lo que hay que hacer hoy”?

O, dicho de forma directa, ¿por qué seguimos encontrando una peligrosa tendencia a procrastinar en  ciberseguridad? 

No es una intuición

No sólo el volumen creciente de ataques exitosos apunta a esta conclusión. También la magnitud de los daños de algunos de ellos no señalan esta debilidad. 

De hecho, han sido tan graves que han salido de las paredes de las empresas y gobiernos y alcanzados los titulares de los medios. 

Como ejemplo, baste con recordar el ataque de ransomware a Clorox en agosto del año pasado, el cua generó: 

• La interrupción de parte de sus operaciones comerciales 
• Afectó a toda su producción
• Además de dañar su infraestructura

El peor saldo fueron las pérdidas económicas, las cuales se estiman en US$ 356 millones.

Otra muestra reciente de catastrófico ataques de ransomware la encontramos en el caso de la proveedora de telecomunicaciones con servicios en la nube con alcance en toda Latinoamérica, IFX Networks. 

En este caso y para hacer más grave el impacto de su ataque, en su infraestructura estaban alojadas importantes empresas y organismos de Gobierno. Sólo en Colombia: 

• 65 entidades oficiales tuvieron sus sitios fuera de linea
• Y más de 50 millones de datos del Ministerio de Salud de ese país, estarían en las manos de ciberdelincuentes

¿Resultado? El gobierno de ese país inició una demanda contra la empresa. 

“Los ataques suceden porque los entornos no son seguros. Si hay un ataque es porque hubo una vulnerabilidad. Y la responsabilidad es 100% de la empresa”, afirma Juan Ozino Caligaris, cofundador y Country Manager de Nubity.

El ejecutivo asegura que, así como en la década pasada las empresas se enfocaron en la calidad con certificaciones como ISO 9000 e ISO 9001, en la actualidad deben enfocarse e impulsae políticas de seguridad acordes a sus operaciones y la información que manejan.

Procrastinar, ¿práctica suicida? 

El Country Manager de Nubity recordó que, según datos de Microsoft, los ciberdelitos en entornos empresariales crecieron un 38% entre 2022 y 2023.

Las prácticas y procesos empresariales deben normalizarse para realmente tener una organización segura.

No hacerlo, asegura, es una procrastinación organizacional, que va más allá de las personas. 

“Es la misma empresa la que no se embarca en la misión de fortalecer la seguridad de sus entornos y que, de esta manera, no previene que los ataques – que son permanentes y crecientes – lleguen a alcanzarla”, aseguró el cofundador de Nubity, Juan Ozino Caligaris. 

Procrastinar, entonces, se convierte en una práctica vicios a de as organizaciones que geneta, potencialmente, pérdidas económicas por fallas en la ciberseguridad. 

Quizás aún no hayan ocurrido para su empresa. Pero, si la conducta se mantiene, son algo que está por ocurrir.

Dicho esto, toca preguntatse: ¿cuales son las acciones mínimas que deben llevar a cabo las organización – sin procrastinar ni dudar – para evitar ser víctimas de ciberataques potencialmente catatrósficos?

El ABC de la ciberseguridad

Para evitar que los sistemas de las organizaciones sean vulnerados, las empresas, generalmente, cumplen como mínimo con algunas de estas prácticas:

Autenticación

Si bien hoy en día todos tenemos incorporado la importancia de una clave de autenticación lo suficientemente robusta, nos cuesta la incorporación de herramientas con doble factor. 

En especial en lo que a términos laborales se refiere.

La evidencia apunta a que los usuarios no han desarrollado el las mejores prácticas con respecto a la creación y la utilización de claves distintas en distintos ambientes. 

Esto es algo en lo que las claves dinámicas ayudan enormemente.

En este sentido, en el desarrollo de aplicaciones, el acceso a información que se encuentra en otros sistemas o tienen acceso restringido, impulsó el uso servicios y microservicios. 

Todo ello requiere una enorme cantidad de autenticaciones independientes.  

Aquí la utilización de herramientas que permitan una gestión, simple y segura de la misma es fundamental. 

Ozino destaca que, en lo que a Nubity se refiere, han observado como numerosos sitios son vulnerados por la falta de rotación o robustez de los mecanismos de autenticación.  Desgraciadamente.

Aplicaciones web y herramientas de terceros

La mayoría de los sitios web utilizan herramientas de terceros (generalmente open source) para proveer sus funcionalidades. 

Actualmente son más las aplicaciones web que los originales sitios estáticos. Son estas aplicaciones y la dependencia de terceros (además del código propio de quien construye el sitio) las que, normalmente, se ven afectadas por vulnerabilidades de seguridad conocidas (CVEs). 

De ello que los espacialistas de Nubity consideren imprescindible revisar – sin procrastinar – de modo procedural y responsable la construcción de la aplicación desde el primer momento. 

Esta práctica suele evitar problemas mayores.

Estrategias zero trust 

Los profesionales de tecnología se han basado en estrategias de seguridad perimetral para proteger activos valiosos:

• Ya sean los datos de usuario
• Propiedad intelectual 
• O sistemas críticos

Pero ya hacer esto no es suficiente. Aunque debe mantenerse la protección del perímetro, la experiencia apunta a que es necesario  aplicar prácticas de confianza cero. 

Esto significa verificar  siempre cada transacción individual para adaptar la seguridad en torno a cada usuario, dispositivo y conexión.

 

Nada de esto parece demasiado complicado, a simple vista. 

Por ello preguntamos a los especialistas de Nubity ¿por qué las empresas mantienen el mal hábito de procrastinar estas prácticas y mantener malos hábitos de ciberseguridad? 

“Porque, por un lado, deben modificarse muchos de los procesos operativos, forzando las implementaciones. I bien llevar adelante cambios operativos significativos (conciliaciones por ejemplo). O deben, directamente, alterarse la usabilidad de algunas herramientas”, explicó José María López, Dev Manager de Nubity.

Ciertamente, no es fácil. Pero los casos reportados arriba muestran el potencial catastrófico de seguir retrasando la adopción de prácticas como las descritas. 

Procrastinar, en fin, es su peor elección. Para luego es tarde.