El peligro de descuidar la ciberseguridad de su organización
En marzo de 2021, el carguero Ever Given bloqueó el Canal de Suez durante casi una semana, causando un enorme impacto en la infraestructura de contenedores. Esto provocó una interrupción mundial de las entregas de carga, ya que el 10% de la economía mundial pasa por este canal. En toda la cadena de infraestructuras de entrega, no poder pasar por el Canal de Suez podría parecer una pequeña interrupción pero, de hecho, este único cuello de botella retuvo hasta 10.000 millones de dólares de carga al día.
Quizá se pregunte qué relación tiene esto con la ciberseguridad y las infraestructuras críticas. Al igual que en una cadena de suministro, la ciberseguridad de las infraestructuras críticas es tan fuerte como su eslabón más débil. Oímos este tópico todo el tiempo, pero ¿se ha planteado alguna vez que usted podría ser el eslabón más débil de una cadena de infraestructuras críticas?
Puede que no sea natural pensar en su organización como parte de una infraestructura crítica. Sin embargo, lo más probable es que usted sea un proveedor y forme parte de una gran cadena conectada a infraestructuras críticas. Puede ser incluso más difícil verse a sí mismo como el eslabón más débil de la cadena de suministro, pero puede estar seguro de que los atacantes están haciendo ese análisis. Los objetivos con gran visibilidad suelen ser más difíciles de atacar porque su madurez cibernética tiende a ser muy alta. Por lo tanto, los atacantes buscarán otras rutas para llegar a los objetivos de alta visibilidad, y su organización puede estar entre ellas.
¿Qué medidas puede tomar para asegurarse de que su organización no es el eslabón más débil de la cadena de infraestructuras críticas?
En la práctica, hemos observado que muchas organizaciones dependen en gran medida de sus sistemas de TI y OT, pero no están seguras de si están vigilando los indicadores correctos de un ataque. En consecuencia, no saben si pueden detectar un ataque real y, lo que es peor, puede que no se den cuenta de que ya se han visto comprometidas. En consecuencia, la respuesta inicial de los equipos de seguridad es buscar "MÁS": más herramientas, más vigilancia, más información y más personal. Sin embargo, este enfoque a menudo conduce a una mayor confusión, más ruido y agotamiento del personal. Es evidente que se necesita una toma de decisiones más rentable en materia de herramientas combinadas con las capacidades existentes.
En KPMG, comprendemos estos retos a los que se enfrentan las organizaciones con las capacidades existentes y los objetivos cibernéticos futuros. Por eso hemos desarrollado nuestro enfoque de Observabilidad Efectiva de la Seguridad (ESO) para ayudarle a identificar vulnerabilidades, aumentar las defensas y mejorar su postura de seguridad, resolviendo el rompecabezas de sus operaciones de seguridad mediante la optimización de su entorno de seguridad. Para obtener más información sobre cómo ESO puede beneficiar a su organización y obtener una visión más profunda de su ciberseguridad, descargue nuestro libro blanco y hable con uno de nuestros especialistas.
Algunos de estos especialistas también presentaron Vectra AI y KPMG coorganizaron un seminario web el 8 de marzo para concienciar sobre los continuos ciberataques que amenazan las infraestructuras críticas. El debate exploró los riesgos que las ciberamenazas suponen para las organizaciones y las infraestructuras críticas, y presentó cómo nuestro enfoque ESO, impulsado por Vectra AI, puede beneficiar a estas organizaciones. El seminario web también brindó la oportunidad de conocer cómo percibe la audiencia el panorama de las amenazas y su postura de seguridad, y de identificar sus puntos débiles comunes. En esta entrada de blog, compartimos los resultados del seminario web y analizamos las implicaciones de las conclusiones.
Aumento de las ciberamenazas contra infraestructuras críticas: ¿qué es lo que más preocupa?
Nuestro primer objetivo era determinar qué tipo de ataque preocupa más al público. Las amenazas que menos preocupan son los ataques de phishing y las amenazas internas, lo cual es interesante porque estos ataques suelen estar interconectados y no son fáciles de detectar por sí solos por las herramientas de seguridad. Por ejemplo, phishing puede utilizarse como método de acceso inicial, que puede conducir a una amenaza persistente avanzada (APT) que instale ransomware. Es importante señalar que las APT y las amenazas internas representan categorías de actores de amenazas, mientras que phishing y el ransomware son técnicas más relacionadas con los ataques. No obstante, el ransomware y las APT son los ataques que más preocupan: la mitad de los asistentes los mencionaron.
Otro punto fascinante es que estos ataques están relacionados entre sí, pero se perciben de forma diferente. Por ejemplo, las APT pueden utilizar ataques de phishing o incluso amenazas internas para obtener acceso inicial y pueden continuar con la instalación de ransomware como objetivo final. Sin embargo, las APT y el ransomware pueden percibirse como más amenazantes para las organizaciones debido a su mayor impacto. Además, evolucionan constantemente y pueden pasar desapercibidos fácilmente sin la visibilidad y las herramientas adecuadas. Esta es la razón por la que ESO está aprovechando la Inteligencia de Señales de AtaqueTM de Vectra AI, que se centra en el comportamiento de los ataques: detectar ataques desconocidos que se propagan a través del entorno y, por lo tanto, ser capaz de detectar tales amenazas y aliviar las preocupaciones. Al mismo tiempo, el triaje y la priorización impulsados por la IA permiten una menor sobrecarga de información y opciones de consolidación para que las herramientas se utilicen de forma más eficiente.
Siguiendo con el tema de los ciberataques, queríamos saber si nuestra audiencia había observado un aumento de la frecuencia de los ataques en el último año. La conclusión era evidente: muchas personas que trabajan en infraestructuras críticas han notado un aumento de las ciberamenazas dirigidas a su entorno. Aunque ser consciente de la evolución del panorama de las amenazas es esencial, no es suficiente. Las organizaciones también tienen que estar preparadas para enfrentarse realmente a estos retos, un tema que trataremos con más detalle más adelante en este blog.
Digitalización, personas y postura de seguridad: ¿en qué punto se encuentran las organizaciones?
Si nos fijamos tanto en la finalidad como en el motivo de los ciberataques, uno de los objetivos más frecuentes, a menudo alimentado por incentivos económicos, es interrumpir la continuidad de una organización. Las organizaciones más vulnerables a estos ataques suelen depender en gran medida de procesos digitalizados. Como tal, queríamos medir la dependencia de nuestra audiencia de la digitalización.
Descubrimos que la mayor parte de nuestro público depende de procesos de producción digitalizados. La digitalización es crucial tanto para las infraestructuras críticas como para las no críticas, especialmente a la luz del actual auge de la transformación digital. Reconocer los motivos de los ciberataques puede ayudar a las organizaciones a comprender mejor las posibles amenazas y a prepararse para ellas.
En KPMG y Vectra AI, hemos observado la importancia de la digitalización dentro de nuestra base de instalaciones de clientes. Esto nos llevó a investigar hasta qué punto toda la organización, y no solo la junta directiva, participa en la definición de la estrategia de seguridad. En el panorama actual, las TI y la ciberseguridad deben ser relevantes para todos los miembros de una organización, desde la junta directiva hasta los empleados individuales, y garantizar que las voces de los CISO y otros profesionales de la seguridad se escuchen y se tengan en cuenta en toda la organización.
Nuestras conclusiones revelan que el consejo de administración siempre participa en la definición de la estrategia de seguridad de las organizaciones de nuestros asistentes, aunque su grado de implicación varía. Sin embargo, en uno de cada tres casos, la participación del consejo en estas decisiones es limitada. La implicación del consejo en las decisiones de ciberseguridad se hace aún más crítica teniendo en cuenta las próximas normativas y directivas como NIS2, DORA. La ciberseguridad debe ser una prioridad absoluta tanto para el consejo como para los equipos de seguridad, a fin de garantizar un enfoque sólido y exhaustivo de la postura de seguridad de la organización.
Los próximos reglamentos y directivas ponen de relieve la necesidad de contar con estrategias y políticas de ciberseguridad exhaustivas. Esto sólo puede lograrse mediante la participación activa de toda la organización, incluida la junta directiva. Garantizar que el consejo participe plenamente en las decisiones de ciberseguridad ayudará a crear una postura de seguridad más sólida y a demostrar el cumplimiento de los requisitos normativos en evolución.
Por ello, cuando consideramos las posibles consecuencias de un ciberataque exitoso, como el ransomware, es crucial que la dirección de la organización aborde cuestiones clave, como: ¿Cuáles son los siguientes pasos tras un ataque? ¿Está dispuesta la organización a pagar el rescate? En caso afirmativo, ¿cuánto y quién está autorizado a negociar? ¿Cuánto riesgo está dispuesta a aceptar la organización y dónde está el límite?
Siguiendo con el tema de las personas, también nos preguntamos cómo ha cambiado la carga de trabajo de los profesionales de la seguridad y las TI en el último año y si esto ha afectado a la postura de seguridad de las organizaciones. La mayoría de los encuestados indicaron que la carga de trabajo de los profesionales de seguridad y TI había aumentado. Esto es preocupante, ya que el aumento de la carga de trabajo suele provocar lagunas en la seguridad y/o fatiga entre el personal. Sólo unas pocas organizaciones vieron que el nivel de carga de trabajo se mantenía más o menos igual, sin impacto en la postura de seguridad, y ninguna de ellas informó de una disminución.
El foco de las organizaciones debería estar en hacer más eficiente el trabajo del equipo de seguridad y, por tanto, disminuir la carga de trabajo, algo que no está ocurriendo en ninguno de estos casos. Nuestro objetivo con Vectra AI y ESO es hacer que los procesos de detección sean más eficaces y se centren en ahorrar tiempo y costes. Es importante que las organizaciones sepan en qué deben centrarse y qué cambios deben realizar en sus procesos para facilitar una mejor postura de seguridad, y eso es exactamente lo que estamos facilitando con nuestro enfoque de ESO".
Ante una ciberamenaza: ¿están preparadas las organizaciones?
Para ofrecer nuestro enfoque a las organizaciones, primero tenemos que conocer sus capacidades actuales. Para evaluar la postura general de seguridad de la audiencia, preguntamos por la eficacia de la organización a la hora de responder a las ciberamenazas con la pregunta: ¿Sabe hasta qué punto es eficaz su organización a la hora de responder a las ciberamenazas?
Teniendo en cuenta esta pregunta, observamos que las organizaciones que asistieron al seminario web reconocieron que puede haber lagunas en su capacidad para responder a determinados ataques. Esto es de esperar, ya que es difícil estar preparado para ataques desconocidos debido a la falta de visibilidad y a las lagunas en el entorno de una organización. Además, ninguno de los encuestados respondió que no estuviera preparado, lo que demuestra que todos son conscientes de las ciberamenazas y de la necesidad de disponer de medidas.
Sin embargo, pensar no es lo mismo que demostrarlo, lo que nos lleva a preguntarnos cómo cuantifican las organizaciones la eficacia de sus profesionales de seguridad en la gestión de las ciberamenazas.
Nuestra encuesta muestra que una de cada cuatro organizaciones no mide la eficacia de sus procesos en la gestión de las ciberamenazas, lo que significa que no pueden evaluar con precisión su postura en materia de seguridad. Se trata de un resultado desalentador, ya que corrobora nuestra idea de que pensar que uno es eficaz no significa que pueda respaldarlo con pruebas.
Por último, queríamos identificar cómo percibe la audiencia el cambio en el panorama de amenazas para las organizaciones de infraestructuras críticas en el último año. La audiencia comparte nuestra preocupación por los ataques a infraestructuras críticas y reconoce que representan un objetivo real para los ciberataques. Implícitamente, son conscientes de que deben estar preparados en caso de que se produzcan estos ataques, pero, como se ha demostrado anteriormente, esto no significa que lo estén.
Mejore su seguridad con ESO y Vectra AI
Al examinar todas las respuestas, observamos una tendencia general entre estas organizaciones que coincide con nuestras expectativas: aunque las organizaciones son conscientes de las amenazas a las que pueden enfrentarse, la mayoría reconoce que existen lagunas en su capacidad para responder a ellas. Además, aumentar la carga de trabajo de los profesionales de seguridad y TI parece ser un enfoque común, pero como se ha mencionado anteriormente, esto es en gran medida ineficaz y en la mayoría de los casos no conduce a una mejora de la postura de seguridad. De ahí que la pregunta sea: ¿cuál es la mejor manera de colmar estas lagunas?
Nuestro enfoque para abordar estos problemas es la Observabilidad Eficaz de la Seguridad (ESO). Como resultado de la ESO, las organizaciones obtienen la visibilidad adecuada de su entorno de TI y hacen que sus procesos sean más eficaces al saber en qué deben centrarse. Como tal, la plataforma Vectra AI encaja perfectamente en los objetivos de ESO con su Inteligencia de Señales de AtaqueTM (ASI) líder en la industria, diseñada para detectar amenazas que se escapan de las soluciones de seguridad tradicionales. Con la ASI de Vectra AI AI, ESO permite:
- Cobertura de la superficie de ataque: eliminación de amenazas desconocidas en cuatro de las cinco superficies de ataque ( Cloud, SaaS, identidad y redes) sin necesidad de agentes.
- Claridad con Attack Signal Intelligence - utilizando detección impulsada por IA para pensar como un atacante, triaje impulsado por IA para encontrar lo que es malicioso y priorización impulsada por IA para saber lo que es urgente.
- Control inteligente con operaciones impulsadas por IA: optimización de las inversiones de su organización en herramientas, procesos y guías para aumentar la eficiencia y la eficacia del SOC.
La implantación de la ESO en su organización requiere cinco pasos clave:
- Visión: conocer los requisitos de la empresa y definir la estrategia del SOC.
- Validar: definir el modelo operativo objetivo de la ESO y los requisitos tecnológicos.
- Construir - definir casos de uso, flujos de trabajo, arquitectura de soluciones e integraciones.
- Despliegue: implante la configuración tecnológica y las formas de trabajar en su organización.
- Evolucionar - darse cuenta del valor de la ESO, estableciendo un estado estable y una mejora continua.
En cuestión de días, obtendrá claridad sobre las amenazas a la seguridad en su entorno, con lo que estará mejor preparado para los ataques que amenazan su entorno, reduciendo la carga de trabajo del personal y cerrando sus brechas.