El Internet de las cosas va a cambiarlo todo en lo que respecta a la ciberseguridad

Paul Taylor/Getty Images

La ciberseguridad puede provocar migrañas organizativas. En 2016, infracciones coste empresa casi 4 000 millones de dólares y expuso una media de 24 000 registros por incidente. En 2017, el número de infracciones es anticipado aumentará un 36%. El ritmo constante de las amenazas y los ataques se está haciendo tan popular que las empresas esperado invertirá más de 93 000 millones de dólares en ciberdefensas de aquí a 2018. Incluso el Congreso está actuando más rápido para aprobar leyes que, con suerte, mejoren la situación.

A pesar del aumento del gasto y la innovación en el mercado de la ciberseguridad, todo indica que la situación no hará más que empeorar. La cantidad de dispositivos no gestionados que se introducen en las redes a diario aumenta en órdenes de magnitud, con Gartner pronosticando que se utilizarán 20 000 millones en 2020. Las soluciones de seguridad tradicionales no serán eficaces para abordar estos dispositivos ni para protegerlos de los piratas informáticos, lo que debería ser una señal de alerta, ya que los ataques a los dispositivos de la IoT estaban aumentando 280% en la primera parte de 2017. De hecho, Gartner anticipa que un tercio de todos los ataques se dirigirán a la TI clandestina y al IoT de aquí a 2020.

Este nuevo panorama de amenazas está cambiando las reglas del juego de la seguridad. Los ejecutivos que se preparan para afrontar los futuros desafíos de ciberseguridad con la misma mentalidad y las mismas herramientas que han estado utilizando desde el principio se preparan para un fracaso continuo.

La falsa panacea de la formación en seguridad

Hay mucho debate sobre la eficacia de la formación en seguridad y sensibilización, que se centra en las creencias contrapuestas de que los seres humanos pueden ser el eslabón más eficaz o el más débil de las cadenas de seguridad. Sin embargo, no se puede negar que en la era del aumento de los ataques de ingeniería social y del uso no gestionado de los dispositivos, confiar en una estrategia basada en humanos es, en el mejor de los casos, cuestionable. Esta afirmación se corrobora aún más si tenemos en cuenta los informes recientes publicados por proveedores de seguridad como PhishMe mostrando que el 80% de los empleados que han completado la formación siguen siendo susceptibles de ser objeto de suplantación de identidad.

Solo fue necesario hacer clic en un enlace que llevó a la descarga de cepas de malware como WannaCry y Petya para desencadenar una cascada de eventos de ciberseguridad mundiales. Esto por sí solo debería tomarse como una prueba absoluta de que los humanos siempre representarán la parte más débil de las defensas corporativas.

La conectividad primero, la seguridad después

Hoy en día, los empleados utilizan los dispositivos conectados para impulsar la actividad final. Su utilidad y comodidad están haciendo que los dispositivos de IoT se hagan un hueco en la empresa, en oficinas corporativas, hospitales, centrales eléctricas, instalaciones de fabricación y más. Hace poco descubrimos que el 82 por ciento de nuestros clientes empresariales utilizan Amazon Echos, que casi siempre están en la oficina de un ejecutivo. Estos dispositivos, diseñados para escuchar y transmitir información, pueden aumentar la productividad, pero también implican riesgos no cuantificables. Nuestra propia investigación demostró recientemente que el Amazon Echo es susceptible a los ataques aéreos. Amazon ha reparado las vulnerabilidades, pero este hallazgo demuestra la facilidad con la que un dispositivo comprometido puede provocar la filtración de información confidencial.

Centro Insight

• El elemento humano de la ciberseguridad

  Patrocinado por Varonis

  Refuerce la primera línea de defensa de su empresa.

Los dispositivos conectados proliferan a un ritmo que los departamentos de TI y los equipos de seguridad no pueden seguir el ritmo. Se fabrican con poca supervisión o control reglamentario y todos están habilitados para Wi-Fi y Bluetooth; están diseñados para conectarse de forma inmediata. Los introducen en los entornos corporativos usuarios individuales que no tienen conocimientos o experiencia reales en seguridad, lo cual es un riesgo. Puede que los usuarios tengan en cuenta sus objetivos de productividad, pero simplemente no hay manera de que pueda confiar en que los empleados los utilicen dentro de las normas de seguridad aceptables. Los programas de formación y sensibilización sobre la IoT ciertamente no servirán de nada, entonces, ¿cuál es la respuesta?

Reformular la relación entre las personas y la seguridad

Es hora de aliviar a su personal (empleados, socios, clientes, etc.) de la carga de ciberseguridad. Puede que sea prudente y obligatorio que continúe con los programas de sensibilización, pero tendrá que confiar más en las tecnologías inteligentes y en la automatización si quiere tener alguna posibilidad de éxito.

Eliminar el riesgo humano significa reposicionar su forma de pensar en la relación entre los empleados, los dispositivos conectados y las ciberdefensas corporativas en general. Debe aceptar que el IoT y otros problemas de seguridad no son problemas de interacción de los usuarios, son problemas de interacción entre dispositivos y sistemas. La naturaleza altamente conectada de los dispositivos de IoT significa que están en comunicación constante, son capaces de propagar malware y son capaces de saltar de un sistema a otro sin interacción humana, todo ello fuera del alcance de las soluciones de seguridad actuales. Las amenazas a la seguridad se acumulan en contra de su gente en el trabajo: los empleados son todavía ser víctima de correos electrónicos de suplantación de identidad automatizados y las organizaciones con un amplio número de analistas de seguridad simplemente no pueden gestionar el volumen de vulnerabilidades presentes en los nuevos dispositivos y software conectados. Y nuevos vectores de ataque de la IoT, como Borne azul y KRACK que evitan a los humanos para infectar dispositivos y redes están apareciendo más rápido de lo que se puede abordar.

Un sistema de ciberseguridad inteligente

Para gestionar la seguridad hoy en día, sus sistemas deben ser inteligentes y poder funcionar sin supervisión humana, y saber cuándo y cómo tomar medidas proactivas o defensivas.

En lo que respecta a los dispositivos conectados, las enormes cifras que se utilizarán en las empresas imposibilitan que las personas por sí solas, o que los equipos de TI y seguridad con poco personal, identifiquen y detengan manualmente las actividades de riesgo. Para identificar los dispositivos y los patrones de comportamiento que representan una amenaza, su sistema de seguridad de IoT debe ser lo suficientemente inteligente como para detectar todos los dispositivos conectados y las vulnerabilidades que introducen, aprobar y denegar el acceso a las redes y aprender de las condiciones en constante evolución para ser más eficaz con el tiempo.

Los productos inteligentes aprenden los patrones de actividad segura e insegura en los dispositivos conectados, algo imposible de distinguir con solo mirar un teléfono, un altavoz o una cámara web. He visto tabletas comprometidas transmitiendo vídeo desde una sala de juntas a un lugar no revelado. El tablet no mostró señales de estar en peligro y las soluciones de seguridad tradicionales existentes no reconocían esta actividad. Solo identificando su comportamiento y sus patrones de tráfico pudimos ver el riesgo. Un sistema inteligente podría identificar inmediatamente ese comportamiento de tráfico sospechoso.

Por último, un sistema inteligente puede tomar medidas. Una vez que el sistema aprenda a identificar comportamientos sospechosos, podrá impedir inmediatamente que un dispositivo se utilice con fines malintencionados. Por ejemplo, podría detener por completo un ataque de botnet, impedir que se conecte a otros dispositivos o limitar el daño que puede causar. Poder controlar un dispositivo conectado es la diferencia entre que un dispositivo se infecte y que se apodere de toda la red.

Lo mismo ocurre con las tecnologías de seguridad diseñadas para defenderse de otras amenazas. Las tecnologías antisuplantación de identidad que no pueden identificar ni bloquear los ataques por sí solas son básicamente desastres a punto de ocurrir. Los procesos de parcheo manual también tienen poco valor.

La nueva realidad

Los ataques llegan a las empresas desde todos los ángulos y a través de todos los canales, y el IoT crea una superficie de ataque significativamente mayor. Los ejecutivos son responsables del rendimiento, o mejor dicho, de la falta de rendimiento de la seguridad, y las empresas se enfrentarán a una serie de consecuencias, desde el daño a la marca hasta los costes de recuperación y la pérdida de clientes ante las infracciones. Hay más en juego que nunca para proteger sus sistemas y redes, y la nueva realidad de la IoT complica aún más las cosas. Las soluciones en las que hemos confiado en el pasado, como la formación de los empleados, no mitigarán el enorme desafío de seguridad al que se enfrentan las empresas. El alcance de la IoT es demasiado complejo para que los equipos de seguridad tradicionales lo gestionen con soluciones antiguas. Es hora de sacar a la gente del debate y avanzar hacia un futuro más inteligente y seguro.