La ciberseguridad puede causar dolores de cabeza organizacionales. En 2016, las brechas de seguridad le costaron a las empresas casi $ 4 mil millones y expusieron un promedio de 24,000 registros por incidente. En 2017, se prevé que el número de brechas aumente en un 36%. La constante de amenazas y ataques se está volviendo tan generalizado que se espera que las empresas inviertan más de $ 93 mil millones en ciberseguridad para 2018. Incluso el Congreso está actuando más rápidamente para aprobar leyes que, con un poco de suerte, mejorarán la situación.
A pesar del aumento del gasto y la innovación en el mercado de seguridad cibernética, todo apunta a que la situación empeorará. El número de dispositivos no administrados que se introducen en las redes diariamente aumenta velozmente, y Gartner prevé que habrá 20 billones en uso para el 2020. Las soluciones de seguridad tradicionales no serán efectivas para abordar estos dispositivos o para protegerlos de los piratas informáticos, que deberían ser una bandera roja, ya que los ataques a dispositivos IoT aumentaron un 280% en la primera parte de 2017. De hecho, Gartner anticipa que un tercio de todos los ataques se dirigirán a dispositivos/ aplicaciones de “shadow IT” y IoT para el 2020.
Este nuevo panorama de amenazas está cambiando el juego de seguridad. Los ejecutivos que se preparan para manejar los futuros desafíos de seguridad cibernética con la misma mentalidad y las mismas herramientas que han estado usando todo el tiempo se están preparando para fallar continuamente en el futuro.
La falsa panacea del entrenamiento de seguridad
Existe un gran debate sobre la efectividad de la capacitación en seguridad y concienciación, centrada en creencias contrapuestas de que los humanos pueden ser los eslabones más efectivos o más débiles en las cadenas de seguridad. No se puede negar, sin embargo, que en la era del aumento de los ataques de ingeniería social y el uso no controlado de dispositivos, la confianza en una estrategia basada en el ser humano es, en el mejor de los casos, cuestionable. Esta afirmación se corrobora aún más cuando considera informes recientes presentados por proveedores de seguridad como PhishMe que muestran que el 80% de los empleados que completaron la capacitación aún son susceptibles de ser víctimas del phishing.
Sólo hizo falta un clic en un enlace que condujo a la descarga de cepas de malware como WannaCry y Petya para desencadenar eventos de ciberseguridad global en cascada. Esto sólo debe tomarse como una prueba absoluta de que los humanos siempre representarán la parte más vulnerable de las defensas corporativas.
Conectividad primero, seguridad segunda
En la actualidad, los empleados utilizan los dispositivos conectados para impulsar la actividad final. Su utilidad y conveniencia están dando a los dispositivos IoT un punto de apoyo en la empresa: en oficinas corporativas, hospitales, plantas de energía, instalaciones de fabricación y más. Recientemente descubrimos que el 82 por ciento de nuestros clientes empresariales utilizan Amazon Echos, que casi siempre están en la oficina de un ejecutivo. Estos dispositivos, diseñados para escuchar y transmitir información, pueden conducir a una mayor productividad, pero también introducen riesgos no cuantificables. Nuestra propia investigación demostró recientemente que Amazon Echo es susceptible a los ataques aéreos. Amazon ha corregido las vulnerabilidades, pero este hallazgo demuestra cuán fácilmente un dispositivo comprometido puede conducir a la filtración de información confidencial.
Los dispositivos conectados proliferan a un ritmo que los departamentos de TI y los equipos de seguridad no pueden seguir. Se fabrican con poca supervisión o control regulatorio, y están habilitados para Wi-Fi y Bluetooth; diseñado para conectarse de inmediato. Se introducen en entornos corporativos por usuarios individuales que no tienen conocimiento o experiencia real en seguridad, lo cual es un riesgo. Los usuarios pueden tener objetivos de productividad en mente, pero simplemente no hay manera de que pueda confiar en que los empleados los usen dentro de pautas de seguridad aceptables. Los programas de capacitación y concientización de IoT ciertamente no harán nada para ayudar, ¿cuál es la respuesta?
Reformulando la relación humano-seguridad
Es hora de aliviar a su gente (empleados, socios, clientes, etc.) de la carga de ciberseguridad. Puede ser prudente y necesario que continúe con los programas de concientización, pero tendrá que confiar más en las tecnologías inteligentes y la automatización si espera tener alguna posibilidad de éxito.
Eliminar el riesgo humano significa reposicionar la forma en que piensas de la relación entre los empleados, los dispositivos conectados y las defensas cibernéticas corporativas generales. Debe aceptar que IoT y otros problemas de seguridad no son problemas de interacción del usuario; son problemas de interacción entre el dispositivo y el sistema. La naturaleza altamente conectada de los dispositivos IoT significa que están constantemente en comunicación, capaces de propagar malware y capaces de saltar de un sistema a otro sin interacción humana, todo más allá del alcance de las soluciones de seguridad actuales. Las amenazas de seguridad se acumulan contra su personal en el trabajo: los empleados siguen siendo víctimas de los correos electrónicos de phishing automatizados y las organizaciones con amplios analistas de seguridad simplemente no pueden administrar el volumen de vulnerabilidades presentes en los nuevos dispositivos y software conectados. Y, nuevos vectores de ataque IoT como BlueBorne y KRACK que trabajan alrededor de humanos para infectar dispositivos y redes están apareciendo más rápido de lo que se pueden abordar.
Un sistema inteligente de ciberseguridad
Para administrar la seguridad hoy, sus sistemas deben ser inteligentes y capaces de funcionar sin supervisión humana, sabiendo cuándo y cómo tomar medidas preventivas o defensivas.
Cuando se trata de dispositivos conectados, los números masivos que se utilizarán en las empresas hacen que sea imposible para las personas por sí mismas, o para los equipos de TI y de seguridad con poca personal, identificar manualmente y detener la actividad arriesgada. Para identificar los dispositivos y los patrones de comportamiento que representan una amenaza, el sistema de seguridad de la IO debe ser lo suficientemente inteligente como para detectar todos los dispositivos conectados y las vulnerabilidades que se introducen, aprobar y denegar el acceso a las redes, y aprender de constante evolución de las condiciones para ser más eficaz en el tiempo.
Los productos inteligentes aprenden patrones de actividad segura e insegura en los dispositivos conectados, algo imposible de decir solo mirando un teléfono, un altavoz o una cámara web. He visto tabletas comprometidas que transmiten video desde una sala de juntas a una ubicación no divulgada. La tableta no mostró signos de compromiso y esta actividad no fue reconocida por las soluciones de seguridad tradicionales en el lugar. Solo al identificar su comportamiento y patrones de tráfico pudimos ver el riesgo. Un sistema inteligente podría identificar ese comportamiento de tráfico sospechoso inmediatamente.
Por último, un sistema inteligente puede tomar medidas. Una vez que el sistema haya aprendido a identificar comportamientos sospechosos, puede detener inmediatamente la utilización de un dispositivo con fines maliciosos. Por ejemplo, podría cerrar completamente un ataque de botnet, evitando que se conecte a otros dispositivos, o limitando el daño que puede hacer. Poder controlar un dispositivo conectado es la diferencia entre que un dispositivo se infecte y toda su red se haga cargo.
Lo mismo es cierto para las tecnologías de seguridad diseñadas para defenderse contra otras amenazas. Las tecnologías antiphishing que no pueden identificar y bloquear los ataques por sí mismas son básicamente desastres que están por ocurrir. Los procesos de parches manuales también son de poco valor.
La nueva realidad
Los ataques se producen en empresas desde todos los ángulos y a través de todos los canales, con IoT creando una superficie de ataque significativamente más grande. Los ejecutivos son responsables del rendimiento, o más bien, de la falta de rendimiento de la seguridad, y las empresas se enfrentarán a una serie de consecuencias, desde el daño de la marca hasta los costos de recuperación y la pérdida de clientes frente a las infracciones. Lo que está en juego es más importante que nunca para asegurar sus sistemas y redes, y la nueva realidad de IoT complica aún más las cosas. Las soluciones en las que hemos confiado en el pasado, como la capacitación de empleados, no mitigarán el enorme desafío de seguridad que enfrentan las empresas. El alcance de IoT es demasiado complejo para que los equipos de seguridad tradicionales se administren con soluciones heredadas. Es hora de sacar a las personas de la discusión y avanzar hacia un futuro más inteligente y seguro.
Por: Yevgeny Dibrov- Harvard Business Review
Fuente: https://hbr.org/2017/12/the-internet-of-things-is-going-to-change-everything-about-cybersecurity