Seleccionar página

Cuando oímos hablar de Transformación Digital pensamos en la oportunidad de innovar y en la posibilidad de hacer crecer nuestra organización en un nuevo entorno, pero en este proceso la seguridad tiene un importante peso y se ha de tener en cuenta si no se quiere fracasar en el intento. Hasta hace muy poco la Ciberseguridad de las empresas se basaba en la securización y protección del perímetro mediante la integración de diversas soluciones de seguridad como Firewalls, WAFS o IDPs, pero con la introducción de este nuevo concepto, el uso cada vez más extensivo de las tecnologías de la información, el Cloud Computing, el uso de dispositivos personales para el trabajo (BYODs) y la incorporación de los Mileniums al mercado laboral, el perímetro de seguridad como lo conocimos deja de existir. Debemos analizar los nuevos riesgos asociados a la Digitalización, no solo al uso de las tecnologías que conlleva este proceso sino también desde el punto de vista del personal y de la información afectada. No bastará con analizar los riesgos derivados del uso (durante), sino  también el antes y la finalización, sobre todo, si éste está basado en sistemas Cloud no dependientes de nuestro departamento TI.

ALTRAN, ha identificado y clasificado los riesgos más frecuentes derivados de este proceso de transformación, centrándose sobre todo en las posibles contramedidas que se puedan aplicar para poder mitigarlos. Estas contramedidas se han valorado desde el punto de vista predictivo, preventivo, de detección y respuesta, cubriendo así las diferentes opciones de seguridad existentes que una organización pueda adoptar en función de su realidad y de la criticidad de los riesgos a tratar.

Antecedentes, contexto y tendencias de la transformación digital

En la actualidad más del 50 % de las empresas y organizaciones disponen de una estrategia Digital corporativa que les permitirá competir en este nuevo entorno digital. Aquellas empresas que no se adapten a esta tendencia muy probablemente desaparecerán a medio plazo. Ya existen antecedentes al respecto de empresas que no supieron adaptarse y que acabaron desapareciendo o perdiendo gran parte de su negocio; quién no recuerda casos como el de Blockbuster, donde la piratería y el P2P acabaron con su negocio, o Kodak, líder en carretes fotográficos, que la aparición de la cámara digital acabó con gran parte de su negocio. Alrededor del 50% de las compañías listadas en el fortune 500 en el año 1990 ya no aparecían diez años después. Está claro, innova o desapareces.

Transformación digital

Las empresas, actualmente enfocadas en la creación de nuevos servicios o en inventar productos, dejan atrás las grandes inversiones en optimizar sus procesos de negocio, que ya se mejoraron en un 80% en el pasado y cuyos esfuerzos para mejorar el 20% restante superaría con creces al beneficio esperado. Dentro de este escenario, ¿qué está pasando en el ámbito de la Ciberseguridad? El aumento continuo de las vulnerabilidades, a ritmo de un 20% por año, hacen de la Ciberseguridad una de las tendencias clave en el ámbito TI. Las empresas llevan años invirtiendo en infraestructura de seguridad centrándose en la securizacion del perímetro y en el puesto de trabajo, y ahora estos pasos ya están superados y es hora de pasar a la acción.

Sólo en el 2016 se prevé un aumento en inversiones de un 60% orientadas claramente a la detección y respuesta rápida de incidentes de seguridad. La transformación digital trae de forma inherente riesgos difíciles de abordar por el CISO de una organización que contempla la introducción masiva de tecnologías “autónomas” dentro de su organización sobre las que sin embargo difícilmente podrá aplicar políticas de seguridad corporativas. La imposibilidad de conocer las diversas tecnologías implantadas y de tener técnicos especializados junto a los nuevos marcos legislativos o la posibilidad de monitorizar las nuevas soluciones, serán retos que el CISO tendrá que superar en los próximos años. Los servicios “clásicos” de consultoría y auditoria de seguridad de la información deberán ser complementados con nuevas soluciones para que éstas tengan  la efectividad esperada. Sin duda, la Transformación Digital empresarial pondrá a prueba a los departamentos de seguridad corporativa, que se enfrentan no solo a un cambio tecnológico sino de filosofía empresarial.

El nuevo modelo de seguridad en la transformación digital

Hasta ahora las organizaciones centraban su estrategia de seguridad en la prevención, instalando dispositivos o software que evitaran una posible infección o ataque, dedicándole un 90% del total de sus inversiones, mientras que el 10 % restante quedaba para la respuesta en caso de incidente. Este modelo deja de ser válido en el momento en que nuestra organización se ve inmersa en un proceso de Transformación Digital. Los datos (Redes sociales, BIG DATA y Analítica), las aplicaciones (CLOUD) incluso los dispositivos (BYOD o IoT) ya no están bajo el perímetro de la empresa y por tanto la estrategia de seguridad actual será ineficiente tal y como estaba enfocada. El responsable de seguridad deberá poner foco en la detección y respuesta de incidentes de seguridad, centrándose sobre todo en la protección del dato y empezar a olvidarse de la securizacion de las infraestructuras ya que éstas, en cierto modo, ya no dependen directamente del departamento TI de la organización y por tanto su capacidad de acción se reduce notablemente. Con este nuevo enfoque, lejos de securizar la infraestructura, nos preparamos para responder de forma eficaz a un posible incidente de seguridad.

 Pero ¿cómo centrarse en los datos? ¿Por dónde empezar?

Aceptando el reto, los riesgos de seguridad en la transformación digital

Considerando, como se ha mencionado anteriormente, que la Ciberseguridad debe ser uno de los pilares a tener en cuenta si queremos tener éxito, ALTRAN ha clasificado los 5 riesgos de seguridad más importantes y frecuentes en esta nueva era digital.

 Sin duda, uno de los retos iniciales será identificar dónde y qué información existe, ya que la mayoría de datos será información informal y desconocida por la organización. Además, la constante  aparición de nuevos players y soluciones dificultará sin duda obtener esta información.

Para poder definir correctamente el modelo de seguridad y asegurar la información de forma correcta, debemos crear un mapa de la información teniendo en cuenta:

  • Dónde está y cómo se accede a la información de la empresa, (sistemas clouds, redes sociales, herramientas colaborativas, etc.)
  • Requerimientos de seguridad de los datos como podrían ser los requerimientos de acceso (público, restringido, etc.)

Toda esta información nos permitirá analizar las posibles amenazas derivadas del uso de estas “nuevas” tecnologías y por tanto seleccionar los controles de seguridad requeridos y adecuados, siempre que esto sea posible.

Cumplimiento

El cumplimiento legal será uno de los riesgos a tener en cuenta en el uso de servicios e Infraestructura Cloud. En concreto deberían tenerse en cuenta leyes de protección de datos, leyes de privacidad o incluso leyes por violaciones de seguridad por divulgación. Desde el punto de vista de la Ley orgánica de protección de datos (LOPD) se ha de tener en cuenta que la contratación de este tipo de servicio no excluye de responsabilidades legales a la empresa contratante que será siempre responsable del tratamiento.

En general, para asegurar el cumplimiento legal hay tres aspectos comunes a tener en cuenta para la contratación de estos servicios:

  • La localización (país) de los datos, ya que se ha de asegurar unas garantías exigibles de protección de los datos.
  • La portabilidad de los datos. El servicio contratado debe garantizar poderse llevar los datos en un momento determinado y el proveedor estará obligado a entregar toda la información y a destruirla en sus sistemas si así lo pide el cliente.
  • La dificultad de poder ejercer los derechos (ARCO) o tener información de quién, cuándo o dónde han accedido a unos datos es uno de los riesgos a tratar. Por tanto, tener un contrato donde nos reservemos el derecho a auditoria puede ser una buena práctica a tener en cuenta.

End Points (BYOD)

El uso de dispositivos personales (BYOD)  para el acceso a información empresarial, es cada vez más frecuente e imparable. Controlar la seguridad de  estos dispositivos es inviable ya que, no son propiedad de la empresa, lo que implica que instalar un software de gestión (MDM) en ellos sea imposible por la posible negación del propietario a que la empresa instale nada en su dispositivo.

Para disminuir el riesgo derivado del uso de estos terminales, deberemos centrarnos en securizar los accesos y no los terminales,  una vez más deberemos hacer foco en la detección y respuesta, sobre todo cuando la información no está centralizada.

El uso de sistemas basados en control de accesos (NAC) y de prevención de pérdida de datos (DLP) ayudará a garantizar el cumplimiento de la política de seguridad previamente establecida en la organización, sobre todo si la información aún está dentro de su perímetro.

Gestión y análisis de incidentes

La capacidad de respuesta en caso de incidente de seguridad va a ser uno de nuestros retos más importantes a tener en cuenta en esta nueva era digital. Identificar y clasificar  las incidencias no va a ser tarea fácil cuando la información que tendremos para el análisis de las mismas, en muchos casos, será limitada y difícil de conseguir. También nuestra capacidad y tiempo de respuesta será mucho menor al no gestionar directamente la infraestructura TI.

Adaptar nuestros equipos de seguridad a este nuevo modelo TI y formarlos en metodología y tecnología Forense  disminuirá el riesgo y nos asegurará un correcto análisis y una gestión optima de las incidencias.

Además la empresa deberá asegurarse mediante  contrato de que los proveedores de infraestructuras les darán la información necesaria para el análisis de incidentes y que actuarán eficientemente en caso de sufrirlos.

Seguridad de los datos

Los Clouds Services Providers (CSPs) son actualmente objetivos de ataques dirigidos para obtener la información de los sistemas allí hospedados. Deberemos asegurar que estos implanten mecanismos de seguridad, adicionales a los tradicionales, orientados al comportamiento del usuario, por ejemplo:

  • Acceso desde IPs de países donde mi organización no disponga de presencia.
  • Acceso de IPs pertenecientes a listas negras o botnets.
  • Comportamiento diferente al habitual por parte de un usuario (pj. idioma seleccionado diferente al habitual). 
  • Intentos de uso de cuentas de usuario antiguas e inactivas.
  • Uso de sistemas obsoletos para el acceso a la información (navegadores antiguos, Sistemas operativos inseguros, etc.)
  • Intentos de acceso con cuentas administrativas.
  • Volúmenes de transferencias de datos por parte de un usuario.

La solución, CASB (Cloud Access Security Brokers)

Controlar los datos on-premise y en cloud es una tarea complicada si se piensa en sistemas tradicionales. Para resolver la problemática de gestionar los riesgos asociados a la Transformación Digital nace un nuevo concepto CASB (Cloud Access Security Brokers), son sistemas software o hardware que funcionan en modo proxy y permiten tener control de la información tanto en empresas que funcionen en modalidad onpremise como en Cloud.

Transformación digital

CASB se centra en controlar la política de seguridad corporativa de aquellas organizaciones que quieren extender la seguridad a sistemas cloud. Estos “nuevos” players de seguridad aparecen debido  no solo a la necesidad actual sino a la futura:

  • En el 2018 el 50% de las aplicaciones corporativas estarán en la nube.
  • El 25% del gasto en tecnologías de la información ya es externo al departamento TI.
  • Según Gartner el 95% de las grandes compañías utilizara un sistema CASB en el 2020.

Sin duda los CASB, serán tendencia durante los próximos años y así lo entienden los grandes fabricantes:

  • Cisco adquiere CloudLock (ww.cloudlock.com)
  • Blue Coat compra Perspecsys
  • Microsoft adquiere Adallon
  • Acuerdo entre Deloitte y Bitglass
  • Palo Alto adquiere Cirrosecure
  • Acuerdo de Imperva con Websense

La mayoría de los servicios CASB, cubren todos los riesgos derivados de la Transformación Digital, pero además aportan funcionalidades de gran valor:

  • Visibilidad total del comportamiento del usuario y de los datos
  • Capacidad de reputación digital
  • Protección de los datos (DLP)
  • Aseguramiento del cumplimiento legislativo
  • Detección de vulnerabilidades y amenazas
  • Control de acceso de los usuarios
  • Análisis Forense y detección de incidentes

Sin duda, todas las organizaciones que estén inmersas en la Transformación Digital deberán analizar la posibilidad de usar un servicio CASB.

Manel Cantos

Manel Cantos

Solution Manager Ciberseguridad

Quizá también te interese…

Quizá también te interese…

Innovar Altran

 

¿Te apuntas a innovar con nosotros?

Estamos en búsqueda constante de talento. Envíanos tu currículum para convertirte en un Innovation Maker

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.más información

ACEPTAR
Aviso de cookies

Pin It on Pinterest

Share This