En este informe analizamos cómo está evolucionando el rol de los responsables de seguridad en las organizaciones para adaptarse a unos ciberataques cada vez más numerosos y sofisticados.
El papel del CISO en tiempos de creciente prevalencia y evolución de las ciberamenazas no es precisamente fácil de interpretar. La superficie de ataque de las empresas y organizaciones ha aumentado exponencialmente a medida que las redes empresariales y corporativas han pasado de estar principalmente en las instalaciones a estar implementadas en la nube. Al mismo tiempo, las redes corporativas se están deslocalizando cada vez más, ya que los empleados se conectan desde diferentes dispositivos y ubicaciones, utilizando diferentes herramientas e incluso credenciales.
Los recursos corporativos han pasado de estar protegidos (con mejor o peor suerte) “detrás” de firewalls, gateways o dispositivos de seguridad, a estar expuestos en nubes públicas y/o privadas que sustituyen o complementan a los despliegues on-premise tradicionales. Este cambio de topología ha permitido a las empresas beneficiarse de las virtudes del cloud computing en aspectos como la escalabilidad, el mantenimiento de equipos y aplicaciones (gestión de licencias, actualizaciones, etc.) y el ahorro de costes.
Sin embargo, estas ventajas van asociadas al aumento de la superficie de ataque mencionado anteriormente. Cuando hablamos de “superficie de ataque” nos referimos a todos aquellos puntos de entrada potenciales de los cibercriminales a los recursos corporativos de una empresa u organización con el objetivo de obtener datos, información o beneficios económicos a partir de prácticas como el ransomware.
Además, las herramientas que utilizan los cibercriminales para atacar a las empresas han pasado a adoptar un modelo similar al de las App Stores, pero centrado en ofrecer kits para ciberataques, prácticamente “as a Service”. El Ransomware as a Service, de hecho, es una de las tendencias para 2024 en materia de ciberseguridad.
En este escenario de aumento de la superficie de ataque, nos enfrentamos a distintos tipos de amenazas, tanto externas como internas. El CISO tiene que entender la naturaleza y el alcance de estas amenazas para poder tomar medidas preventivas o encaminadas a hacer frente a una amenaza en curso que pueda tener éxito.
Ataques desde el “exterior” de las organizaciones
Los ataques externos son los más similares a las amenazas tradicionales, excepto por la mayor diversidad y frecuencia con que estas amenazas pueden convertirse en realidad.
Se trata de ataques que aprovechan vulnerabilidades en el software de las aplicaciones o en los sistemas operativos y plataformas en los que se implementan las redes corporativas.
Hablamos del mencionado ransomware, así como de malware, malvertising, phishing o ataques DDoS. El problema para los CISO con este tipo de amenazas no radica solo en las amenazas en sí, sino en la enorme cantidad de alertas y avisos que generan en los sistemas tradicionales de gestión de vulnerabilidades.
En el pasado, era factible gestionar y abordar estas alertas de forma sistemática y organizada, pero el aumento de la superficie de ataque de las organizaciones hace necesario adoptar estrategias de gestión de amenazas de forma proactiva, en lugar de reactiva, y de forma continua y unificada.
Y las soluciones de seguridad tienen que adaptarse a estas necesidades. En concreto, en el caso de Outpost24 y según David García, Account Executive de Outpost24, la compañía está tendiendo hacia la adopción de la estrategia CTEM a través de su plataforma: “El objetivo es acabar con la diferenciación que hay ahora mismo en diferentes verticales de producto y que todo se base en una visión unificada.
De esta forma, las organizaciones pueden encontrar en empresas como Outpost24 un aliado a la hora de pasar de soluciones Open Source o herramientas de detección de vulnerabilidades de bajo coste o gratuitas, a otras más profesionalizadas y automatizadas que les permitan hacer frente a este aumento de ciberataques, así como al incremento de las superficies de ataque de las organizaciones.
Se espera que el costo asociado con el cibercrimen supere los 27 mil millones de dólares en 2027, en comparación con los 8,4 mil millones de dólares en 2022, según datos citados por Anne Neuberger, asesora adjunta de seguridad nacional de Estados Unidos para tecnologías cibernéticas y emergentes.
Ataques desde organizaciones “internas”
Los ataques desde dentro de las organizaciones también están aumentando como resultado de este cambio de topología en las redes corporativas, de ser locales a implementarse en mayor o menor medida en la nube, a medida que las aplicaciones y los recursos corporativos migran a modos de acceso “XaaS” y los empleados acceden a estos recursos desde una variedad más amplia de dispositivos y ubicaciones.
No es que los empleados tengan un interés personal en convertirse en cibercriminales. En algunos casos puede ser así, pero la mayoría de los ataques internos están asociados con cibercriminales que usurpan credenciales válidas y, en última instancia, obtienen acceso a los recursos corporativos.
Los ataques asociados a la ingeniería social van a aumentar debido a la aparición de la IA en sus métodos. Usurpar la identidad de un jefe de departamento delante de los empleados empieza a ser más fácil mediante la suplantación de voz, por ejemplo, con todo lo que ello conlleva en términos de posibles riesgos de seguridad para las empresas.
El CISO debe afrontar la realidad: la exposición a las amenazas de seguridad es continua y cambiante.
Este panorama de creciente prevalencia y frecuencia de los ciberataques implica que el papel del CISO debe cambiar. El CISO debe adoptar un papel más proactivo que reactivo ante la exposición continua a alertas y amenazas.
Esta exposición continua a las amenazas es incompatible con un rol tradicional de CISO, centrado en la reactividad. Además, los recursos humanos disponibles en los equipos de ciberseguridad, lejos de crecer, están sujetos a políticas de contención de la dirección, lo que complica la relación del CISO con el resto de miembros de los equipos directivos de las organizaciones.
“El CISO no se ve amenazado por una tendencia concreta como tal, sino que su rol dependerá de la estrategia de cada organización. Que la estrategia de un negocio decida externalizar un servicio o no dependerá de muchos intereses. Es cierto que en ciberseguridad muchas veces se opta por externalizar para no tener que destinar más presupuesto a recursos humanos propios para gestionar las tecnologías”, afirma García. En este sentido, contar con herramientas como las propuestas por Outpost24, que permiten a los CISO conocer, evaluar y priorizar las amenazas y la superficie de ataque de la empresa, dentro de una estrategia CTEM, es fundamental para optimizar los recursos.
CTEM, la estrategia que deberán adoptar los CISO para reducir la prevalencia de ciberataques en sus organizaciones
La respuesta a esta exposición continua y creciente a los ciberataques es CTEM, o Continuous Threat Exposure Management. En español, se trata de Continuous Threat Exposure Management. CTEM es la estrategia que, según predice Gartner, permitirá a las empresas y organizaciones reducir su vulnerabilidad a las brechas de seguridad hasta en un tercio para 2026.
El marco propuesto por Gartner para la implementación de estrategias CTEM ha influido profundamente en las organizaciones, así como en los proveedores de soluciones de seguridad, quienes están comenzando a ofrecer a los CISO las herramientas necesarias para acompañarlos en la adopción de una adecuada gestión continua de la exposición a las amenazas de ciberseguridad.
Los CISO deben adoptar una visión holística de las organizaciones y tener claramente definidos aspectos como la superficie de exposición a amenazas. También es necesario integrar los conocimientos de las herramientas tradicionales de gestión de vulnerabilidades, así como los de la monitorización externa de la superficie de ataque (EASM) o las herramientas de inteligencia de amenazas en una única estrategia de gestión de amenazas.
Con todo el conocimiento a su disposición, los CISO tienen que segmentar, clasificar y priorizar las amenazas, asignando los recursos disponibles en los equipos de ciberseguridad de las organizaciones a las tareas que tienen mayor prioridad.
Se está pasando de un modelo de gestión de amenazas cibernéticas de «fuerza bruta» a uno basado en inteligencia operativa destinada a proporcionar resiliencia cibernética a empresas y organizaciones a través de técnicas como la automatización de procesos y la optimización de los recursos técnicos y humanos disponibles.
Plataforma de Gestión de Exposición: la respuesta de Outpost24 para acompañar a los CISO en la adopción de una estrategia CTEM
Outpost24 es una compañía especializada en ofrecer a empresas y organizaciones las herramientas necesarias para mejorar su ciberresiliencia, en un momento en el que el aumento y diversificación de las amenazas y ciberataques han hecho que las estrategias tradicionales de ciberseguridad ya no sean operativamente válidas.
Outpost24 ofrece su Exposure Management Platform, que consolida en un único cuadro de mando la visión unificada de los activos de la empresa, la superficie de ataque y el contexto de amenazas. Este cuadro de mando se convierte así en el aliado del CISO en su nuevo rol como gestor de la ciberresiliencia de su organización.
Outpost24 ayuda en tareas tan críticas como la priorización de las vulnerabilidades a través de los Indicadores Clave de Riesgo (KRI) para asignar recursos a su gestión proporcionales a dicha prioridad. La integración de herramientas EASM o Threat Intelligence proporciona los datos necesarios para convertirlos en la inteligencia operativa que requiere la estrategia CTEM.
Además, Outpost24 ayuda a dimensionar el alcance de las amenazas, descubrir vulnerabilidades, validar los riesgos y movilizar equipos de ciberseguridad para hacer frente a las amenazas. Estos cuatro puntos complementan la priorización dentro de la estrategia CTEM.
Estos datos cubren la superficie de ataque asociada con la infraestructura de red, las aplicaciones y las interacciones de los usuarios. Este cambio de paradigma en la gestión de la seguridad también permite a los CISO comunicarse de manera más eficaz y comprensible con los ejecutivos de la empresa y la organización sobre las necesidades de ciberseguridad.
No menos importante es la capacidad de las herramientas de ciberseguridad para adaptarse a las peculiaridades y procesos de negocio de cada organización.
Según García, una herramienta de ciberseguridad tiene que operar acorde “no sólo a las prácticas tradicionales basadas en estándares de ciberseguridad o determinados marcos regulatorios, sino también acorde a las características específicas de cada negocio”.
Entre todas las cualidades que las empresas necesitan desarrollar, la ciberresiliencia es una cualidad que aún tiene un largo camino por recorrer para convertirse en algo habitual. CTEM es la estrategia acuñada por Gartner hace apenas un año, que abre el camino para que las organizaciones trabajen en esta cualidad más allá de los enfoques tradicionales de los departamentos de ciberseguridad basados en la reacción a amenazas y ataques en lugar de la proactividad y la inteligencia.
En los siguientes artículos nos centraremos en los diferentes tipos de amenazas y cómo afrontarlas desde la perspectiva de una estrategia CTEM, apoyados en una herramienta como Outpost 24.NetMedia.Para Europa. Traducido al español
Contacto