Seguridad informática: inteligencia estratégica en lugar de volar a ciegas
Ante el rápido aumento de la complejidad, la avalancha de palabras de moda y las soluciones supuestamente universales, esto a menudo se convierte en volar a ciegas, con las empresas descuidando las medidas de seguridad más básicas. Ralf Kempf y Raphael Kelbert, directores de Pathlock, especialista líder en seguridad informática y GRC, explican por qué la IA y la nube tienen una importancia secundaria mientras no se cubran una seguridad y una supervisión básicas sólidas. Y muestran cómo la IA permite entonces un salto dimensional en la seguridad de SAP.
Revista E3: Hola, Ralf Kempf, como director general de Pathlock Alemania, ¿tiene usted un status quo de la seguridad informática para nosotros? ¿Qué moverá el mercado en 2024?
Ralf Kempf, Director General de Pathlock Alemania: Creo que una reciente encuesta realizada a más de 150 empresas usuarias alemanas es reveladora: no es sorprendente que la mayoría espere que los ciberataques sean más frecuentes y más peligrosos en 2024. El hecho de que más de la mitad de ellas vean la necesidad de mejorar para poder reaccionar con rapidez y seguir siendo operativas también muestra una cierta toma de conciencia. Sin embargo, lo sorprendente es que, según nuestra experiencia, esta toma de conciencia apenas se traduce en una priorización de la seguridad informática en la empresa, y mucho menos en medidas recomendadas con urgencia. Nuestra impresión es que las empresas simplemente están abrumadas y no saben cómo ni por dónde empezar cuando se trata de afrontar los retos de sistemas informáticos complejos y entornos híbridos SAP/no SAP.
Revista E3: Raphael Kelbert, ¿cuáles cree que son las causas?
Raphael Kelbert, Jefe de Producto de Detección de Amenazas, Pathlock AlemaniaEn última instancia, esto se debe a menudo a la falta de experiencia interna para satisfacer unos requisitos tan masivos y en constante cambio. Cuando oímos que más de dos tercios admiten que no han implantado una solución de seguridad holística, es sencillamente preocupante y demuestra que aún no se han hecho los deberes. Y esto sin tener en cuenta los graves requisitos de la nueva Directiva NIS 2 para las empresas críticas y su cadena de suministro.
Revista E3: Ya hablaremos de NIS-2 más adelante. Pero, ¿a qué "deberes" se refiere?
Kempf: Pues bien, en el primer puesto de la lista se encuentra sin duda el logro de la transparencia. Aunque los panoramas de sistemas ERP son un elemento central de muchas empresas, a menudo desconocen cuántos sistemas SAP, Oracle u otros sistemas ERP están realmente en uso. Por regla general, se tienen en cuenta los sistemas productivos, pero rara vez se consideran los sistemas supuestamente no críticos, como los de desarrollo, control de calidad o formación. Tampoco es infrecuente que los sistemas heredados formen un auténtico sistema informático en la sombra con distintas versiones y configuraciones desconocidas, algunos de los cuales contienen datos muy sensibles pero llevan años sin parchear como sistemas inactivos.
KelbertE incluso los sistemas productivos a menudo permanecen sin parches porque participan en procesos esenciales para la empresa que no permiten ventanas de mantenimiento para actualizaciones exhaustivas. Paradójicamente, esto significa que los sistemas más importantes también tienen el mayor riesgo de ataque. Además, a menudo faltan recursos humanos para establecer una protección adecuada. Se trata de un juego peligroso, ya que un ataque a esta pieza central de la empresa no sólo pone en peligro la protección de los datos, la continuidad de la actividad y la reputación, sino que puede amenazar la propia existencia de la empresa. Estos retos sólo podrán superarse en el futuro si se da la importancia adecuada a la seguridad informática en toda la organización.
Revista E3: ¿Y qué puede recomendar a las empresas que quieran ponerlo en práctica?
Kempf: Las auditorías de seguridad continuas son importantes: refuerzan la resistencia y reducen significativamente la superficie de ataque de todo el entorno del sistema informático. En vista de la publicación mensual de parches de seguridad, debería ser obvio que una auditoría anual de un sistema de producción no es más que una instantánea que dice poco o nada sobre la seguridad real durante el resto del año. Recomendación clara: los procesos de seguridad automatizados y las herramientas de software especializadas garantizan una transparencia continua, están siempre actualizados técnicamente y facilitan a los equipos de TI y de seguridad la toma de decisiones con conocimiento de causa.
KelbertAdemás de estas auditorías automáticas y programadas de todos los sistemas, la supervisión permanente de los registros ayuda a reconocer actividades sospechosas. Esto se debe a que una alarma debe saltar inmediatamente para que puedan iniciarse rápidamente las contramedidas adecuadas y contener los efectos.
Revista E3: ¿Hay alguna hipótesis de ataque que sea cada vez más frecuente?
KelbertMuchos ataques se basan en el robo de datos de cuentas privilegiadas, ya que es la forma más fácil y rápida que tienen los ciberdelincuentes de acceder a un sistema informático. Los superusuarios suelen tener amplios derechos de administrador y root, necesarios para tareas como la actualización y el mantenimiento del sistema. Por lo tanto, una buena gestión de los accesos privilegiados es crucial para la seguridad de los sistemas informáticos: que haya normas y controles claros sobre a quién se conceden derechos de usuario de emergencia y cómo se utilizan. Las soluciones de seguridad tradicionales no ofrecen aquí una protección fiable.
KempfLos auditores prestan ahora más atención a garantizar que los controles de superusuario se integren en los conceptos de DdS internos de la empresa. La complejidad de los sistemas informáticos a menudo ya no es monolítica, sino híbrida, y crece rápidamente, lo que significa que los conceptos de DdS también son cada vez más amplios y opacos. Es esencial mantenerlos actualizados, presentarlos de forma transparente y armonizarlos. Los conceptos de emergencia ya no pueden considerarse de forma aislada. Es importante tener en cuenta la perspectiva de los auditores. Éstos tienen una visión fundamentalmente crítica de los conceptos de superusuario porque podrían afectar tanto a la integridad de los sistemas como a los datos financieros.
Revista E3: ¿Y cuáles cree que son las brechas de seguridad que se subestiman con frecuencia?
KelbertEn cualquier caso, el código personalizado es un vector de ataque a menudo descuidado. La gestión del código personalizado es el punto de entrada central para todas las funciones que pueden utilizarse para supervisar y gestionar el ciclo de vida de los desarrollos personalizados. Kempf: "Aquí es crucial reconocer los cambios críticos para la seguridad en el código personalizado con la misma rapidez que los cambios no deseados en las configuraciones del sistema. Esto no sólo permite clasificar los riesgos a tiempo y, en el mejor de los casos, evitarlos, sino que también previene incumplimientos. Suponiendo que los atacantes tuvieran éxito a pesar de todo.
KempfEn este caso, siempre es necesario actuar con cautela y recomiendo recurrir a expertos externos en informática forense. Un cierre completo puede poner en peligro la vida, sobre todo porque la recuperación de complejos entornos de aplicaciones puede llevar meses. En última instancia, el daño causado por un cierre precipitado puede ser mayor que el causado por el robo de datos, el espionaje industrial o el chantaje. Sin contar la pérdida de reputación, el aumento de las primas de seguros, las horas de trabajo adicionales y la recuperación de la producción. Puede salir muy caro.
Revista E3: Hablando de caro: la nueva directiva NIS-2 de la UE, ¿qué nos espera?
KelbertPues bien, esto supondrá un auténtico cambio de juego para muchas empresas: la UE definió las primeras normas de ciberseguridad para los operadores de infraestructuras críticas ya en 2016 con la Directiva sobre seguridad de las redes y de la información (SRI). Como la situación de la seguridad ha empeorado drásticamente desde entonces, la modificación ha llegado justo a tiempo. La NIS-2 debe transponerse a la legislación nacional ya en octubre. También en Alemania está claro que los requisitos de la NIS-2 se endurecerán considerablemente y se ampliarán a muchas más empresas: Además de a los actuales operadores de Kritis, como proveedores de energía y agua u hospitales, también se aplicarán a sus cadenas de suministro y a muchos otros sectores, como proveedores de servicios postales, proveedores de software y gestión de residuos. Las medianas empresas también estarán sujetas a los estrictos requisitos de Kritis, siempre que se trate de instalaciones esenciales e importantes, como empresas de logística, proveedores de servicios gestionados o algunas empresas de ingeniería mecánica.
Revista E3: Muchas personas se preguntan ahora si pertenecen al grupo. ¿Qué se espera de ellos?
KempfEn primer lugar, deben utilizar la Directiva NIS 2 para comprobar si pertenecen a las industrias y sectores añadidos. Y en segundo lugar, deben comprobar si tienen clientes en el ámbito de Kritis a cuya cadena de suministro pertenecen. Sería fundamentalmente erróneo esperar de brazos cruzados a que su cliente se ponga en contacto. La NIS-2 impone a todos una fuerte obligación técnica y organizativa, sobre todo en materia de análisis de riesgos y protección de los sistemas de información. Esto implica la continuidad de las actividades, como la gestión de crisis y emergencias, por ejemplo con simulaciones de violaciones y ataques. NIS-2 también exige mucho más cuando se trata de proteger los sistemas de información. Además del cifrado, incluye la autenticación multifactor y obligaciones de notificación más estrictas y de nueva calidad: todo incidente de seguridad significativo debe notificarse en un plazo de 24 horas.
Revista E3: ¿Y si una empresa no cumple estas obligaciones?
KelbertEntonces no habrá meros gestos amenazadores, sino multas de hasta 10 millones de euros o el 2% de la facturación global del año anterior. Y estas multas van en serio. Una cosa está inequívocamente clara: las empresas ya no pueden permitirse el lujo de cruzarse de brazos y esperar. Las medidas que hay que aplicar para el NIS-2 son considerables: el establecimiento de una gestión de riesgos en toda la empresa y la introducción de la autenticación multifactor no pueden realizarse en unas pocas semanas, por no hablar de la inclusión de las cadenas de suministro.
Revista E3: Todo eso parece un reto enorme.
KelbertSin duda, sobre todo para quienes aún no han hecho los deberes. Y para algunos, este no es el único cambio serio en la ley: la Digital Operational Resilience Act (DORA), por ejemplo, es una ley especial para NIS-2 con normas de seguridad adicionales para los sectores financiero y de seguros y sus proveedores de servicios. Se trata de requisitos exhaustivos en materia de gestión de riesgos, documentación y auditorías, explícitamente también para los proveedores de servicios de terceros, como los proveedores de la nube y de software.
Revista E3: ¿Qué opina de NIS-2 y sus consecuencias?
KempfLa directiva llega en el momento oportuno y sus consecuencias son inevitables, ya que no hay otra forma de lograr una resiliencia a escala europea. Por fin está obligando a que la ciberseguridad se convierta en una parte esencial de la cultura empresarial, como asunto del jefe. En el futuro, los directivos que puedan permitirse el lujo de limitarse a delegar y permanecer despistados ya no podrán eludir sus responsabilidades. Quienes descuiden la ciberseguridad no sólo expondrán a su empresa a un mayor riesgo de ataque en el futuro, sino también a enormes multas por infracciones. Por lo tanto, la recomendación es clara: dar prioridad a la cuestión, vigilar los plazos de aplicación y, sobre todo, conseguir rápidamente los socios adecuados para la aplicación.
Revista E3: Gracias. Y a propósito de las palabras de moda nube e IA: ¿Qué relevancia tiene la nube para la ciberseguridad?
KelbertAntes del boom de la nube, proteger la infraestructura de una empresa era mucho más fácil. Las redes estaban claramente delimitadas, el cortafuegos se interponía entre la red interna y un mundo exterior claramente definido y potencialmente peligroso. Y del mismo modo que ahora los empleados y los proveedores de servicios externos pueden acceder fácilmente a los sistemas y datos de la red de forma remota, los delincuentes también pueden acceder mucho más fácilmente. Lo decisivo es que cada empresa sigue siendo responsable de su propia seguridad y no puede dejarla de buena fe en manos de su proveedor de nube o de su hiperescalador.
Revista E3: ¿Y cómo está cambiando la situación el uso de la inteligencia artificial?
KempfHay luces y sombras. La IA ha cambiado radicalmente las reglas del juego y la nueva situación de las amenazas es sin duda motivo de preocupación. Todos los estudios más recientes muestran que las técnicas de ataque están mejorando rápidamente. Aunque muchas empresas han recibido por fin directrices de seguridad claras con la NIS-2, que primero hay que aplicar, ya se enfrentan al siguiente obstáculo debido a los nuevos vectores de ataque que utilizan la IA generativa. Por tanto, ya es hora de llevar las medidas de defensa a un nuevo nivel.
Revista E3: Entonces, ¿la IA también supone una gran amenaza en los escenarios de seguridad?
KempfDe ninguna manera, eso es lo que quería decir con luces y sombras: la IA puede hacer avanzar la seguridad informática a pasos agigantados, pero debe utilizarse con cuidado. Para ello se requieren profundos conocimientos en materia de seguridad. Como subrayó recientemente nuestro director general, Piyush Pandey, los expertos en ciberseguridad son ahora aún más valiosos, ya que aportan los profundos conocimientos prácticos necesarios para gestionar el uso de la IA con sensatez y entrenarla correctamente. De lo contrario, los sistemas de IA aprenderán, por ejemplo, a categorizar simplemente como normal una situación crítica que se produce con frecuencia y dejarán de dar la alarma.
KelbertYa existen soluciones que aprovechan las ventajas de la IA, y podemos señalar con orgullo un nuevo desarrollo interno: Inteligencia de amenazas. La Inteligencia de Amenazas es la respuesta a muchas de las preguntas que hemos debatido hoy y será un elemento de seguridad imprescindible como protección en tiempo real respaldada por la IA. Se trata de una combinación de soluciones establecidas de detección de amenazas complementadas con respuestas personalizadas automatizadas que se adaptan a cada situación de riesgo.
Revista E3: ¿Puede explicar cuáles son los puntos fuertes de esta combinación?
KempfPor supuesto. Hasta ahora, la reacción ante un riesgo identificado consistía en evaluar primero la situación y luego poner en marcha medidas en el equipo de seguridad de la empresa, por ejemplo en el Centro de Operaciones de Seguridad. Pero, ¿qué ocurría si el centro no contaba con personal las 24 horas del día o tardaba mucho tiempo en evaluar un riesgo? Entonces transcurría un tiempo valioso antes de poder tomar contramedidas, a pesar de que el tiempo de respuesta es el factor absolutamente decisivo en la limitación de daños.
KelbertAhora podemos resolver este dilema integrando procesos automatizados inteligentes que forman una capa adicional de seguridad. Por ejemplo, el acceso a transacciones críticas se restringe o incluso se bloquea por completo en caso necesario en función de amenazas conocidas, los campos de datos se enmascaran con precisión y en función de atributos, se impiden las descargas o se desconectan del sistema los usuarios con comportamientos críticos. Todo ello de forma totalmente automática, en tiempo real y las 24 horas del día. Estas reacciones inmediatas ante una situación catalogada como de riesgo protegen la información altamente sensible de forma inmediata y precisa. Nuestro conjunto de reglas es totalmente configurable y puede personalizarse para cada campo de datos, función o interfaz de usuario. De este modo, hemos dado un paso estratégicamente decisivo en la detección de amenazas mediante inteligencia artificial.
A la entrada de socios:
