Eduard Meelhuysen, el responsable de Bitglass para EMEA y experto en temas de ciberseguridad en la nube e internet, estuvo en Barcelona del 5 al 9 de noviembre para asistir al Gartner Symposium, el encuentro de CIOs y Senior IT Executive más importante del mundo.
Como responsable para EMEA de una de las compañías globales basadas en ciberseguridad en la nube más relevantes a nivel internacional, Eduard puede aportar su visión referente al cambio que han tenido que adoptar las empresas para protegerse contra los ciberataques en esta era de la nube y de lo que esta nueva era del “cloud” significa.
Hablamos con él, y aquí tenéis su opinión sobre el estado actual de este sector:
¿Cuál es la principal «amenaza digital» a la que se enfrentan las empresas hoy en día?
El crecimiento explosivo en la adopción de la nube ha dado lugar a una serie de nuevas ciberamenazas, a medida que los delincuentes intentan aprovechar los hábitos cambiantes de las empresas. Hoy en día son particularmente peligrosos el malware y el ransomware porque, debido a la naturaleza interconectada de la nube, ahora tienen el potencial de poner en peligro más datos que nunca. En particular, los ataques de día cero más sigilosos pueden robar datos durante meses antes de que sean detectados. Desafortunadamente, solo se necesita un dispositivo de punto final contaminado para infectar a toda una empresa a través de la nube, lo que hace extremadamente difícil protegerse contra el malware.
¿Qué debe ser más prioritario, educar digitalmente a los empleados para no caer en las trampas o invertir en software que nos proteja de los ataques?
Las empresas deben adoptar un enfoque mixto, no basta con centrarse solo en una u otra opción. Tiene que implementar soluciones que ayuden a la prevención, detección y respuesta frente a las filtraciones y los robos de datos. Herramientas como la prevención de filtraciones de datos (DLP) y la detección de brechas resultan indispensables, especialmente cuando permiten adoptar medidas para proteger los datos en tiempo real. Las empresas también deben ofrecer formación a los empleados sobre las prácticas recomendadas de seguridad en la nube y los dispositivos móviles.
¿Cómo han evolucionado estas amenazas durante los últimos cinco años?
Las amenazas como el phishing y el ransomware han evolucionado notablemente en los últimos cinco años. Los ataques de phishing modernos están muy bien dirigidos, pueden ser difíciles de detectar y tienen como objetivo otorgar amplios permisos a los atacantes sobre los datos, dispositivos y servicios en línea de los usuarios. La época de los ataques de phishing más elementales está prácticamente superada. Los usuarios que tienen conocimientos de informática rara vez son víctimas de las estafas de phishing tradicionales porque saben cómo detectar los sitios web sospechosos y los correos mal escritos. Ahora los ataques se basan en formas más avanzadas de ingeniería social que ocultan mejor su intención maliciosa; por ejemplo, los esquemas recientes que se basan en compartir documentos de Google. Obviamente, si la amenaza está bien disimulada, más usuarios acaban siendo víctimas del ataque.
Uno de los mayores peligros de las nuevas variantes del ransomware es la posibilidad de su propagación a los dispositivos vulnerables. Afortunadamente, cuando los puntos finales aún no se han actualizado para detectar un ataque de día cero, la protección contra las amenazas incorporada a las aplicaciones en la nube puede servir como una primera línea de defensa para las empresas. El ransomware evoluciona y surgen nuevas amenazas, de manera que la capacidad de identificar malware desconocido en la nube según las características de un archivo resulta vital.
¿Existe una fuente identificada del problema? ¿Las amenazas siempre llegan desde los mismos países?
Algunos países son más conocidos por ser el origen del malware que otros, por ejemplo China, Rusia y Estados Unidos. Mientras que algunas variantes las producen hackers maliciosos con ánimo de lucro, otras las crean gobiernos que quieren promover sus intereses. Independientemente del origen del malware, las empresas deben implementar soluciones capaces de responder a cualquier amenaza desde cualquier lugar. Incluso en el caso de las variantes de malware específicas de una región, las soluciones basadas en el comportamiento pueden frenar las amenazas en función de su patrón de actividad, sin que importe su procedencia.
¿Qué pueden hacer las empresas y los usuarios para protegerse de estas amenazas? ¿son realmente efectivos los antivirus existentes en el Mercado?
Para protegerse en la nube, las empresas deben controlar el acceso a los datos desde los dispositivos móviles no gestionados y revocarlo cuando sea necesario, como por ejemplo cuando un empleado abandona la empresa, pierde un dispositivo o se lo roban. Al mismo tiempo, la funcionalidad de los dispositivos y la privacidad de los usuarios no se pueden limitar. Esto significa que las herramientas de seguridad móvil, como la gestión de dispositivos móviles (MDM) y la gestión de aplicaciones móviles (MAM), no son opciones viables. Las soluciones más flexibles, como los agentes de acceso seguro a la nube (CASB), se están convirtiendo en sinónimos de seguridad en la nube, porque se centran en los datos y no afectan a la privacidad de los empleados.
La protección contra el ransomware y los ataques de día cero en los servicios locales y en la nube puede ayudar a las empresas a mantenerse un paso por delante de las amenazas. Estas herramientas aplican el aprendizaje automático a cientos de características diferentes de los archivos para evaluar el riesgo. Las empresas pueden identificar y bloquear las amenazas según el comportamiento de los archivos, incluso antes de que los peligros hayan sido identificados y documentados por la comunidad global de expertos en seguridad.
La detección de los ataques de phishing se consigue principalmente mediante una gestión de identidad que sea efectiva. Las contraseñas estáticas por sí solas sencillamente no pueden ofrecer una protección adecuada a las empresas. Por eso, actualmente las empresas recurren a una gama de soluciones de autenticación dinámica que pueden analizar y comparar la actividad de los usuarios con el fin de detectar posibles intrusiones y comportamientos sospechosos. Al evaluar estas soluciones, es esencial que las empresas adopten aquellas que utilizan un enfoque de aplicación cruzada. De esta forma, si un usuario inicia una sesión en Office 365 desde el Reino Unido y treinta segundos después accede a Salesforce desde Alemania, la solución puede marcar estos inicios de sesión como sospechosos, notificarlo al departamento de tecnologías de la información y solicitar al usuario que se identifique de nuevo.