ACTUAR ANTES DE QUE SE PRODUZCAN LOS CIBERATAQUES.

Los ciberataques son generalizados, van en aumento y pueden devastar una empresa. 

"Cuando se trata de ciberseguridad, lo suficientemente bueno ya no es suficiente", afirma Clarence Foster, responsable de Seguridad de la información empresarial de T-Mobile Para Empresas.

Si algo nos ha enseñado el bombardeo de alertas, avisos y noticias sobre filtraciones de datos es que los negocios grandes y pequeños deben ser proactivos en su enfoque de seguridad. "Es imprescindible que las organizaciones evolucionen y crezcan a medida que las amenazas se hacen más frecuentes y sofisticadas", afirma Foster.

Clarence Foster, directora de Seguridad de la información empresarial de T-Mobile para Empresas

Como compañía, nos dedicamos a garantizar que cumplimos o superamos las normas y mejores prácticas de ciberseguridad. Hemos implementado tecnologías de ciberseguridad de última generación, reforzado las políticas y puesto en marcha operaciones de vigilancia y respuesta permanentes. 

También reforzamos nuestro personal de seguridad, y duplicamos el tamaño de nuestro equipo de seguridad de aplicaciones en 2022 y nuevamente en 2023. Además, duplicamos el tamaño de nuestro equipo de gestión de vulnerabilidades. Aprendimos como compañía que no hay que eludir el reto cuando se trata de ciberseguridad.

El robo o la usurpación de una cuenta, o ATO, se produce cuando una persona ajena obtiene acceso no autorizado a la cuenta en línea de un empleado. Los ATO son uno de los riesgos más difíciles a los que se enfrentan las empresas hoy en día. Los ataques ATO están aumentando: según un reciente informe de Sift, hubo un alarmante incremento del 354% en el segundo trimestre de 2023, en comparación con el mismo periodo del año anterior. Que venía de un salto del 169% en 2022.

Las pérdidas económicas asociadas a los ATO y otros ciberataques van en aumento. A escala mundial, según un informe de IBM de 2023, el costo medio de una filtración de datos en 2023 fue de 4.45 millones de dólares, un 15% más que hace solo tres años. Es más, los costos relacionados, como la identificación de una filtración y la respuesta posterior a la filtración, también están aumentando. Y los costos podrían ser mucho mayores o menores en función del tamaño de la compañía y del entorno normativo.

Reforzar los procedimientos de autenticación es fundamental para reducir la probabilidad de que se produzca un robo o una usurpación de cuenta. Esto incluye contraseñas únicas y largas, complejas y compuestas por una mezcla aleatoria de letras, números y símbolos que se cambien periódicamente. Además, se pueden utilizar gestores de contraseñas para ayudar a los empleados a realizar un seguimiento y mantener la complejidad y el cumplimiento de sus contraseñas.

La autenticación de múltiples factores, que requiere dos o más formas de verificación digital para acceder a la red, es otra tecnología que pueden implementar las compañías.

Clarence Foster, directora de Seguridad de la información empresarial de T-Mobile para Empresas

Los tokens físicos están convirtiéndose en una necesidad para algunas organizaciones, incluso T-Mobile. Los tokens físicos son dispositivos que generan continuamente códigos de acceso que vencen automáticamente después de un corto período de tiempo. Un token físico es más seguro que enviar un código por mensaje de texto o email, los cuales pueden ser comprometidos por malware, suplantación de identidad o una interceptación de red.

La capacitación y educación de los empleados pueden reforzar las mejores prácticas y garantizar que todos entiendan la importancia de hacer su parte. Habla con los empleados sobre los ataques comunes y la importancia de la seguridad digital para la salud y viabilidad de tu organización.

"La gente tiene que entender que todos tienen que estar pensando en la seguridad", dice Foster, "y no solo el equipo de ciberseguridad de la compañía".

T-Mobile va más allá de las contraseñas. Hemos adoptado el uso de claves FIDO 2, dispositivos físicos basados en las normas Fast Identity Online 2. Con FIDO u otras claves, no hay que recordar ni escribir ninguna contraseña. En su lugar, la clave de acceso aprovecha la criptografía de clave pública, en la que una "clave" pública se almacena en un sitio web que está vinculado a una clave privada almacenada solo en el dispositivo del usuario.

"Las contraseñas débiles o las contraseñas robadas o repetidas en cuentas de trabajo y personales, y todas las preocupaciones de ese tipo desaparecen cuando el usuario dispone de un token físico", explica Foster. FIDO 2 o cualquier otra clave de acceso puede frustrar los ataques de phishing y sus variantes, así como los ataques de red, porque no se transmiten contraseñas. La autenticación sin contraseña no solo refuerza la seguridad, sino que también aumenta la productividad.

Si bien la autenticación de los usuarios y su acceso ayuda a evitar el robo o la usurpación de cuentas de empleados, también es fundamental disponer de herramientas de detección y respuesta. Y es importante actualizar esas herramientas a medida que evolucionan los entornos de trabajo y el panorama de amenazas de hoy en día.

Los trabajadores de hoy en día pueden necesitar acceder a la red de una compañía desde casa, la sala de espera de un aeropuerto o la cafetería de la esquina. Una forma de proteger a los empleados de una compañía desde dondequiera que se conecten es con una solución de perímetro de servicio de acceso seguro (SASE).

SASE es una arquitectura nativa de la nube que combina las funciones de red y seguridad de un solo servicio. Una solución SASE garantiza que solo los usuarios autorizados puedan acceder a los datos de una compañía. Proporciona a los usuarios el acceso que necesitan independientemente de dónde se encuentren, de modo que añade visibilidad y control y simplifica la gestión de usuarios. Entre otras ventajas, SASE rastrea el malware que pueda entrar en una red para poder contenerlo y eliminarlo.

También es importante considerar un programa sólido de inteligencia contra amenazas que supervise activamente las ciberamenazas. Esto incluye análisis avanzados y aprendizaje automático, que ayudan a identificar amenazas inusuales o no detectadas.

La gestión de eventos e información de seguridad (SIEM) y la orquestación, automatización y respuesta de seguridad (SOAR) son dos componentes adicionales para tener en cuenta como parte de una estrategia de ciberseguridad empresarial. Un sistema SIEM utiliza análisis avanzados e IA para analizar datos de diversas fuentes, como registros de usuarios, alertas y datos de empleados, para intentar identificar posibles amenazas y anomalías antes de que puedan causar daños. SOAR emplea un conjunto de tecnologías para automatizar determinados enfoques de prevención y respuesta ante amenazas.

También realizamos ejercicios de simulación, en los que los participantes trabajan en la respuesta a incidentes, delimitando funciones y deberes y mejorando nuestras respuestas en el proceso. Hacer esto con regularidad mantiene al equipo alerta y garantiza que nuestras pautas reflejen las mejores prácticas y sigan el ritmo de un mundo que cambia rápidamente.

También contratamos "equipos rojos" internos y externos para poner a prueba nuestras defensas y pusimos en marcha un programa mejorado de recompensas por errores que ofrece recompensas en efectivo a los investigadores de seguridad que encuentren y nos informen sobre vulnerabilidades. Todos tenemos un papel que desempeñar para garantizar que estas medidas defensivas sean lo más eficaces posible. Toda nuestra empresa, desde la junta directiva y la alta dirección hacia abajo, reconoce la seguridad como una máxima prioridad.

¿Qué puede hacer una empresa cuando, a pesar de todas las precauciones, ocurre una filtración? Es importante tener la respuesta a esa pregunta antes de que ocurra algo. 

Eso requiere tener un plan de respuesta en tiempo real que anticipe diferentes tipos de ciberataques, a la vez que limite el "radio de explosión" del ataque (es decir, el impacto potencial que podría causar una filtración en un sistema o red específica), al aislar cuentas y utilizar una estrategia de múltiples cuentas con diferentes accesos para diferentes equipos.

Nuestro mantra es proteger, detectar y responder. Volver a proteger una red tras una filtración es una máxima prioridad. Conservar las pruebas para su análisis forense es otra. Los equipos de ciberseguridad deben obtener toda la información posible de una filtración y reforzar las defensas en consecuencia.

Pocas empresas tienen una tasa de éxito del 100% a la hora de evitar ciberataques. Sin embargo, para recuperarse y fortalecerse, las organizaciones pueden aprovechar al máximo un importante momento de aprendizaje.