El panorama de la ciberseguridad empresarial se está expandiendo dramáticamente y de manera compleja en el mundo. Desde estafas, suplantación de identidad (phishing), ataques de ransomware, hasta infracciones malintencionadas de actores estatales, son tipos de amenazas potenciales que su empresa puede sufrir y deben ser tomadas seriamente. Según el Instituto Ponemon, el costo promedio por incumplimiento de una empresa en 2017 se estimó en $ 3.62 millones. [I]
Por eso, fortalecer la estrategia de ciberseguridad es una prioridad crítica en Equinix, como lo es para todos sus clientes en todo el mundo. Según cifras de Fortinet, en Colombia las empresas solo invierten 20% de presupuesto en ciberseguridad, siendo uno de los retos pendientes para el 2019. Es así que Equinix, Inc. (Nasdaq: EQIX), compañía global de interconexión y centros de datos, le presenta al país las mejores prácticas que ellos emplean para estar a la vanguardia de las amenazas en red y estar alertas a los ataques cibernéticos.
Las tres mejores prácticas comprobadas para mejorar la mentalidad de seguridad cibernética y reducir el riesgo organizativo:
- Conozca el panorama cambiante de los ataques cibernéticos - según Gartner, el 95% de los CIOs espera que las amenazas de ciberseguridad aumenten e impacten en su organización. [Ii] Este es un problema compartido entre los CIOs, los CSO y el resto de las organizaciones funcionales de la empresa - y necesitan conocer el panorama de los ataques cibernéticos para defender efectivamente sus negocios. La cantidad de tipos de ataques cibernéticos está cambiando a medida que los actores malos se vuelven más sofisticados. También están aumentando en complejidad y a escala, en particular:
- Estafas de phishing (con llamadas telefónicas de seguimiento)
- Extorsión cibernética (ransomware), interrupción y destrucción
- Infracciones de contraseñas y el uso de credenciales codificadas en el código fuente
- “Utilizar” a los empleados para que descarguen malware a la red de la organización, industria o regional
- Ciberataques de actores estatales
- Imitadores de la minería de bitcoins, proceso mediante el cual se verifican las transacciones de bitcoins y se liberan nuevos bitcoins en la red
Una parte importante para comprender el panorama de los ataques cibernéticos, es entender que existen múltiples capas y una extensa área de superficie de ataque dentro de las organizaciones. En Equinix, se ha identificado un "top 10 de registro de riesgos de seguridad de la información". El registro de riesgos es administrado activamente por el CISO (director de seguridad de la información), que lo presenta al consejo de administración trimestralmente. El registro de riesgos también se comparte con el Comité Directivo de Seguridad Cibernética para avanzar más sobre la agenda de seguridad de la información en toda la compañía.
- Cree un grupo de trabajo de seguridad cibernética para toda la empresa - dado que existen múltiples capas organizativas y funcionales que conforman el área de ciberataque de una empresa, se requiere un esfuerzo en toda la empresa para rastrear las amenazas y defenderse de ellas. Es por esto que Equinix creó el Comité Directivo de Seguridad Cibernética que está compuesto por ejecutivos de sus organizaciones de seguridad, TI, productos, cumplimiento, garantía, riesgo y legales. Este comité revisa y prioriza lo que está en el registro de riesgos de seguridad y garantiza que haya un plan de mitigación aprobado y un gobierno multifuncional en torno a los riesgos potenciales de información empresarial.
Debido a que la mayoría de los participantes en el comité tienen una posición de liderazgo en la mesa hace que sea mucho más fácil impulsar la propiedad del riesgo y resolver los problemas en los respectivos grupos de negocio. También ayuda a impulsar con mayor rapidez los requisitos de cumplimiento en toda la empresa, como el requisito general de protección de datos (GDPR) y el estándar de ingresos 606.
- Evalúe su presupuesto de seguridad contra su nivel de amenaza - los presupuestos de seguridad en TI están aumentando en todas las industrias. Gartner recomienda que las empresas gasten del 4% al 7% de sus presupuestos de TI en seguridad, dependiendo del nivel de amenaza. [Iii] Por ejemplo, algunos niveles de amenaza pueden ser extremadamente altos, como los registros del personal y los datos de los clientes. Al evaluar su presupuesto de seguridad frente a las diversas amenazas de su organización, puede priorizar mejor dónde poner su dinero. Mantener un registro continuo de los riesgos de seguridad (como lo hace Equinix con su registro de riesgos) que clasifica el riesgo por nivel de impacto y probabilidad, permite desarrollar una estrategia que ayude a mitigar y un presupuesto. Aquí también es donde los indicadores clave de rendimiento (KPI) de seguridad pueden ayudarlo a ver dónde su empresa está obteniendo el mayor retorno de su inversión en seguridad.
Algunas de las estrategias clave que Equinix implementa para fortalecer el desempeño de seguridad incluyen:
- Implementación de parches de seguridad y fortalecimiento de los sistemas - para garantizar que todas las actualizaciones de seguridad estén implementadas, se apliquen las políticas de seguridad y se eliminen las vulnerabilidades, se realizan parches a los últimos estándares de seguridad y sistemas. Esto da la tranquilidad de estar al tanto de las últimas protecciones de ciberseguridad disponibles.
- Autenticación multi-factor en todos los sistemas y aplicaciones - para reducir el riesgo de acceso no autorizado a las aplicaciones y sistemas, se utiliza la autenticación multi-factor para todos los activos digitales para garantizar que cualquier persona que acceda a ellos esté verdaderamente autorizada. Esto brinda otro nivel de defensa que solidifica el proceso de autenticación y autorización para todas las aplicaciones de Equinix.
- Protección de punto final y perímetro digital – la seguridad de punto final incluye protección contra malware, que también tiene capacidades anti-phishing y enriquece la seguridad del correo electrónico. También es necesario tomarse el tiempo para educar a los empleados sobre el phishing para asegurarse de que los trabajadores sepan cómo detectar e identificar este tipo de ataques. Dado que la mayoría de estas amenazas se producen a través de algún tipo de malware que puede implementarse desde cualquier lugar de la empresa, es aún más importante asegurar el perímetro digital. Para ello, deben implementar defensas de red como firewalls y controles de seguridad en todos los dispositivos de red para asegurar el perímetro en cada uno de los centros de datos globales.
A medida que la transformación digital aumenta a escala global, los ataques cibernéticos crecen y pueden impactar a su negocio, siendo su empresa una posible víctima de aquellos que diariamente buscan causar daños a través de la red. Por eso, una estrategia de seguridad física y digital integrada, proactiva, para toda la organización, que aborde las amenazas de seguridad cibernética en todos los niveles, le brindará las capacidades ofensivas y defensivas que necesita para enfrentar lo que se le presente.
Por: Steve Sasse, director para América Latina y el Caribe de Equinix.