La naturaleza altamente conectada de los dispositivos IoT significa que están constantemente en comunicación, son capaces de propagar malware y pueden saltar de un sistema a otro sin interacción humana, todo ello fuera del alcance de las soluciones de seguridad actuales. Para gestionar la seguridad hoy en día, sus sistemas deben ser inteligentes y capaces de trabajar sin supervisión humana, sabiendo cuándo y cómo tomar medidas proactivas o defensivas. Está más en juego que nunca para proteger sus sistemas y redes, y la nueva realidad del IoT complica aún más las cosas. Las soluciones en las que hemos confiado en el pasado, como la formación de empleados, no mitigarán el enorme desafío de seguridad a los que se enfrentan las empresas. El alcance de IoT es demasiado complejo para que los equipos de seguridad tradicionales lo gestionen con soluciones heredadas. Es hora de sacar a la gente de la discusión y avanzar hacia un futuro más inteligente y seguro.
La ciberseguridad puede provocar migrañas organizativas. En 2016, infracciones costo empresas de casi 4 mil millones de dólares y expusieron un promedio de 24.000 registros por incidente. En 2017, el número de infracciones es anticipado aumentará un 36%. El ritmo constante de las amenazas y los ataques se está volviendo tan generalizado que las empresas están anticipado invertir más de 93.000 millones de dólares en ciberdefensas para 2018. Incluso el Congreso está actuando aprobar más rápidamente leyes que, con suerte, mejoren la situación.
A pesar del aumento del gasto y la innovación en el mercado de la ciberseguridad, hay indicios de que la situación solo va a empeorar. El número de dispositivos no administrados que se introducen diariamente en las redes aumenta en orden de magnitud, con Gartner lo que predice que habrá 20 000 millones de euros en uso para 2020. Las soluciones de seguridad tradicionales no serán eficaces para abordar estos dispositivos ni para protegerlos de los piratas informáticos, lo que debería ser una bandera roja, ya que los ataques contra los dispositivos IoT estaban en marcha 280% en la primera parte de 2017. De hecho, Gartner prevé que un tercio de todos los ataques se dirigirán a IT en la sombra e IoT para 2020.
Este nuevo panorama de amenazas está cambiando el juego de seguridad. Los ejecutivos que se preparan para enfrentar los futuros desafíos de ciberseguridad con la misma mentalidad y herramientas que han estado utilizando desde el principio se están preparando para un fracaso continuo.
La falsa panacea de la formación en seguridad
Hay mucho debate sobre la eficacia de la formación en seguridad y sensibilización, centrada en creencias competitivas de que los seres humanos pueden ser los eslabones más efectivos o más débiles de las cadenas de seguridad. No se puede negar, sin embargo, que en la era del aumento de los ataques de ingeniería social y el uso no administrado de dispositivos, la dependencia de una estrategia basada en humanos es cuestionable, en el mejor de los casos. Esta afirmación se justifica aún más cuando se consideran informes recientes publicados por proveedores de seguridad como PhishMe. mostrando que el 80% de los empleados que han completado la formación siguen siendo susceptibles de ser sujetas a phishing.
Solo se necesitó un clic en un enlace que llevó a la descarga de cepas de malware como WannaCry y Petya para desencadenar eventos de ciberseguridad global en cascada. Esto por sí solo debe tomarse como prueba absoluta de que los seres humanos siempre representarán la suavidad de las defensas corporativas.
Conectividad primero, seguridad en segundo lugar
Hoy en día, los empleados utilizan dispositivos conectados para impulsar la actividad final. Su utilidad y conveniencia están dando a los dispositivos IoT un punto de apoyo en la empresa: en oficinas corporativas, hospitales, centrales eléctricas, instalaciones de fabricación y más. Recientemente descubrimos que el 82% de nuestros clientes empresariales tienen Amazon Echos en uso, que casi siempre se encuentran en la oficina de un ejecutivo. Estos dispositivos, diseñados para escuchar y transmitir información, pueden aumentar la productividad, pero también presentan riesgos incuantificables. Nuestra propia investigación demostró recientemente que Amazon Echo es susceptible a ataques aerotransportados. Amazon ha corregido las vulnerabilidades, pero este hallazgo demuestra la facilidad con que un dispositivo comprometido puede provocar la filtración de información confidencial.
Los dispositivos conectados están proliferando a un ritmo que los departamentos de IT y los equipos de seguridad no pueden mantenerse al día. Están fabricados con poca supervisión o control normativo, y están habilitados para Wi-Fi y Bluetooth; están diseñados para conectarse de inmediato. Son introducidos en entornos corporativos por usuarios individuales que no tienen conocimientos ni experiencia reales en materia de seguridad, lo que supone un riesgo. Es posible que los usuarios tengan en cuenta los objetivos de productividad, pero simplemente no hay forma de que pueda confiar en que los empleados los utilicen dentro de las directrices de seguridad aceptables. Los programas de capacitación y concienciación de IoT ciertamente no harán nada para ayudar, entonces, ¿cuál es la respuesta?
Reformulación de la relación entre humanos y seguridad
Es hora de liberar a su personal (empleados, socios, clientes, etc.) de la carga de la ciberseguridad. Puede ser prudente y necesario que continúe con los programas de concienciación, pero tendrá que confiar más en las tecnologías inteligentes y la automatización si espera tener alguna oportunidad de éxito.
Eliminar el riesgo humano significa reposicionar la forma en que piensa de la relación entre los empleados, los dispositivos conectados y las defensas cibernéticas corporativas en general. Debe aceptar que IoT y otros problemas de seguridad no son problemas de interacción del usuario; son problemas de interacción de dispositivos y sistemas. La naturaleza altamente conectada de los dispositivos IoT significa que están constantemente en comunicación, son capaces de propagar malware y pueden saltar de un sistema a otro sin interacción humana, todo ello fuera del alcance de las soluciones de seguridad actuales. Las amenazas a la seguridad se están acumulando contra su personal en el trabajo: los empleados todavía ser víctima de correos electrónicos de phishing automatizados y organizaciones con analistas de seguridad amplios simplemente no pueden gestionar el volumen de vulnerabilidades presentes en los nuevos dispositivos y software conectados. Y, nuevos vectores de ataque de IoT como Borne azul y KRACK que trabajan en torno a los seres humanos para infectar dispositivos y redes aparecen más rápido de lo que se pueden abordar.
Un sistema de ciberseguridad inteligente
Para gestionar la seguridad hoy en día, sus sistemas deben ser inteligentes y capaces de trabajar sin supervisión humana, sabiendo cuándo y cómo tomar medidas proactivas o defensivas.
Cuando se trata de dispositivos conectados, las enormes cantidades que se utilizarán en las empresas hacen imposible que las personas por sí solas, o para los equipos de IT y seguridad insuficiente, identifiquen y detengan manualmente las actividades arriesgadas. Para identificar dispositivos y patrones de comportamiento que representan una amenaza, el sistema de seguridad de IoT mosto ser lo suficientemente inteligente como para detectar todos los dispositivos conectados y las vulnerabilidades que introducen, aprobar y negar el acceso a las redes, y aprender de las condiciones en constante evolución para ser más eficaces con el tiempo.
Los productos inteligentes aprenden patrones de cómo se ve la actividad segura e insegura en los dispositivos conectados, algo imposible de decir simplemente mirando un teléfono, un altavoz o una cámara web. He visto tabletas comprometidas que transmiten vídeo desde una sala de juntas a una ubicación no revelada. La tableta no mostró signos de compromiso y esta actividad no fue reconocida por las soluciones de seguridad tradicionales vigentes. Solo identificando su comportamiento y sus patrones de tráfico pudimos ver el riesgo. Un sistema inteligente podría identificar inmediatamente ese comportamiento sospechoso de tráfico.
Por último, un sistema inteligente puede actuar. Una vez que el sistema haya aprendido a identificar comportamientos sospechosos, puede impedir inmediatamente que un dispositivo se utilice con fines maliciosos. Por ejemplo, podría apagar por completo un ataque de botnet, impedir que se conecte a otros dispositivos o limitar el daño que puede causar. Poder controlar un dispositivo conectado es la diferencia entre un dispositivo infectado y que toda la red se haga cargo.
Lo mismo ocurre con las tecnologías de seguridad diseñadas para defenderse contra otras amenazas. Las tecnologías antiphishing que no pueden identificar y bloquear los ataques por sí solas son básicamente desastres que esperan que ocurran. Los procesos de parches manuales también tienen poco valor.
La nueva realidad
Los ataques están llegando a las empresas desde todos los ángulos y a través de todos los canales, con IoT creando una superficie de ataque significativamente mayor. Los ejecutivos son responsables del desempeño, o mejor dicho, de la falta de rendimiento de la seguridad, y las empresas se enfrentarán a diversas consecuencias, desde daños a la marca hasta costos de recuperación y pérdida de clientes ante infracciones. Está más en juego que nunca para proteger sus sistemas y redes, y la nueva realidad del IoT complica aún más las cosas. Las soluciones en las que hemos confiado en el pasado, como la formación de empleados, no mitigarán el enorme desafío de seguridad a los que se enfrentan las empresas. El alcance de IoT es demasiado complejo para que los equipos de seguridad tradicionales lo gestionen con soluciones heredadas. Es hora de sacar a la gente de la discusión y avanzar hacia un futuro más inteligente y seguro.
