Hasta hace unos pocos años, las organizaciones protegían sus datos y sistemas bajo un modelo que se asemejaba a un castillo fortificado: eran cerradas, con poca comunicación con el exterior y fronteras bien definidas. Se centraban en el cumplimiento y todavía existía la sensación de poder conseguir el anhelado «riesgo cero». La premisa era: «si haces las cosas bien y sigues las reglas, no te pasará nada».
Este modelo se ha visto asediado en los últimos 10 años por cuatro palancas de transformación, que han hecho que esa fortaleza haya sido superada y que el paradigma de la ciberseguridad haya sufrido también una transformación:
1. En primer lugar, un nuevo marco tecnológico, motivado por la transformación digital, que ha traído consigo un enfoque radicalmente distinto. En los inicios, el CISO podía responder a las exigencias de los usuarios hiperconectados, que requerían cada vez más aplicaciones potencialmente peligrosas. Sin embargo, en la actualidad las demandas llegan desde todas las áreas de negocio, que solicitan tecnologías como cloud, movilidad, IoT, Devops u otras. Estas tecnologías se pedían por razones de time to market o para mejorar la experiencia del usuario, por productividad, por comunicación, etc.
Debido a que es precisamente el nivel ejecutivo el que propone y demanda estas nuevas tecnologías, llevado por esos drivers de negocio, los equipos de seguridad ya no solo no pueden decir «no», deben encontrar la vía de convivencia de esta revolución digital con los requisitos de seguridad. El CISO ha pasado de ser un stopper a convertirse en un enabler.
Los servicios gestionados de ciberseguridad aportan un modelo de protección externalizado, efectivo y eficiente, pero adaptado a la realidad y al negocio
de cada empresa.
2. En segundo lugar, el incremento en la cantidad, naturaleza y sofisticación de las ciberamenazas: frente a un panorama a inicios de siglo en que las amenazas eran difusas, atomizadas, ahora están marcadas por la globalización. Son internacionales, persiguen fines claramente políticos y/o económicos y cuentan con gran cantidad de recursos (como en el caso, por ejemplo, del gran grupo cibercriminal responsable del ataque bautizado como Cobalt, que fue desarticulado el año pasado en Alicante y cuyo fraude cifró Europol en más de 1.000 millones de euros).
Para «los buenos» (empresas, organizaciones de seguridad, proveedores de servicios, entidades públicas…) es muy difícil competir con este alud de recursos de los que disponen las bandas criminales o las agencias de inteligencia extranjeras. Es aquí donde entran en escena los servicios gestionados de seguridad, que se proporcionan sobre todo a grandes organizaciones para las que este modelo supone una forma inteligente y efectiva de enfrentarse a estos retos.
También hemos de mencionar la motivación hacktivista, con movimientos sociales y políticos (por ejemplo, el ciberataque sufrido por el IESE en septiembre de 2018 o los ataques contra las webs de Vox y de la Fiscalía del caso del «procés» en noviembre, o las múltiples campañas lanzadas relacionadas con grupos ecologistas). Dentro de esta tendencia hacktivista, la primera palabra que nos viene a la mente es «ciberterrorismo», con ejemplos como el archiconocido Stuxnet, un ataque lanzado en 2010 con el objetivo de sabotear el programa nuclear iraní, o más recientemente, a finales de 2018, la denominada Operación Sharpshooter, una campaña mundial de ciberespionaje contra infraestructuras críticas de varios sectores. Además, el objetivo ahora no es tanto atacar como permanecer, incluso durante meses. Un buen ejemplo es el ataque contra la cadena de hoteles Marriot, descubierto a finales del año pasado, pero que había comenzado cuatro años atrás.
3. La tercera vía de transformación es la presión regulatoria. Como es lógico, las autoridades no podían quedarse impasibles, por lo que los mecanismos regulatorios y las exigencias de cumplimiento no han parado de crecer en una dirección correcta; sí, pero al mismo tiempo se ha convertido en una auténtica espada de Damocles para las empresas. Otra razón para no tratar de luchar solos ante el peligro y delegar en expertos para solucionar el problema.
4. Por último, hemos de mencionar el factor humano, con varias implicaciones:
a. La primera es que uno de los problemas más serios que existen actualmente es que no hay una oferta suficiente de profesionales para atender la demanda. Además, según el reciente estudio mundial anual de profesionales de ciberseguridad realizado por la Asociación de Seguridad de Sistemas de Información (ISSA), la escasez de habilidades en ciberseguridad sigue siendo la principal causa del aumento de incidentes.
Los servicios gestionados de ciberseguridad se proporcionan sobre todo a grandes organizaciones
b. Por otro lado, la creciente especialización en el ámbito de la ciberseguridad. Antes decíamos: «ese es nuestro experto de ciberseguridad»; ahora hay especialistas en seguridad en el ciclo de desarrollo, consultoría, analistas de malware, expertos en inteligencia, gestión de amenazas, cumplimiento, gestión de incidentes, análisis forense, etc. A las compañías cada vez les resulta más difícil hacer frente a todo esto. Y en este sentido, una vez más, los servicios gestionados de ciberseguridad son una respuesta lógica, ya que siempre será más complicado buscar este tipo de profesionales dentro de la empresa que contratar servicios especializados externos. Compañías que tengan per se esa reserva de talento, son un aliado impagable en este sentido.
c. Por último, hemos de tener en cuenta también la nueva cultura de los llamados nativos digitales, personas que tienen unos hábitos totalmente diferentes a los de hace 20 o 30 años. Son personas acostumbradas a visualizar y compartir la información de un modo distinto, viven ya en un mundo donde la innovación es la norma. Como es lógico, la seguridad ha de evolucionar como lo hacen los humanos, no podemos darle la espalda a ese avance. La cultura de seguridad de los años ochenta ya no es válida.
Modelo aeropuerto
En definitiva, ese «modelo fortaleza» del que hablabamos al principio se ha transformado en un modelo diferente, que podríamos identificar con el de un aeropuerto, donde puede entrar todo el mundo. Si quien pretende acceder cuenta con una credencial, pasará a una siguiente zona del aeropuerto, y así sucesivamente. Hay muchos roles, sistemas de control de acceso –incluso biométricos– que se centran en proteger los activos del entorno, además de detectar amenazas y responder, llegado el caso. En un aeropuerto también se integra el negocio, y después de los controles de seguridad el usuario pasa a estar en un comercio. Algo que se hace de una manera poco traumática para el viajero y sensible con la seguridad.
El futuro, como puede apreciarse a simple vista, viene marcado por un entorno donde las ciberamenazas desbordan la capacidad operativa de las organizaciones. Para hacer frente a este reto, los servicios de seguridad gestionada aportan un modelo de protección externalizado, efectivo y eficiente, pero adaptado a la realidad y al negocio de cada empresa.
Son las empresas de servicios gestionados las que pueden soportar mejor esos procesos de transformación digital, ayudando a las organizaciones a que, sin llegar nunca a delegar la función estratégica de la ciberseguridad, encuentren soluciones para poder acometer la gestión de sus riesgos tecnológicos en un contexto que cada vez cambia más rápido.
