NCC Group es una consultora especializada en ciberseguridad y amenazas, que nace con el objetivo de conseguir “un mundo más seguro y protegido”. Actualmente, cuenta con unos 2.000 trabajadores repartidos en 12 países y más de 14.000 clientes. Hablamos con Jacobo Ros, director de NCC Group en España.
¿Qué es lo que están demandando los clientes en materia de ciberseguridad? ¿Cuáles son sus principales retos?
Nuestros clientes cada vez más nos solicitan quitarles parte de su carga de trabajo para que puedan concentrarse en sus actividades comerciales. Con una mezcla de nuestros servicios, asesoramiento y orientación, estamos ayudándoles para que puedan reducir los riesgos de ciberseguridad a los que se enfrentan sin perder el foco de sus negocios.
Estamos viendo que más clientes nos piden que monitoreemos sus redes, identifiquemos vulnerabilidades, capacitemos a sus ejecutivos y personal, probemos sus servicios internos y externos para garantizar que sean resistentes, y los apoyemos a través de la transformación digital.
Uno de los principales desafíos para nuestros clientes es mantenerse al tanto del panorama regulatorio cibernético y de privacidad en constante crecimiento, no solo comprender dónde y cómo podría aplicarse a una organización, sino tener la capacidad interna para aplicar estos cambios.
Para una organización global que ofrece una combinación de productos y servicios a su base de clientes, puede ser difícil desarrollar y mantener un marco de referencia único de controles basados en riesgos cibernéticos y/o de privacidad en todas las partes de su negocio. El resultado es que a menudo existen múltiples marcos que no solo aumentan el esfuerzo necesario para garantizar que sigan siendo efectivos y actualizados, sino que también aumentan el riesgo de que los comportamientos de las personas no sean consistentes a medida que avanzan en el negocio.
Uno de los principales desafíos para nuestros clientes es mantenerse al tanto del panorama regulatorio cibernético
A la hora de proteger sus activos más críticos, ¿saben cuáles son? ¿dónde están?
Para identificar los activos críticos de cualquier organización, deben realizar una «evaluación del impacto comercial» de cada pieza de software o servicio para identificar cómo la empresa depende de él para brindar un «servicio comercial importante» – a las partes internas y externas clave, incluidos los clientes, equipos financieros, proveedores, reguladores, etc.
Solo una vez que sepa qué es importante para el negocio, se podrá decidir cuánto se invertirá para reducir el riesgo y aumentar la resiliencia en torno a ese activo. Con demasiada frecuencia, el mapeo y la comprensión de los activos digitales más críticos de una organización se realiza como un ejercicio único, lo que significa que, a medida que una empresa crece, los cambios en esos activos no se identifican y, con el tiempo, su perfil de riesgo cambiará.
Es importante asegurarse de que exista una conexión explícita entre los sistemas y aplicaciones que se identifican como críticos y los activos digitales que se procesan en ellos. Cuando los activos digitales críticos están siendo procesados por un tercero, es vital comprender qué está haciendo ese tercero con esos activos, dónde lo está haciendo y qué proveedores están utilizando para hacerlo.
Debe haber un enfoque basado en el riesgo para asegurar las actividades de los proveedores que, cuando corresponda, vaya más allá de un simple cuestionario completado por el proveedor una vez al año.
¿Cuáles son las tecnologías más adoptadas?
Estamos viendo que más organizaciones buscan proteger sus computadoras con software de «detección y respuesta de punto final» que combina muchas de las capacidades antivirus del pasado con la respuesta automática a una amenaza y monitoreo centralizado. Esto permite que una empresa asegure su patrimonio de TI de manera más efectiva.
También estamos viendo que la autenticación de múltiples factores en aplicaciones internas y externas es bastante común, mientras que las empresas más progresistas se están moviendo hacia diseños de «zero trust» para las redes donde todos los usuarios, dispositivos y tráfico de red no son confiables y, por lo tanto, deben verificarse con micro- segmentación y controles de acceso granulares para dificultar el compromiso de un sistema.
¿Se están adoptando planes de formación/concienciación de empleados como elemento de seguridad empresarial?
La conciencia es saber acerca de algo; entrenar es saber qué hacer al respecto. Si los empleados de una empresa no entienden lo que es importante para el negocio y su papel en la protección del negocio, entonces la empresa no puede responsabilizarlos si hacen algo mal.
La empresa debe ayudarlos a comprender que tienen un papel en la reducción de los riesgos para la organización y lo que se espera de ellos. La capacitación y la concientización deben brindarse de una manera que sea relevante para los diferentes grupos de personas en toda la organización.
Esto significa que la forma de entregarlo, su formato y el contenido, en particular los ejemplos de buena seguridad, deben hacerse de manera que el público objetivo pueda conectarse. No espere que la capacitación anual brinde una mejor seguridad; los empujones regulares o “en el momento” para hacer lo correcto funcionan mucho mejor.
La detección y la respuesta están de moda, sobre todo cuando es gestionada. ¿Cómo está evolucionando este tipo de servicio?
Con la detección y la respuesta cada vez más comunes, estamos viendo que más empresas buscan subcontratar el monitoreo de sus redes para que el socio externo pueda lidiar con el ruido, los falsos positivos, que genera cualquier sistema. Esto permite a las organizaciones centrarse en los problemas importantes que requieren el conocimiento interno detallado que tiene un miembro del personal para resolver el problema.
La seguridad de la cadena de suministro se ha convertido en un aspecto vital, ¿cómo están afrontando el reto las empresas?
Más empresas esperan que sus proveedores sean resistentes y les exigen, en contratos nuevos y revisados, que informen incidentes para que puedan trabajar juntos para resolver los problemas.
También insisten en que la cadena de suministro invierta en una mejor seguridad, particularmente cuando comparten acceso o datos, para ayudar a reducir los riesgos. Para muchas empresas con una cadena de suministro compleja, comenzar puede ser una tarea abrumadora. Saber en qué proveedores enfocarse entre cientos necesita un enfoque basado en el riesgo y flexible para cumplir con los requisitos cambiantes del negocio.
Esta gestión de la cadena de suministro debe comenzar en la etapa de adquisición para que la organización tenga una buena comprensión de los riesgos de cualquier nuevo proveedor y para preparar el escenario para esa nueva relación.
Respecto al cumplimiento, ¿qué normativa resulta más compleja de implantar?
¡La última! Las nuevas regulaciones pueden ser muy complejas para alinearse o integrarse, incluso para organizaciones que son relativamente maduras en su postura de ciberseguridad o privacidad.
La clave del éxito es comenzar a analizar tan pronto como sea razonablemente posible lo que podría significar una nueva regulación para una organización. Es cierto que las regulaciones pueden cambiar a medida que avanzan a través de sus diversos borradores y procesos de aprobación, pero esa visión temprana ayudará a garantizar que las personas adecuadas puedan participar en cualquier trabajo necesario para preparar y, en última instancia, implementar, con suficiente antelación para incorporarlo en presupuestos y planes.
los ataques más comunes que estamos viendo incluyen ransomware, compromiso de correo comercial y robo de datos
Recientemente habéis lanzado vuestro informe anual de amenazas. ¿Qué tipo de ataque es el más habitual? ¿y el más dañino?
Esto depende mucho del tipo de organización que sea y de la región en la que opere. Sabemos que diferentes grupos, ya sea un grupo criminal, un Estado nacional o un hacktivista, cada uno tiene diferentes motivaciones. Y como tal, esto influye en los ataques que es más probable que se vean. Así que tenemos que tener esto en cuenta al hacer la pregunta más importante.
En resumen, los ataques más comunes que estamos viendo incluyen ransomware, compromiso de correo comercial y robo de datos. Por supuesto, todo esto está respaldado por una variedad de mecanismos de acceso inicial que incluyen ingeniería social, reutilización de contraseñas, explotación de infraestructura vulnerable y el despliegue de malware a través de una gran cantidad de mecanismos, incluidos correos electrónicos o aplicaciones falsas.
¿Qué impacto está teniendo la guerra de Ucrania en la seguridad empresarial?
Hay dos áreas principales dignas de mención, la primera es la amenaza cibernética general y la segunda es la cadena de suministro. Los Centros Nacionales de Seguridad Cibernética están emitiendo consejos a las organizaciones para que sigan la guía que han puesto a disposición para ayudarlas a reducir la posibilidad de que se vean afectadas por un ataque de seguridad cibernética.
Los ataques de ciberseguridad a menudo pueden ser indiscriminados y arrastrar a víctimas que no eran el objetivo inicial. En el lado de la cadena de suministro, al comienzo de la guerra había muchas organizaciones que tenían proveedores que operaban desde Ucrania y Rusia, lo que presentaba un riesgo comercial significativo.
Muchas organizaciones retiraron sus operaciones de Rusia o se mudaron para reducir su dependencia de los proveedores allí. Donde los proveedores tenían su sede en Ucrania, ha habido un esfuerzo concertado para continuar trabajando con ellos para mostrar su apoyo.
Las organizaciones que buscan mejorar la resiliencia de su cadena de suministro están descubriendo las dificultades de comprender adecuadamente el riesgo de su negocio a lo largo de largas cadenas de suministro.
¿Está adoptando el mercado tecnologías de ciberinteligencia?
A partir de nuestras conversaciones con Gartner e interactuando con nuestros clientes actuales y potenciales, está claro que la ciberinteligencia se está volviendo más integral para las operaciones de seguridad de una organización.
Las organizaciones necesitan un enfoque basado en la resiliencia con una gobernanza madura y una estrategia de riesgo. La estrategia de cada organización será única, pero una cosa que permanece constante es la necesidad de inteligencia de amenazas para informarla.
Ciberinteligencia es conocimiento procesable e información sobre los adversarios y sus actividades maliciosas, que permite a los defensores y sus organizaciones reducir el daño a través de una mejor toma de decisiones de seguridad.
El uso apropiado de la inteligencia de amenazas permite a los líderes organizacionales tomar decisiones basadas en el riesgo que informan los presupuestos futuros y dónde enfocar sus esfuerzos de seguridad. Con el tiempo, es probable que la ciberinteligencia vaya más allá de un mero facilitador y se convierta cada vez más en algo que produzca una ventaja competitiva.
