Maximizar la seguridad de los datos utilizando el modelo de confianza cero
Autor: Steve Summers, director de ofertas y responsable de seguridad para el sector aeroespacial, de defensa y gubernamental
Según el informe de 2023 de IBM y el Instituto Ponemon1, el coste medio global de una violación de datos ha alcanzado la increíble cifra de 4,45 millones de dólares, un aumento del 2 % respecto al año anterior.
Sin duda, una estadística aterradora para cualquier ejecutivo empresarial. El informe tiene en cuenta múltiples factores como el daño a la reputación, la rotación de clientes y la productividad. No cabe duda de que las infracciones de seguridad informática no solo representan un problema para los directores del departamento de informática y sus responsables de seguridad, sino que afectan a toda la organización. No obstante, nuestro progreso hacia la integración de las IT con otros departamentos para desarrollar un enfoque integral de la ciberseguridad ha sido tremendamente lento.
Aprendizaje de lecciones
Un ejemplo inicial de cómo los ciberataques pueden causar daños en toda una empresa se produjo entre 2005 y 2010, con el ataque Stuxnet al programa nuclear de Irán. El gusano informático Stuxnet fue diseñado para atacar los PLC que controlan la automatización de diversos procesos industriales. En este caso, infectó a los PLC que controlaban las centrifugadoras utilizadas en los reactores nucleares, lo que provocó que dejaran de funcionar correctamente. Esto perjudicó tanto a Irán que, según algunos informes, alrededor del 20 % de las centrifugadoras del país quedaron inoperativas.
Stuxnet cambió las reglas del juego para los profesionales de la seguridad informática. Y es que no solo puso de manifiesto lo vulnerables que son las organizaciones, sino también que la infraestructura IT no debe considerarse de forma aislada. Si, por un lado, se consideró un ataque a Irán específicamente —y muchos lo interpretaron como un ataque coordinado por parte de fuerzas de seguridad externas—, por otro lado, demostró el potencial destructivo del malware en un entorno OT, más que en uno IT. Además, no solo está en peligro la industria nuclear, y no solo se trata de Irán. Los expertos de seguridad de Norton calculan que se producen 2200 ciberataques cada día. Esto corresponde a 800 000 personas hackeadas cada año. Y los Estados Unidos tampoco han sido inmunes a ello. El ejemplo más conocido de un ataque a gran escala en territorio norteamericano fue el ataque SolarWinds en 2020. En una de las infracciones de ciberseguridad más importantes del siglo XXI, los hackers introdujeron un código malicioso en el sistema de monitorización y gestión informática SolarWind Orion, en el que confiaban miles de empresas y gobiernos de todo el mundo. Este incidente reveló múltiples vulnerabilidades en los Estados Unidos (y en gran parte de Occidente). Los altos directivos se enfrentaron a la realidad de que sus sistemas estaban expuestos al riesgo de cualquier clase de ataque coordinado, especialmente cuando los atacantes cuentan con los recursos de un estado-nación, como parece haber sido el caso del ataque a SolarWinds.
Con posibles enemigos en todos los frentes, la seguridad de los datos prácticamente se está convirtiendo en una operación de carácter militar. Por lo tanto, no sorprende que el Departamento de Defensa de los Estados Unidos haya decidido desarrollar un nuevo y riguroso enfoque interorganizacional de la ciberseguridad.
Enfoque militar
Durante mucho tiempo, las instituciones militares han sido un objetivo principal de los ciberataques. El Departamento de Defensa de los Estados Unidos, ya acostumbrado a impedir otras infracciones de seguridad, se dio cuenta de que era necesario reforzar la protección de los datos en sus instalaciones militares. En enero de 2020, el departamento presentó una nueva iniciativa que no solo afecta a los organismos gubernamentales, sino que se extiende a todos los contratistas de la cadena de suministro. La Certificación del modelo de madurez de ciberseguridad (CMMC) se basa en el principio de confianza cero. Se trata del proceso en el cual todas las partes de una organización, y todas sus interacciones, se validan en cada paso del camino: no confiar en nadie ni en nada está a la orden del día.
La certificación CMMC significa que cualquier empresa que desee vender a cualquier agencia gubernamental de los Estados Unidos debe seguir un riguroso marco y proceso de certificación en el que cada componente, y su relación con otros componentes, se valida en cada paso del montaje y el uso. A partir de ahora, es obligatorio que cualquier negocio que quiera convertirse en un proveedor DoD adopte este enfoque. Sin una autorización para operar (ATO), ninguna empresa puede llevar a cabo negocios con una agencia gubernamental de los Estados Unidos.
Enfoque integral
El enfoque de confianza cero es igualmente aplicable —y cada vez más necesario— fuera de la industria de defensa, aunque implica una inversión considerable y un cambio cultural masivo en el que los ingenieros, los equipos de IT y de pruebas trabajan más estrechamente juntos. .
Esto puede resultar desalentador, pero la ciberseguridad ya no se limita únicamente al ámbito informático. Hay un mundo completamente nuevo de dispositivos conectados a IP, sin olvidar otras instalaciones que pueden ser vulnerables, como los sistemas de aire acondicionado. ¿Recuerda Target2? El malware descargado por descuido por un pequeño contratista de sistemas de calefacción, ventilación y aire acondicionado (HVAC) se utilizó para robar datos financieros de clientes y transferir la información a hackers de Europa del Este, una violación de la seguridad que le costó al minorista unos 202 millones de dólares. La conclusión es que ya no hay áreas seguras: cualquier lugar dentro de una empresa está ahora en riesgo de incursiones delictivas. Y las amenazas no se detienen implementando una ciberseguridad ejemplar dentro de su propia organización. Como demuestra claramente el ejemplo de Target, existe la necesidad correspondiente de ampliar las estrategias de ciberseguridad para incluir a los contratistas externos. También es necesario controlarlas estrechamente para asegurar el cumplimiento y que protegen rigurosamente cualquier información confidencial.
Por ejemplo, es imprescindible que el departamento de IT participe en las fases de prueba para garantizar que los contratistas incorporen la ciberseguridad en los chips, componentes y sistemas desde el principio. Actualmente, NI es uno de los pocos proveedores que comprendió que era fundamental que las soluciones de prueba cumplieran el CMMC y realizó las inversiones adecuadas en una fase temprana de la implementación. A medida que cada vez más empresas fuera de la industria de defensa adopten el enfoque de confianza cero, se alentará a otras empresas de la cadena de suministro a realizar la inversión necesaria en prácticas de negocio ciberseguras.
Asegurar el futuro
El riesgo de ciberataques no va a desaparecer. La cifra anual de violaciones de la seguridad en organizaciones empresariales aumentó un 27,4 % en 2023. Actualmente, se calcula que el coste global de la ciberdelincuencia es de 6 billones de dólares anuales, una cifra que se estima que aumente a 10,5 billones de dólares anualmente en 20253. Por este motivo, es imprescindible que todas las empresas inviertan en desarrollar un enfoque más sólido y amplio en materia de ciberseguridad. El coste de la implementación, si bien es importante, probablemente no se acerque al coste de una violación de datos: no solo en términos de pérdidas económicas, sino también en términos de pérdida de negocio y pérdida de reputación.
El modelo de confianza cero CMMC ofrece un marco fiable sobre el que construir, pero todavía se está trabajando en ello. Continuamente surgen nuevos retos, incluido el aumento del teletrabajo y el uso cada vez mayor del almacenamiento en la nube. En nuestro nuevo mundo de confianza cero, luchar contra los hackers implica toda la cadena de suministro, y los ingenieros, equipos de pruebas, profesionales de la IT y proveedores de pruebas deben estar conectados para garantizar la ciberseguridad.
Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.
Funcional
Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu Proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
