¿Por qué cada vez menos compañías despliegan herramientas de monitorización de la seguridad?
En nuestra publicación del pasado 6 de mayo explicábamos cómo el ministerio de Deportes, Cultura, Medios y Digital de Reino Unido (DCMS) publicó, como parte del Programa de ciberseguridad nacional, su sexta encuesta anual sobre ciberseguridad en organizaciones, empresas de beneficencia e instituciones de enseñanza del Reino Unido.
Con el nombre de Cyber Security Breaches Survey 2021, la encuesta resaltaba un número importante de problemas relativos a la forma en la que estas organizaciones habían hecho más seguros sus sistemas y datos durante la pandemia actual. Uno de los problemas más notables (y en cierto modo alarmante) expuesto por la encuesta era que cada vez menos empresas están desplegando herramientas de monitorización de seguridad. Y la cuestión fundamental es ¿por qué?
Bajan los índices de implantación
Según la encuesta, el 35% de las empresas están desplegando herramientas de monitorización de la seguridad – un 5% menos con respecto al 40% del año anterior. Del mismo modo, hay menos compañías que llevan a cabo cualquier tipo de monitorización de los usuarios.
Sabemos que cada vez hay más empleados trabajando desde casa a consecuencia de la COVID-19 y, al estar trabajando de forma remota, las empresas necesitan una mayor visibilidad sobre cómo sus empleados acceden a los datos sensibles (¡no menor!).
El estudio sugiere que la razón por la que menos organizaciones están monitorizando a sus usuarios es que son “menos conscientes que antes de las brechas y ataques que sus empleados sufren”. Entonces ¿son menos conscientes que antes de la pandemia? ¿Estamos ante un caso flagrante de ‘ojos que no ven…’?
Parece una conclusión bastante extraña, dado que los cibercriminales están notoriamente mucho más proactivos durante las épocas de crisis y podríamos asumir que una mayoría de empresas son conscientes de esto. Quizás el aumento en gasto de ciberseguridad (según explica este artículo) durante la primera ola de la pandemia demuestra que las compañías esperaban lo peor y, una vez pasado, es posible que el gasto en ciberseguridad empezara a acortarse.
La propia encuesta indica que algunas de las organizaciones encuestadas piensan que “el gasto de licenciamiento de software de monitorización de usuarios era demasiado elevado para extenderlo a todos los empleados”. Si las empresas estaban preocupadas por la pérdida de ingresos causada por el coronavirus, es comprensible que dudaran en invertir en tecnologías de ciberseguridad.
Licenciamiento y Escalabilidad
Es importante destacar algunos puntos acerca del licenciamiento asociado a las soluciones de monitorización de la seguridad. El primero es que las empresas no tienen por qué instalar la solución en todos los dispositivos.
Lógicamente adquirir una licencia por cada usuario da mucha más visibilidad de cómo los usuarios interaccionan con los datos sensibles, sin embargo, se puede adquirir una licencia en base a una determinada plataforma, o incluso pagar por una funcionalidad específica según los requerimientos de la empresa.
Algunos fabricantes ofrecen lo que se denomina “escalado basado en prioridades”, es decir, aplicar recursos a lo que se consideren las mayores amenazas a la organización. Quizás preocupan más posibles ataques de ransomware que un exceso de privilegios de los usuarios, o que los empleados estén compartiendo datos sensibles con personas ajenas a la empresa. Identificar dónde se encuentran las mayores debilidades en nuestra seguridad y enfocarnos en ese punto puede ahorrarnos costes de infraestructura y, si tenemos necesidades adicionales, siempre podemos ampliar la licencia en otro momento.
La importancia de herramientas de monitorización de la seguridad
La mayoría de las brechas de seguridad, como sabemos, tienen lugar bien por mala fe, bien por un error humano de cualquier empleado de una empresa. El principal objetivo de una herramienta de monitorización es asegurarse de que sabemos cómo se están tratando los datos sensibles que tenemos y quién los está usando. Algunas soluciones también ayudan a monitorizar otros tipos de actividad de usuarios tales como sesiones, uso de aplicaciones y uso de internet.
Aunque es cierto que los costes iniciales de implementación de una herramienta de monitorización de la seguridad pueden ser altos, una solución sofisticada que funcione a tiempo real hará que ahorremos tiempo y, con el tiempo, consecuentemente también hará que ahorremos económicamente. Actualmente la mayor parte de soluciones utilizan técnicas de machine learning para determinar patrones típicos de uso y detectar automáticamente desviaciones de estos patrones para identificar una actividad anómala. En caso de que sospechemos de que hay una brecha, enviarán una alerta al administrador o responderán a los eventos relevantes de forma automática.
Otra razón importante por la que las organizaciones deberían invertir en herramientas de monitorización de seguridad es el cumplimiento. La mayor parte de las regulaciones en materia de privacidad de datos, como GDPR, requieren que sepamos cómo se accede a los datos personales.
En muchos casos, se requiere que aportemos evidencia de esta información a las autoridades supervisoras y, si no lo cumplimos, podemos incurrir en acciones disciplinarias, además de una multa o incluso una demanda. La mayoría de las soluciones de monitorización más sofisticadas pueden encontrar y clasificar datos sensibles por lo que cubren las leyes de privacidad relevantes para cualquier organización y sector.
No sólo hace más fácil asignar los controles de acceso apropiados para los activos más críticos, sino que también informa de cuándo se ha accedido a los datos regulados. Con un solo click se pueden generar informes predeterminados para presentar a las autoridades relevantes como prueba de que sabemos dónde residen los datos regulados y de que tenemos los controles necesarios para mantenerlos seguros.
Como era de esperar, los hackers no se quedaron atrás para sacar provecho de la crisis mientras las empresas se apresuraban a adaptar sus protocolos de seguridad para hacer frente a un entorno de trabajo en remoto. Naturalmente, formar a los trabajadores sobre cómo identificar emails y adjuntos dudosos es la mejor forma de proteger a una organización de un ataque de ransomware. Sin embargo, incluso con una formación extensiva, solo se requiere un minúsculo lapso en un mínimo momento de fatiga para que el sistema colapse.
Las mejores soluciones de monitorización ofrecen una característica muy valiosa que se conoce como “umbral de alerta” y que puede ayudar a prevenir que se propaguen los ataques de ransomware. En pocas palabras, el umbral de alerta permite a las empresas automatizar una respuesta a eventos que coincidan con una condición de umbral predefinida – en este caso, cuando un gran número de archivos son encriptados en un corto espacio de tiempo. Si se cumple la condición de umbral, se puede ejecutar un script personalizado que o bien puede desactivar una cuenta de usuario, detener un proceso específico, ajustar la configuración del cortafuegos o simplemente desconectar los sistemas afectados.
Según indica este artículo, el número de ataques de ransomware ha aumentado un 56% a nivel mundial. En España ya se produjo un aumento del 160% durante el 2020 y, desde que ha dado comienzo este año, no han dejado de sucederse estos ciberataques de forma muy notoria a numerosas instituciones públicas. Y por mera correlación estadística, habrá un mayor número de empresas privadas que hayan sufrido ciberataques sin que nos hayamos enterado al no tener tanta repercusión o alcance mediáticos. Como se suele decir “no es cuestión de si se producirá un incidente de seguridad, sino de cuándo”. Si la principal causa de que cada vez menos organizaciones inviertan en monitorización es económica, sería interesante plantearse si quizás no se deba recortar en otras áreas de IT antes. No disponer de visibilidad sobre nuestros datos críticos (quién tiene acceso, qué está haciendo y cuándo) hace más difícil que nuestros datos sean seguros y por tanto más propensos a no cumplir con las leyes de privacidad relevantes.
En MICROMOUSE tenemos una amplia cartera de herramientas de ciberseguridad para cualquier tipo y tamaño de negocio, con soluciones que cubren numerosos aspectos que afectan la seguridad de cualquier empresa y con una escalabilidad adecuada a las necesidades más prioritarias. Ya sea auditoría y monitorización (LEPIDE), aumentar la seguridad antimalware de nuestros sistemas y/o correo electrónico (OPSWAT), encriptación granular de nuestros dispositivos (SAFEND) y encriptación inteligente de nuestros sistemas locales o en la nube (ATAKAMA), en MICROMOUSE podemos asesorarte de qué se ajusta mejor a tus necesidades en términos de tecnología y de presupuesto.