Capacitar a los equipos, una estrategia ante la

ciberdelincuencia
contenido  patrocinado
 
FOTO: 
Microsoft
Las capacitaciones y programas de desarrollo generan conocimiento
y resiliencia ante los ataques.
En una economía en decrecimiento como la que se espera para el año que viene, reducir costos podría parecer
una medida apropiada. No obstante, una encuesta de Gartner de julio de 2022 a más de 200 directores
financieros encontró que el 69 por ciento planea aumentar su gasto en tecnologías digitales y la organización
proyecta que el gasto mundial en IT crecerá por encima del 5 por ciento en el 2023. Y es que la transformación
tecnológica se ha convertido en parte fundamental de la agenda de competitividad de las organizaciones, de
cualquier tamaño o sector, pues la tecnología es la única fuerza deflacionaria en un escenario de inflación, es el
factor de producción que permite hacer más con menos.Con esta aceleración digital continuada y con una fuerza
de trabajo dispersa, aumenta la necesidad de tener una sólida estrategia de seguridad. El mundo entero ha sido
testigo de cómo un ciberataque puede representar grandes pérdidas económicas y de información sensible, y
tener consecuencias reputacionales y operativas de las cuales algunas organizaciones no se recuperan. No es de
extrañar, por lo tanto, que la ciberseguridad se haya convertido en una prioridad de las compañías a nivel
mundial.

Las cifras son elocuentes: de acuerdo con el último Informe de Defensa Digital de Microsoft, el número de
ataques de contraseña por segundo aumentó en un 74 por ciento. Y mientras los cibercriminales aumentan la
frecuencia y sofisticación de sus ataques, las organizaciones intentan mitigar los riesgos adquiriendo soluciones
de seguridad robustas. “Sin embargo, lo que muchas veces se deja en un segundo plano puede ser la mejor
línea de defensa: las personas. El éxito de la transformación digital de las organizaciones depende no solo de
la tecnología, sino también del capital humano “ afirma Luisa Esguerra, directora de GTM de seguridad para
Latinoamérica en Microsoft. 

Las personas: la primera línea de defensa

Cuando se trata de seguridad, las herramientas son fundamentales, pero no lo son todo. El factor humano es la
primera línea de defensa de una organización. Esto incluye tanto a los colaboradores, que necesitan desarrollar
buenas prácticas para ser los primeros agentes de protección de los activos y la información de las
organizaciones, como al personal especializada que entiende la infraestructura de la empresa, sus puntos
frágiles, sabe aplicar las estrategias y herramientas para poner a prueba los controles y proteger a las
organizaciones, “Sin personal entrenado, hacer inversiones en la tecnología de seguridad más robusta es como
invertir en el sistema de alarmas y blindaje más sofisticado para tu carro, pero dejarle las puertas
abiertas”señala Marcelo Felman.

No obstante, el mundo entero enfrenta una escasez preocupante de talento capacitado en seguridad digital. La
oferta simplemente no parece suplir la demanda. Ya en 2020, el Estudio de la Fuerza de Trabajo en
Ciberseguridad de (ISC)², señalaba una falta de 2,7 millones de profesionales en todo el mundo en 2020. Ahora,
con la aceleración de la transformación digital, se estima que el déficit alcanzará 3.5 millones para 2025, lo cual
representa un aumento del 350 por ciento en un período de ocho años. Entre las consecuencias de no contar con
personal capacitado, las organizaciones citan sistemas mal configurados, lentitud de los ciclos de corrección,
entregas apresuradas, falta de tiempo para una adecuada evaluación de riesgos, insuficiente visibilidad de los
procesos y procedimientos. Todas estas son vulnerabilidades que facilitan la vida a los atacantes.

¿Y qué hacer?

El primer camino es invertir en el desarrollo del talento. "Se debe contar con un plan estructurado de
crecimiento profesional que permita a los colaboradores aprender sobre este sector y estar al día de las nuevas
tendencias de ciberataques", dice Luisa Esguerra. Además, vale la pena crear un modelo de carrera
diferenciado que atraiga y retenga a los distintos perfiles de profesionales del área. “Es importante que cada
colaborador tenga la posibilidad de diversificarse y capacitarse en temas de ciberseguridad” añade.

Sin suficientes profesionales de seguridad capacitados para proteger a las organizaciones, los líderes
empresariales deben buscar nuevos métodos para formar y entrenar el talento que necesitan. Los líderes de
seguridad pueden crear nuevas trayectorias profesionales dentro de la organización y potencialmente descubrir
y desarrollar talento interno. "La ciberseguridad necesita cada vez más abogados, más personas que trabajen
en gobierno corporativo... El área es para todos y para todos, independientemente de su formación” añade
Vanessa Padua, Líder de Ciberseguridad y nube de Microsoft para Latinoamérica.

Rutina de entrenamiento
La delincuencia, desafortunadamente, opera de manera ágil y sus estrategias de ataque cambian constantemente,
lo cual exige una actualización constante de las capacidades de los equipos. Por ello, forma parte de la rutina de
un profesional estar siempre en formación con ejercicios dinámicos, como las simulaciones, “que ayudan al
intercambio de conocimiento, preparan a los equipos para un eventual ataque, ayudan a desarrollar planes
estructurados de respuesta y recuperación y construyen resiliencia en las organizaciones", dice Marcelo
Felman.

Cómo funcionan los simulacros de ataque:

Equipo Rojo: conformado por profesionales que trabajan en seguridad ofensiva, con conocimientos en
modalidades y técnicas de ataque. Cuentan con el apoyo de equipos de investigación (que alimentan al Equipo
Rojo con información) y de ingeniería (que desarrollan herramientas de ataque).

Equipo azul: profesionales centrados en la defensa de los entornos. Este grupo incluye el equipo de respuesta a
incidentes, o equipo de respuesta a incidentes de seguridad informática (CSIRT). Sus profesionales preparan los
planes y acciones a realizar cuando la empresa sufre un ataque.

Equipo morado: profesionales que se unen a los dos equipos anteriores para realizar simulacros de ataque.
Las reglas del juego

Para elegir qué tipo de ataque se reproducirá en la simulación, Equipo Rojo tiene en cuenta el contexto de la
empresa y adopta un marco de mercado, que contiene una base de conocimientos sobre los ataques mapeados en
todo el mundo. El más utilizado es Mitre Att&ck. Los equipos eligen los activos que serán objeto de los
ataques, para que los sistemas se reproduzcan en un entorno controlado.

La acción

Si el modelo de ataque elegido era el phishing, por ejemplo, el Equipo Rojo lanza un mensaje malicioso al
Equipo Azul. Si el mensaje ya está bloqueado automáticamente por el sistema, se verifica que la herramienta
funciona. Pero en una simulación, el mensaje se deja pasar a propósito para evaluar si la respuesta es adecuada.

Observadores

A lo largo de la acción y la respuesta, el Equipo Púrpura está vigilando, observando si los procesos de defensa
que se diseñaron, de hecho, funcionan. Puede ocurrir que el profesional siga estos pasos, pero se olvide de
eliminar el correo electrónico de la bandeja de entrada de todos; las simulaciones también pueden señalar la
necesidad de corregir el código en las herramientas.

En modo difícil

Una modalidad más avanzada son los llamados Juegos de Guerra, en los que el Equipo Rojo ataca sin que el
Equipo Azul lo sepa.

Estableciendo una rutina con la ejecución de estos ciclos, Microsoft recomienda que cada empresa elabore y
mantenga actualizado su "playbook" (un documento con los procesos e instrucciones) para los empleados que
llegan a la operación. Así, estos ejercicios pasan a formar parte de la cultura de protección y mejora continua de
la seguridad de los productos y servicios de forma permanente.

Especial ciberseguridad
Promover el conocimiento y compartir buenas prácticas para ayudar a las organizaciones a reducir los riesgos
relacionados con la seguridad es el objetivo del especial "Transformación Digital Segura", producido con el
apoyo de Microsoft. Consulte todos los contenidos del especial para tener más información.