Kaspersky Summit San Francisco

En días recientes, el fabricante de soluciones de seguridad Kaspersky Lab organizó un simposio muy exclusivo, pero sumamente atractivo en la ciudad de San Francisco en California. El evento denominado “El Estado de Seguridad IT de las Empresas, resultó ser todo menos un evento que pretendía lavar el cerebro a periodistas, con que la marca patrocinadora es lo mejor del mundo.   Por el contrario, resultó ser un evento muy equilibrado con panelistas de primer nivel que compartieron sus éxitos y frustraciones corporativas en materia de seguridad informática, independientemente de la o las soluciones que implementaron.

Tan comprometido con la calidad del evento estuvo el patrocinador, que el mismo CEO Eugene Kaspersky se involucró y participó en algunas mesas redondas de discusión. Sin embargo, todo empezó con una presentación magistral de Tom Ridge.

Ridge fue el primer Secretario de Homeland Security en los Estados Unidos después de los ataques del 11 de septiembre. Tuvo a su cargo organizar el departamento que se encargaría de velar por la mayoría de aspectos relacionados con seguridad nacional, así como también quién entra y quién sale del país. Dentro de sus responsabilidades estaba verificar que el país iba a estar bien asegurado dentro de sus fronteras, tanto de ataques terroristas, como criminales y cibercriminales. Estaba a cargo de que las principales fuentes de energía y de agua del país, no podían ser atacadas ni accesadas ilegalmente por nadie. Uno de los temores más grandes dentro de la comunidad de seguridad en Estados Unidos y el mundo, señala, es que sus enemigos tomen control de estas unidades de misión crítica. Todas estas plantas están totalmente automatizadas y es muy necesario velar por que ningún cibercriminal las utilice como herramienta para obtener algún beneficio económico (en el mejor de los casos) o bien hacer un daño mayor.

Ridge concluyó diciendo que defender tanto a organizaciones como a gobiernos desde adentro hacia afuera es muy complicado. En sus años fungiendo como el mayor responsable de la seguridad interna del país, tuvo retos muy grandes que a la fecha no han podido cumplirse aún. Habría que hacer un sacrificio inmenso en la calidad de vida de los ciudadanos para poder adaptarlos a como se debería. Sin embargo, poco a poco esto ha ido evolucionando y los cambios necesarios se han ido introduciendo pero no a la velocidad que se debería. Sin lugar a dudas, la tecnología ha sido el factor principal que ha propiciado y acelerado dichos cambios.

Ataques hacia un objetivo (targeted attacks)

Dentro de todo el programa de presentaciones hubo una mesa redonda que trató el tema de “defensa contra el ciber espionaje”. Estuvo conformada por Eugene Kaspersky, CEO de Kaspersky Lab, Fred Schwien, Director de programas de seguridad y Estrategia para Boeing, y Joe Sullivan el Chief Security Officer o principal responsable de la seguridad de Facebook. La moderación del grupo estuvo a cargo de Howard Schmidt, la cabeza del equipo de consejeros internacionales de Kaspersky Lab.

La primera sorpresa fue el ver a Joe Sullivan, quién raras veces hace apariciones en público por lo delicado de su cargo. Pese a lo denso y delicado de su cargo, Sullivan comentó que para Facebook el departamento de seguridad es el de mayor importancia. En la actualidad, indica, Facebook tiene igual o mayor seguridad que cualquier institución pública en Estados Unidos, ya que está guardando información muy sensitiva de millones de usuarios. La cantidad de ataques a los que se ven sometidos diariamente es absurda.   El número de ataques cibernéticos a los que se someten anualmente se duplica o triplican cada año. Y el tipo de amenazas se vuelve cada vez más complejo. Es muy estresante mantenerse al día con cada una de ellas, pero no queda otra alternativa.

Las vulnerabilidades son cada día mayores y el incremento de dispositivos que hay que proteger es cada vez mayor. “Anteriormente solo había que preocuparse de proteger computadoras y periféricos en la empresa. Todos tenían el mismo sistema operativo y existían más recursos investigando un mismo problema. Hoy en día con tanto sistema operativo y dispositivo todo se ha vuelto más complejo” señaló Schwien. Es muy difícil predecir por dónde viene la siguiente amenaza.

Por su parte Kaspersky hizo un análisis muy interesante de lo que viene con el “internet de las cosas”. Según él la complejidad de proteger a un usuario en los próximos años, 5 a 20, será muy grande. La cantidad de dispositivos, no sólo teléfonos o tabletas, que se están liberando para el hogar o las empresas son cada uno de ellos una vulnerabilidad más. Desde los sensores wifi que se están vendiendo para controlar las condiciones ideales para las plantas y ornamentos en casa, hasta los sensores que están apareciendo en la ropa todo tiene una dirección IP. Y todos son puntos de entrada a una red a través de la cual es posible accesar otras redes e infectar con malware o desarrollar un ataque masivo sin que nos enteremos. Kaspersky concluyó con una frase que puede convertirse en célebre “Ahora ya no somos nosotros los que miramos a la televisión ahora ella también nos ve a nosotros”, refiriéndose a los televisores inteligentes.

Entidades financieras las más afectadas

Otro de los paneles que destacaron fue el de entidades financieras. De acuerdo a los datos presentados, estas entidades son las que más apetecen a los ciber delincuentes. La mayoría de veces también son las más rentables. Ellen Richey, Vicepresidente Ejecutiva y Oficial Principal de Riesgo Corporativo (Chief Enterprise Risk Officer) para Visa; Steve Adegbite, Vicepresidente Senior del Programa de Seguridad Empresarial de Wells Fargo y Chris Rezek, Consultor experto de McKinsey conformaron este panel.

Prácticamente este sector es el que más innovación e ingenio tiene que aplicar para protección. Es sin lugar a dudas, el sector que más invierte en estar, o al menos intentar estar, un paso adelante que los ciber criminales.

Eventos como el ataque que tuvo la cadena Target hace poco hacen que la industria financiera, particularmente la de tarjetas de crédito, sufra mucho e invierta tanto en seguridad. El costo financiero que trajo a dicha tienda y a algunas compañías emisoras de tarjetas de crédito fue altísimo. Casi al punto de poder quebrar a cualquier empresa que no tenga un buen respaldo.

Hoy en día, ya no es suficiente con que una sola empresa esté protegida. Así como se certifica a los suplidores en diferentes aspectos para que pueda hacer negocios con la empresa, ahora es necesario certificarlos en materia de seguridad. Hay evidencias que algunos ataques han sido a través de suplidores externos y una vez más son una vulnerabilidad grande. Y para que dicha certificación sea válida, es necesario que exista un forense que en realidad verifique que todo lo que se dice exista.

CONCLUSIONES

Hubo varias conclusiones que se obtuvieron después de un día de conversación acerca de seguridad. Dentro de ellas podemos destacar:

1. Según Tom Ridge, la comunicación o el flujo de información entre agencias de gobierno debe incrementarse. No es posible que sigan ocultándose o más bien dejando de informarse entre sí el tipo de ataques al que son sometidas. Lo mismo sucede cuando se tiene inteligencia acerca de alguna amenaza inminente, debe compartirse de inmediato y no hacerla tan exclusiva.
2. Cuando los cibercriminales atacan al sector privado también debe prestársele cuidado. Es imperativo compartir con las agencias de gobierno pertinentes, cuando se ha sido blanco continuo de ataques. Si un banco es objeto de ataques en Estados Unidos y los fondos están asegurados, entonces son todos los habitantes que pagan impuestos los que lo pagan. Es por ello que se convierte en un problema de seguridad nacional. También el hecho de que se vuelva en un ataque viral a todo el sistema financiero de un país, puede dejar muy mal parada a esa nación. Es por ello que la comunicación entre sectores es fundamental, no para compartir secretos de estado, pero sí para compartir información de ataques y sobre todo métodos usados por los cibercriminales.
3. Algo en lo que no se había caído en cuenta antes, es que muchas veces los proveedores de bienes o servicios, tienen acceso a las redes seguras de una corporación o agencia de gobierno. El problema es que no se sabe qué tipo de protección tienen estos terceros. Es necesario certificarlos en términos de seguridad para permitirles o no, el acceso a los sistemas de las corporaciones o agencias.
4. Por más que se insista sigue siendo una de las amenazas más grandes y son los empleados. La mayoría de ataques provienen de dentro de las organizaciones y muchas veces no se dan ni cuenta. Es necesario crear consciencia en los usuarios en materia de seguridad. Dejar desprotegidos los dispositivos, abrir archivos indebidos y hasta prestar un dispositivo USB, comprometen grandemente la seguridad de cualquier sistema. BYOD ha venido a ser el dolor de cabeza de los responsables de seguridad en cualquier empresa, pues ya es necesario proteger a los usuarios hasta de ellos mismos.