Protección de la superficie de ataque atomizada: La ciberseguridad en el nuevo mundo del trabajo

Un nuevo estudio revela cómo la adopción de un modelo de fuerza de trabajo remota y la migración de funciones críticas para el negocio a la nube exponen a la gran mayoría de las organizaciones a un mayor riesgo.

Los próximos 18 meses van a poner a prueba la entereza de las organizaciones de ciberseguridad de todo el mundo como nunca.

La superficie de ataque es cada vez más dispersa y distribuida debido a los sistemas implementados para respaldar el trabajo remoto en respuesta a la pandemia de la COVID-19, todos los cuales van camino a convertirse en elementos permanentes en la medida en que los límites entre la oficina y el hogar se difuminan. Los ataques a SolarWinds y Kaseya aumentan la preocupación por la integridad de la cadena de suministro de software. Y la nube ya no es opcional: es un facilitador esencial de las funciones de negocios críticas en un lugar de trabajo sin fronteras.

¿Qué implica todo esto para los líderes de seguridad? Creemos que representa una oportunidad para replantearse qué se considera un "activo" y cómo se define una "vulnerabilidad", y cómo mejorar la visibilidad hacia ambos, todo ello mientras se mantiene la productividad y la seguridad de los empleados. Es necesario volver a hacer hincapié en la necesidad de alinear la ciberseguridad con las prácticas de negocios.

Un nuevo estudio, Más allá de los límites. El futuro de la ciberseguridad en el nuevo mundo laboral, encomendado por Tenable y realizado por Forrester Consulting, revela que los ajustes que efectuaron las organizaciones para adaptarse durante la pandemia han aumentado su nivel de riesgo. Además, proporciona un vistazo a veces alarmante de lo que ocurre en la red doméstica promedio. El estudio se basa en los resultados de una encuesta en línea realizada a 426 líderes de seguridad, 422 ejecutivos de negocios y 479 trabajadores remotos de 10 países (es decir, empleados a tiempo completo que trabajan tres o más días desde su hogar), así como también en entrevistas telefónicas en profundidad con seis ejecutivos de negocios y de seguridad.

Según el estudio, el 80 % de los líderes de negocios y de seguridad indica que sus organizaciones están más expuestas al riesgo actualmente, como resultado del cambio a un modelo de fuerza de trabajo remota y de la migración de funciones críticas para el negocio a la nube. Creemos que muchas de las herramientas de trabajo remoto y en la nube se pusieron en servicio sin controles de seguridad. En algunos casos, las propias herramientas son incipientes y sus controles de seguridad están inmaduros.

Ya es hora de que los líderes de InfoSec reevalúen estratégicamente los sistemas establecidos para adaptarse a estos cambios, con el fin de que su seguridad sea tan dinámica como el propio lugar de trabajo. Casi una cuarta parte (24 %) de los líderes de negocios y de seguridad ya adoptó el trabajo remoto de forma permanente; otro 68 % afirma que lo hará oficial en los próximos dos años.

Según el 61 % de los encuestados, la expansión de la cadena de suministro de software también se considera un vector de mayor riesgo. Creemos que cualquier expansión de software nacida de la necesidad y puesta en marcha de manera apresurada tiene más probabilidades de carecer de controles de seguridad robustos de terceros.

Y las consecuencias para los negocios son reales. Según el estudio:

• El 92 % de las organizaciones sufrió un ataque cibernético o una vulneración con impacto en el negocio durante los últimos 12 meses, con uno o más de los siguientes desenlaces: pérdida de datos de clientes, de empleados o confidenciales; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto; y/o robo de propiedad intelectual. 

• Más de dos tercios de los encuestados (67 %) dijeron que estos ataques se dirigían a los trabajadores remotos.

• La gran mayoría (74 %) dijo que al menos un ataque fue resultado de las vulnerabilidades de los sistemas que se implementaron en respuesta a la pandemia de la COVID-19.

• Casi tres cuartas partes (70 %) fueron víctimas de tres o más ataques. 


Mientras tanto, el perímetro entre la red doméstica y la red corporativa se está disolviendo. Los trabajadores remotos no solo acceden a datos corporativos confidenciales desde su hogar, sino que frecuentemente lo hacen utilizando un dispositivo personal. Según el estudio, más de la mitad de los trabajadores remotos admiten haber accedido a datos de los clientes con un dispositivo personal. Si se tiene en cuenta que los trabajadores remotos tienen, en promedio, ocho dispositivos conectados a su red doméstica —incluyendo los dispositivos proporcionados por el empleador, los dispositivos personales, los electrodomésticos, los dispositivos vestibles y las consolas de juegos— y que, en promedio, hay tres personas en su hogar con dispositivos conectados a la misma red doméstica, se ponen de manifiesto los desafíos a los que se enfrentan los líderes de seguridad.

Conectarse desde el hogar es una cosa; conectarse desde dispositivos personales a una red doméstica sobrecargada, para consumidores residenciales y sin ningún control de seguridad corporativo es algo totalmente distinto.

Estos hallazgos dejan en claro la poca visibilidad que tienen las organizaciones sobre lo que ocurre en sus entornos: El 71 % de los líderes de seguridad afirma que carece de una visibilidad alta o completa hacia las redes domésticas de los empleados remotos; el 64 % carece de este nivel de visibilidad hacia los dispositivos que son propiedad de los empleados remotos. Dado que las expectativas de privacidad de los empleados limitan naturalmente cualquier visión que los empleadores puedan tener de la red doméstica, resulta evidente que las protecciones de seguridad deben residir lo más cerca posible de los datos críticos para el negocio y de los activos que se utilizan para acceder a ellos. En resumen: Si no puede comprender el dispositivo y la red, debe controlar el acceso que tiene un usuario.

Aunque los desafíos puedan parecer desalentadores, el camino que debe seguirse es tan obvio que es difícil de ver. Las organizaciones deben replantearse cómo definen el riesgo, y mirar más allá de las fallas de software y el cumplimiento de los dispositivos, para poder lograr una visión integral de sus entornos dinámicos y dispares. Deben invertir en perfiles de riesgo adaptables para los usuarios y los datos —a fin de interrumpir las rutas de ataque teniendo en cuenta los errores de configuración en Active Directory y en la nube— y en aumentar la seguridad en función de las condiciones, los comportamientos o las ubicaciones cambiantes. Además, deben analizar detenidamente los límites de las arquitecturas de seguridad tradicionales, basadas en el perímetro, para considerar opciones más sofisticadas que monitoreen y verifiquen continuamente cada intento de solicitar acceso a los datos corporativos en todos los niveles, ya sea un dispositivo, una aplicación, un usuario o una red que intente realizar esa conexión. Para algunos, esto puede implicar hacerse cargo de sus propias prácticas de higiene cibernética y gestión de vulnerabilidades; para otros, podría presentar una oportunidad para cambiar hacia la gestión de vulnerabilidades basada en el riesgo y el monitoreo continuo de Active Directory como una estrategia para interrumpir de manera eficaz las rutas de ataque; y, para las organizaciones más avanzadas, podría significar dar los primeros pasos en un recorrido hacia Zero Trust.

Independientemente del camino que elija, el estudio deja algo claro: los líderes de negocios y de seguridad deben trabajar juntos para encontrar nuevas formas de proteger los datos confidenciales en el nuevo mundo laboral.

Más información

• Lea el estudio completo, Más allá de los límites. El futuro de la ciberseguridad en el nuevo mundo laboral
• Vea la infografía, Más allá de los límites: Replanteamiento del riesgo en el nuevo mundo del trabajo