Desafíos y cisnes negros internos para los profesionales de Seguridad Digital, en época de Covid-19

UK Wildlife: Australian black swan spotted in Scotland - CBBC ...
¿Qué es la teoría de los Cisnes Negros?

Abundan las recomendaciones y rutinas para los trabajadores remotos (working from home, teleworkers); prácticamente todas insisten en seguir la misma rutina como cuando te desplazabas a tu sitio de trabajo habitual: levantarse temprano, no permanecer en pijama, bañarse, vestirse como si fueras a trabajar a la oficina (a pesar que no vas para allá), definir y ejecutar las acciones y tareas del día, tomar breaks y pasabocas, entre otras recomendaciones.

En caso que puedan, tengan un sitio especial e independiente para trabajar en casa, ya sea el estudio, zona de biblioteca (improvisar alguna habitación), sitio debidamente aislado de alcobas con niños y de los lugares transitados (p. ej., la sala o comedor). Explicar a la familia, que cuando estás en ese sitio especial con la puerta cerrada, o tienes alguna señal visible (por ejemplo, tener el carné corporativo puesto, montar un aviso notable de No interrumpir o No molestar), significa que estás en actividades laborales y que ellos deben evitar interrumpirte.

Por favor, no interrumpir

El personal de administración de IT y personal de ciberseguridad, acostumbrado a tener 2 o más monitores en su oficina, se sentirán incompletos y/o con reducción en su eficiencia al no tener las pantallas y hacer cambios entre ellas. Una forma para suplir esto, y que no todos tienen presente en estaciones MS Windows, son los escritorios virtuales o Task View, fácilmente accesible y configurable con tecla Windows + Ctrl + D, e intercambio entre estos escritorios virtuales con la tecla Windows + Tab. Y cerrar algún escritorio que ya no usas, con Windows + Ctrl + F4. Aunque este es el menor de los retos y complicaciones para los profesionales de ciberseguridad y el personal de IT que ahora están encargados del despliegue y configuración de la infraestructura IT, logrando que se acomode y soporte la transición a trabajo remoto de muchos de sus empleados, con la simultaneidad del pico de trabajo que surge por el aumento del consumo de servicios en Internet, uso de canales web/transaccionales, atención al cliente vía Internet, aumento en ventas por canal e-commerce, aumento de llamadas a contact centers, entre otros.

Proyectos que toman meses en su despliegue y transición, ahora se hacen en pocos días, dejando debilidades en la seguridad, al priorizar desempeño, accesos y operación.  

Según el reporte 2020 del estado del trabajo remoto,  El 12% considera las distracciones en casa como una de las más grandes dificultades al trabajar remotamente desde casa. El 7% menciona que no estar motivado es un gran dificultad en el mismo ámbito. La colaboración y comunicación es considerada por un 20% como la gran dificultad en el teletrabajo. Estas son dificultades derivadas directamente del comportamiento y psicología de las  personas; también están las dificultades relacionadas con tecnología, procesos, cultura, seguridad y estrategia. 

Problemas con el trabajo remoto

Fuente: https://lp.buffer.com/state-of-remote-work-2020

¿Qué otra dificultad y retos sorpresivos/imprevistos/insospechados/sin-precedentes (cisnes negros internos) y de alto impacto, estás afrontando en este momento de migración obligatoria al trabajo remoto?  En este artículo presento un listado que pretende ser exhaustivo.

Nota: Cuando este artículo fue revisado por directores de ciberseguridad de mi confianza,  unos pocos no estuvieron de acuerdo en que estas dificultades repentinas las denominara cisnes negros internos, sino simplemente retos súbitos y de corta duración que se deben atender y superar;  unos pocos se atrevieron a decir que este listado debería considerarse como rinocerontes grises. Para el lector que no está familiarizado con la teoría de los cisnes negros y rinocerontes grises, de amplio uso en gestión de riesgos y prospéctiva, les dejo este link: https://www.elnacional.com/opinion/cisne-negro-o-rinoceronte-gris/ y determinen si lo que actualmente viven como profesionales de seguridad digital es un conjunto de cisnes negros, rinocerontes grises, una mezcla de ambos o ninguno.

Retos esperados y retos imprevistos para el profesional de Ciberseguridad/IT

The black swan theory

Algunas problemáticas y retos, con diferentes niveles de preocupación, impacto y previsión para los profesionales de ciberseguridad, son entre otros:

Cultura/Entrenamiento/Políticas

El cumplimiento de políticas corporativas ahora desde casa, el surgimiento de nuevos comportamientos, la intromisión de la cultura familiar con la cultura corporativa y visceversa, las necesidades de nuevo entrenamiento, entre los que se cuentan:

  • Entrenamiento y consejos para mantener la productividad desde casa, entrenamiento para el uso apropiado de las herramientas de teletrabajo y el entrenamiento de ciberseguridad.
  • Muchos profesionales de seguridad digital y personal de formación/educación de las empresas asumen incorrectamente que los usuarios/empleados están interesados en ciberseguridad y que quieren aprenderla. La realidad es que a los usuarios les importa un bledo. Ellos tienen trabajo que hacer, niños en casa que cuidar, cuidarse de la pandemia, tienen metas que cumplir, clientes que abordar y complacer, bonos e incentivos que ganar y cuidar su empleo. Ellos no están interesados en ciberseguridad en el momento, esto es trabajo de alguien más.
  • ¿Las políticas de seguridad y uso seguro de los activos informáticos en las oficinas, se podrán establecer de manera clara y alcanzable en el ambiente de casa o ambiente laboral remoto, cuando infortunadamente estas mismas políticas pasan desapercibidas en la oficina?
  • Cuando en las empresas no se tiene una cultura de seguridad digital fuerte, como base de un modelo de trabajo, comportamiento y operación segura (asunto que no se logra jamás con charlas o cursos virtuales ocasionales de ciberseguridad), los riesgos emergentes que trae consigo el teletrabajo a nivel de ciberseguridad no se resolverán con solo un antivirus y la VPN configurada en los PCs de los teletrabajadores. 

Despliegues acelerados y gestión de capacidad

Las nuevas condiciones elevan el consumo de recursos de cómputo junto con las fallas y errores que surgen por hacer despliegues de teletrabajo repentinos y sin adecuada planeación, ellos son:

  • Los cambios acelerados en la configuración de red, el uso inesperado de segmentos de red y activos IT no asegurados, así como servicios SaaS no evaluados correctamente, se juntan con la inexperiencia de los empleados trabajando desde casa.
  • Incremento sustancial en conexiones remotas, que ni la capacidad actual de red, ni el procesamiento actual dimensionado y adquirido en los concentradores VPN logra soportarlas.
  • Para manejar capacidad de cómputo, ancho de banda y licenciamiento, ¿se reducirán ciertos accesos a recursos corporativos? 
  • ¿Personal de help desk cuenta con las capacidades y recursos para atender el pico de solicitudes, además que deben estar apoyando en despliegue y la transición a este escenario intenso de teletrabajo?

Alteración de proyectos y presupuesto

Todas las novedades y modificaciones a la estrategia corporativa de ciberseguridad, entre los cuales tenemos que:

  • Surgen los atrasos en otros proyectos de seguridad, como los ejercicios de pen-testing, entrenamiento, hardening, resolución de vulnerabilidades de anteriores tests, etc.
  • Varias áreas de ciberseguridad están enfrentando recorte de personal y cambio de entorno laboral, el monitoreo de la seguridad ahora lo hacen desde casa, generando debilidades y posiblemente llevándolos a perderse de incidentes potenciales y anomalías sospechosas. 
  • Modificaciones presupuestales, por ejemplo retirar presupuesto del proyecto X, para reasignarlo a licenciamiento y capacidades de los terminadores VPN, licencias DLP-endpoint, incluso para licenciamiento de clientes de videoconferencia, entre otros

Exposición mayor al riesgo

La apertura al teletrabajo, a las múltiples conexiones y accesos remotos generan una mayor superficie de ataque, acá se pueden contar:

  • Incremento en el uso y exposición de RDP en la organización, muchos persisten con la peligrosa falla BlueKeep (CVE-2019-0708) 
  • Incremento en el uso de herramientas de colaboración (MS Teams, Slack, Zoom), las cuales ahora exponen importantes vulnerabilidades.
  • Los PCs/laptops/Notebooks que usa el empleado en casa, algunos son propiedad de la empresa (asignados y configurados bajo lineamientos propios del área corporativa de ciberseguridad/IT), pero muchos otros empleados usarán sus PCs personales o familiares, que podrían no cumplir o tener todo lo exigido por la organización; sin embargo por la situación de emergencia, serán aceptados como herramienta de trabajo. 
  • Guardar y descargar trabajo oficial en el computador personal incrementa el riesgo de fuga de datos. 
  • Es deber de ciberseguridad identificar y monitorear usuarios de alto riesgo, aquellos trabajando con información de carácter personal o sensible. ¿La organización contará con la capacidad de detectar patrones de tráfico, descargas grandes de archivos al PC en casa, que podrían indicar brechas o violaciones a políticas?.
  • ¿La organización cuenta con licencias suficientes para expandir DLP?, tecnología que ayuda con los dos retos anteriores.
  • La configuración de VPN, esa tecnología que permite a las personas ingresar a los recursos corporativos y protegidos de red (no accesibles directamente en Internet), ¿usará autenticación de dos factores?, si es así, ¿qué tipo de factores?, pues unos son más costosos que otros, y con variedad de complejidad en su despliegue (certificado digital individual, token, etc).
  • ¿La organización tiene sistema de health assessment (evaluar la salud/condiciones de la estación de trabajo en el hogar) antes de permitir el acceso vía VPN a los recursos corporativos?.
  • Mientras está establecida la conexión VPN (client to site), ¿se hará en modo split-tunnel?, esto para que la navegación web vaya directo a Internet sin pasar por la corporación y demás controles corporativos (IPS, web filter); es conveniente, pero menos seguro. Si no se hace split-tunnel, controlando la navegación web, el teletrabajador aún podrá entrar a sitios web no permitidos por la organización, simplemente desconectándose de la VPN.   (A menos que la organización utilice algún servicio SaaS que controle la navegación de Internet de los endpoint usados por los teletrabajadores; ejemplo de estos servicios: McAfee Web Gateway Cloud Service)
  • No todo el tráfico generado por el teletrabajador pasará ahora por los web proxies de la organización. No todo el tráfico será de negocio. Esto incrementando las posibilidades de ciberataques materializados basados en técnicas como waterholing y drive by download.

En el artículo Ambiente digital seguro para los Niñ@s se mostraba el siguiente tip, para reducir el riesgo de los dos puntos anteriores:  para bloquear acceso web a sitios maliciosos, la forma más fácil y gratis es usar el servicio Cisco OpenDns. Configurar los DNS servers en tus dispositivos de casa, usando los siguientes FamilyShield nameservers: 208.67.222.123 y 208.67.220.123. Si lo prefiere, también puede usar el servicio de Quad9, para eso use en la configuración de DNS de los distintos dispositivos conectados en casa, las siguientes direcciones IP: 9.9.9.9 y como secundario 149.112.112.112

  • ¿Será necesario reducir ciertos niveles o restricciones en la red corporativa, para acomodar y facilitar el acceso a los usuarios remotos?
  • El perfilamiento de los trabajadores remotos, ¿será similar a como estaban en la oficina directamente, o todos harán parte del perfil default Usuario remoto?

Seguridad digital en casa del empleado

Lo opuesto al ambiente corporativo, donde área de IT/Ciberseguridad puede controlar la seguridad de la red WIFI corporativa, se encuentra que:

  • ¿La red de la casa del empleado es confiable y con seguridad aceptable? ¿Qué tan expuesta y comprometida ya está la red de hogar?. 
  • El PC/laptop usado por el empleado, ¿convive en la misma red/segmento que los demás PCs y dispositivos de la casa?
  • Si la persona usa un PC compartido, ¿con quién más en la casa es compartido el elemento y qué otros usos le dan al dispositivo?.
  • El router y Access Point de la casa, ¿lo puede administrar el empleado?, o éste es de propiedad y administración del ISP. Si le pedimos al empleado que haga unos cambios de DNS en el AP/Router y portátil, ¿podrá hacerlo?
  • Si le pedimos que cambie la clave del WIFI, ¿podrá hacerlo?, si le pedimos deshabilitar UPnP en el AP, ¿podrá hacerlo, sin afectar la navegación de los demás elementos conectados en la casa?.
  • Las redes Wifi en los hogares, ¿cuántas de ellas aún usan contraseñas predeterminadas o simples? ¿A cuántos vecinos le regalan acceso? ¿Cuántas de ellas no usan WPA2/3? ¿Cuántas de ellas tienen de manera predeterminada y activada WPS? ¿El personal de help desk de la organización ayudará con este tipo de soporte al teletrabajador?
  • Sí pedimos que se actualice el firmware del AP o router, ¿podrá el empleado hacerlo?
  • Muchos routers de los ISP permiten administración web remota y podrían estar comprometidos por ciber adversarios. Revisa en este link el estado de DNS hijack de tu router de casa https://www.f-secure.com/en/home/free-tools/router-checker DNS Hijack es cuando un intruso intencionalmente modifica unos parámetros de tu router, para monitorear y redirigir tu tráfico.

Momento crítico para los profesionales de ciberseguridad

Son muchos retos que los profesionales de ciberseguridad estamos viviendo en esta época. No hay soluciones fáciles o aplicables para todos. Algunos canales y fabricantes en los webinars de las últimas semanas (se disparó la cantidad de webinars) afirman que la mayoría de problemáticas aquí enumeradas se resuelve con DLP y EMM/UEM.  Nada más ajeno a la realidad. 

Lo siento. Trabajo en ciberseguridad.

A propósito de webinars, pido a los canales y fabricantes que no olviden que la cantidad de trabajo (y dificultades, retos, condiciones) de los profesionales de ciberseguridad/IT, así como tomadores de decisiones, ha aumentado abrupta e intensamente. Los profesionales de ciberseguridad, a pesar que están en casa, no están en vacaciones y no están en modo full atención a proveedores/vendedores.

Además, parece que en varios webinars, algunos de sus presentadores no entienden la problemática real, están desinformando a los ya ocupados y estresados profesionales de ciberseguridad. Le pido a canales y a ciertos fabricantes de no arrastrar a los clientes a más proyectos fallidos en momentos inoportunos. Algunos colegas y actuales directores de ciberseguridad me han expresado la siguiente idea: No me importa si esos fabricantes de herramientas de ciberseguridad tienen la solución “perfecta” a las necesidades de siempre y a las que recién aparecen por la coyuntura. Si están utilizando COVID-19 para venderlo, eso los hace “assholes”. No les compraría… ni ahora ni nunca. Apaguen el grifo de ventas por un minuto y tiendan la mano.

Estos son momentos críticos para los profesionales de ciberseguridad, que se están ajustando a esta realidad sin precedentes, con grandes oportunidades para defender a nuestras familias, organizaciones y sociedad, de las ciberamenazas. 

Ningún buen profesional de ciberseguridad duda que los ciberataques están incrementando en esta época de Covid-19. Engaños y trampas aprovechando el miedo vigente, han explotado en las últimas semanas, los ciberadversarios ahora toman ventaja de la superficie de ataque ampliada por el trabajo remoto. 

¿Qué directivos y miembros de junta directiva bien informados, están dispuestos a cortar el gasto en seguridad digital e incrementar la exposición de sus empresas a los ciberataques del momento? Sin importar las presiones del mercado, las organizaciones no pueden darse el lujo de ser hackeadas o comprometidas digitalmente.

Como CISO o directivo encargado de la seguridad digital en tu organización, es posible que  ya te hayan convocado a junta directiva ó comité ejecutivo; si es así, espero puedas responder de manera concisa lo siguiente:

  • ¿Cuál es el estado de seguridad actual en apoyo a los objetivos de negocio?
  • ¿Que tan seguras son las operaciones, infraestructura IT, información, personas, instalaciones, cadena de suministro?
  • Porcentaje de servicios y activos de alto valor con controles inadecuados e inefectivos
  • Porcentaje de riesgos con impacto por encima del umbral permitido
  • ¿Necesitamos gastar más en seguridad, si es así, cuánto y en qué?

Nunca dejes que una buena crisis se desperdicie, es la frase de moda para los optimistas. Y esta es la oportunidad de los profesionales de ciberseguridad para hacerse más visibles, demostrar sus capacidades, obtener más presupuesto, avanzar en su estrategia, modificarla donde sea necesario, lograr victorias rápidas y de impacto positivo.  A vencer los cisnes negros (o los rinocerontes grises).

Autor:

R. Fabian Garzón, CISM, CRISC, CISSP, GCIH
Has two decades of experience in the IT and information security consultancy services working in various roles including product management, IT security operations engineer, cybersecurity incident management, PCI DSS implementation, cyber risk management and now is a Director at Hackergame, Colombia. He can be reached at [email protected] or www.linkedin.com/in/r-fabian-gg/

Deja una respuesta