La ciberseguridad y el comportamiento humano: el punto de vista de Microsoft

La ciberseguridad se ha convertido ya en una auténtica emergencia para las empresas italianas; según los datos del CLUSIT (2021), se ha producido un aumento del 78 % en los ciberataques en tan solo cuatro años.

¿Cuáles son, pues, las soluciones que las empresas pueden poner en práctica para protegerse? ¿Cuáles son los riesgos, los retos y las oportunidades en materia de ciberseguridad? Y, por último, ¿qué papel desempeñan las personas en este proceso?
Hemos hablado de ello con Tamara Zancan, directora sénior de marketing de producto de Modern Work, Ciberseguridad y Cumplimiento Normativo de Microsoft.

Hola, Tamara, ¿podrías ofrecernos una visión general sobre el tema de la seguridad informática para las empresas? ¿Cómo está la situación en Italia y en Europa?

Proteger una organización nunca ha sido fácil. Pero en 2021 hemos sido testigos de cambios significativos en el panorama de las amenazas cibernéticas que están teniendo un impacto importante en organizaciones de todos los tamaños y de todos los sectores; la delincuencia cibernética se ha vuelto más sofisticada, extendida e implacable. La frecuencia de los ataques ha aumentado de forma significativa; de hecho, cada día leemos en los periódicos noticias sobre empresas afectadas por ataques de phishing y/o ransomware, e incluso las organizaciones sanitarias o las infraestructuras críticas, que antes se consideraban «intocables», son cada vez más blanco de estos ataques.

En octubre publicamos el Informe de Defensa Digital de Microsoft (MDDR) de 2021. A partir de más de 24 billones de señales de seguridad diarias, hemos analizado y estudiado las amenazas con el objetivo de ayudar a las organizaciones a comprender cómo los ciberdelincuentes cambian continuamente sus métodos de ataque y a determinar las mejores formas de combatir dichos ataques.

Solo para que te hagas una idea de la magnitud de lo que está ocurriendo: los hackers lanzan una media de 50 millones de intentos de ataque al día, ¡579 por segundo!

Hemos visto cómo la ciberdelincuencia ha ido evolucionando hasta convertirse en una amenaza para la seguridad nacional, impulsada en gran medida por el afán de lucro; los ciberdelincuentes no hacen distinciones: las pequeñas empresas son tan vulnerables como las grandes. Según nuestras investigaciones, casi el 60 % de las pequeñas y medianas empresas han declarado no sentirse preparadas para gestionar la seguridad informática, debido a la falta de recursos y de personal con competencias especializadas.

Sin embargo, también hay tendencias positivas: las víctimas de los delitos informáticos se están animando a compartir sus historias, lo que contribuye a una mayor concienciación y transparencia. Los gobiernos también están aprobando nuevas leyes y destinando más recursos, ya que reconocen los delitos informáticos como una amenaza para la seguridad nacional.  

 Este panorama no cambia a nivel europeo ni italiano; de hecho, según el informe Clusit 2021 sobre la seguridad de las TIC en Italia, en el primer semestre de 2021 los ataques contra empresas con sede en Europa aumentaron considerablemente: del 15 % al 25 %.

En el primer semestre de 2021 se ha detectado a nivel mundial (incluida Italia) un aumento de los ciberataques graves del 24 % con respecto al año anterior (con repercusiones en diversos aspectos de la sociedad, la política, la economía y la geopolítica); además, las actividades con efectos «muy importantes» y «críticas» representan el 74 % del total (en 2020 era del 49 %). Las dirigidas a la extorsión de dinero ascienden al 88 %.

Además, la Policía Postal y de Comunicaciones acaba de publicar el informe sobre las actividades de seguridad de 2021: de hecho, durante el último año se registraron 126 ciberataques contra los sistemas financieros de grandes y medianas empresas, con un importe total de más de 36 millones de euros sustraídos ilícitamente mediante complejos fraudes telemáticos.

‍

En tu opinión, ¿qué grado de sensibilización tienen las empresas italianas respecto a la ciberseguridad? ¿Qué medidas están tomando los profesionales y directivos italianos para afrontar de la mejor manera posible los retos que plantea a diario la ciberseguridad?

Según un estudio de IDC, el 46 % de las empresas italianas tiene previsto aumentar el presupuesto destinado a tecnologías de seguridad para 2021 con respecto a lo previsto en 2020, pero esto no es suficiente, ya que en nuestro país seguimos gastando menos que en otros países económicamente avanzados.

Los responsables de TI tienen miedo de exponer abiertamente a la alta dirección cuáles son los riesgos, tal y como demuestra también un estudio reciente de Trend Micro.  

Una encuesta reciente realizada por EY revela que solo el 20 % de los expertos italianos en seguridad informática se siente muy o extremadamente seguro respecto a las estrategias de ciberseguridad y de mitigación de riesgos adoptadas por su organización.

 Vemos que las empresas italianas aún no son plenamente conscientes del riesgo que existe; a menudo, el gasto en seguridad se considera un mero coste «injustificado» y secundario frente a otras inversiones. Sin embargo, no invertir en seguridad suele provocar incidentes y pérdidas de datos, lo que conlleva enormes costes y repercusiones en la reputación de la empresa. Invertir en seguridad significa invertir en el futuro.

De hecho, dado que las organizaciones apuestan cada vez más por la transformación digital, los directivos y responsables empresariales deben hacer frente a nuevos tipos de retos, entre ellos la ciberseguridad: por ejemplo, todos los procesos empresariales deben ser «seguros desde el diseño».

Generar confianza mediante inversiones en tecnologías de seguridad puede ayudar a los consejos de administración a aumentar el valor de la marca de su organización, la fidelidad de las partes interesadas y la confianza de los inversores. Ahora es el momento de que las organizaciones se preparen para el futuro y desarrollen una cultura de concienciación en materia de ciberseguridad.

Esperamos que el PNRR (Plan Nacional de Recuperación y Resiliencia), que destina en total unos 45 mil millones de euros a la «transición digital», pueda suponer para Italia una oportunidad para ponerse al día y subsanar sus carencias también en el ámbito de la seguridad informática.

¿Cuáles son las prioridades en materia de seguridad informática para las empresas?

Estamos viviendo un crecimiento sin precedentes de las interacciones digitales. En este ecosistema digital sin fronteras, la confianza entre las partes debe establecerse en tiempo real. Sin embargo, la confianza es un bien escaso en Internet. En este nuevo mundo en el que los «apretones de manos» digitales son más habituales que los analógicos, la identidad de los usuarios es el primer elemento que hay que proteger.

La gran mayoría de las infracciones están relacionadas con el robo de credenciales y la vulnerabilidad de las contraseñas: estas son el eslabón más débil en la mayoría de las estrategias de seguridad; por lo tanto, proteger la identidad es más importante que nunca, ya que proteger la identidad de los usuarios significa proteger los datos y los recursos de la empresa. Hemos asistido a un aumento del 300 % en los ataques a la identidad durante el último año, por lo que es fundamental adoptar, por ejemplo, el principio de autenticación avanzada: uno de nuestros estudios demuestra que la autenticación de dos factores (Multi Factor Authentication) puede proteger contra el 99 % de los ataques. 

Además, es fundamental proteger no solo a los usuarios, sino también a los dispositivos, y asegurarse de que cada dispositivo que acceda a los recursos de la empresa esté bien gestionado. Se necesita un enfoque proactivo de la seguridad, completo y moderno, para gestionar la complejidad de las organizaciones actuales. Por eso, hoy en día recomendamos el modelo«Zero Trust»:en lugar de dar por sentado que todo lo que se encuentra detrás del cortafuegos corporativo es seguro, se parte de la base de que puede producirse una brecha de seguridad y, por lo tanto, cada solicitud se verifica como si procediera de una red no controlada. Independientemente de dónde provenga la solicitud o del recurso al que acceda, Zero Trust nos enseña a no confiar nunca, a verificar siempre: verificar y proteger cada identidad, validar la integridad de los dispositivos, aplicar el cifrado de extremo a extremo, aplicar los privilegios mínimos —es decir, limitar el acceso con criterios JIT/JEA (just-in-time y just-enough-access)— y recopilar y analizar la telemetría para comprender y proteger mejor el entorno digital.

En todo esto, las empresas no deben olvidar aplicar «las normas básicas» de una política de seguridad, como la instalación de parches y asegurarse de que la infraestructura y las aplicaciones estén actualizadas y configuradas correctamente: las medidas básicas de seguridad siguen protegiendo contra el 98 % de los ataques.

A menudo, las organizaciones desconocen que pueden dar un primer paso hacia este enfoque simplemente implementando tecnologías sin contraseña, como Windows Hello para ordenadores de sobremesa o la aplicación Microsoft Authenticator para dispositivos móviles. Además, muchos clientes ya pueden adoptar algunos componentes de protección y seguridad integrada, como Microsoft Defender para Office 365, que ya están incluidos en la solución Microsoft 365 que han adquirido.

Microsoft está invirtiendo mucho para simplificar la gestión de los dispositivos y crear funcionalidades que mejoren la productividad de TI y reduzcan el riesgo de las amenazas a la seguridad informática. A día de hoy, Microsoft cuenta con 3.700 expertos en seguridad y destina más de 1.000 millones de dólares al año a la seguridad, pero de cara al futuro hay un compromiso adicional:  Microsoft invertirá 20 mil millones de dólares en los próximos cinco años para acelerar los esfuerzos destinados a integrar la ciberseguridad desde la fase de diseño y proporcionar soluciones de seguridad avanzadas. Esto incluye 150 millones de dólares en servicios técnicos para ayudar a los gobiernos federales, estatales y locales a mejorar la protección y contribuir a garantizar que implementen las herramientas de seguridad mejores y más actualizadas. Nuestra tecnología ha sido reconocida como la mejor de su clase por numerosos analistas influyentes: en el último año, Microsoft figura como líder en 5 Gartner Magic Quadrant™ y ha sido reconocida por Forrester como líder en 8 informes Forrester Wave y New Wave.

‍

Recursos útiles:  

Evalúa tu nivel de madurez con nuestra evaluación de madurez de Zero Trust: Cuestionario de evaluación de madurez de Zero Trust de Microsoft | Microsoft Security

Si buscas un repositorio de recursos técnicos, echa un vistazo al Centro de orientación sobre Zero Trust: Centro de orientación sobre Zero Trust | Microsoft Docs

Más allá de la tecnología: ¿qué importancia tiene el «factor humano» en materia de seguridad informática? ¿En qué medida crees que los comportamientos y hábitos de cada persona pueden contribuir a una mayor seguridad en una empresa? ¿Podemos afirmar que el cambio de comportamiento es el principal reto que hay que superar?

Cuando comenzó la pandemia, las empresas tuvieron que digitalizarse de la noche a la mañana, y los empleados llegaron incluso a utilizar sus dispositivos personales para realizar su trabajo. En un futuro próximo, el trabajo híbrido se convertirá en la norma para muchas empresas de todos los sectores. Esto provocará un aumento exponencial de las «superficies de ataque digitales» a disposición de los ciberdelincuentes.

El 85 % de las filtraciones de datos están relacionadas con «el comportamiento humano» (Informe de investigaciones sobre filtraciones de datos de Verizon, 2021); a menudo, el riesgo de un ataque o de un robo de datos se debe a comportamientos poco conscientes de los propios empleados.

Según un estudio de IDC, las nuevas prioridades de seguridad de las empresas se centran actualmente en las competencias y la formación de los empleados, que constituyen un elemento crucial de la cadena de valor digital de cualquier organización; por lo tanto, se necesita un mayor nivel de competencia y es importante formar y responsabilizar a los usuarios en todos los niveles de la organización: hemos observado una reducción del 50 % interanual en la vulnerabilidad de los empleados ante el phishing tras recibir una formación adecuada. Microsoft también ofrece una serie de cursos gratuitos y programas para las organizaciones, gracias a los cuales el personal de TI puede mejorar y ampliar sus competencias.

En este contexto, sin embargo, no debemos olvidar que la mera formación no basta. De hecho, a menudo se piensa que basta con recopilar métricas o datos, pero todo eso solo nos dice qué están haciendo las personas, no por qué lo hacen. Entender el «por qué» es absolutamente crucial, ¡es la clave para cambiar el comportamiento! El «por qué» ayuda a comprender los supuestos subyacentes y a determinar qué se puede hacer si existen discrepancias entre lo que quiere el equipo de seguridad y lo que están haciendo las personas.

De hecho, existen muchos retos en torno a la cultura de la seguridad: la rápida transformación digital y el crecimiento podrían animar a las personas a comportarse de formas menos seguras, dando prioridad a la productividad; o, en ocasiones, falta una comunicación adecuada sobre el motivo por el que se aplican determinados controles de seguridad; ayudar al equipo de seguridad a comunicar mejor el «porqué» contribuye a abordar estas cuestiones.

También resulta muy difícil cambiar de comportamiento si los responsables de seguridad o el equipo directivo de la organización no están comprometidos. Otra consideración es la percepción de una cultura justa. Si alguien hace clic en un enlace malicioso o comete un error, ¿siente que puede dar un paso al frente y comunicarlo sin que se le culpe indebidamente? Si las personas tienen la percepción de que la cultura se basa en el castigo y en «señalar con el dedo», esto resulta perjudicial para la cultura de seguridad.

Además, el mayor error que cometen las organizaciones al intentar crear y promover una cultura de seguridad es que esta no esté en consonancia con la cultura empresarial. Por ejemplo, si una organización tiene un enfoque muy positivo y centrado en las personas, y siempre intenta decir «sí» en el contexto de la cultura organizativa general, pero el equipo de seguridad impulsa una cultura en la que se dice «no» con mucha frecuencia, esto podría suponer un problema, ya que si se intenta imponer una cultura de seguridad que va en contra de la organización en su conjunto, no funcionará. El cambio requiere paciencia.

Por lo tanto, la primera fase consiste en comprender la cultura organizativa, la misión y los valores, y revisar los símbolos culturales de la organización, incluyendo la imagen de marca y la formación. A continuación, es importante realizar encuestas, grupos de discusión y entrevistas individuales para fomentar el diálogo, facilitar el debate y comprender qué ocurre en el día a día y, sobre todo, por qué.

Se necesita un cierto nivel de madurez y, a menudo, se requieren organizaciones que aspiren a centrarse en las personas para ayudar a su plantilla a ser más consciente de la seguridad.

De hecho, este tema también tiene que ver con la gestión del cambio… un tema que Digital Attitude conoce muy bien 😊 

En Microsoft, creemos que esto va más allá de las simples soluciones integrales; se trata de innovar constantemente para satisfacer mejor las necesidades de nuestros clientes y hacer frente a los retos a los que todos nos enfrentamos. Se trata de ofrecer una experiencia integrada y simplificada, que permita a las personas y a las organizaciones hacer más, de forma segura. Descubre más sobre cómo aprovechar la protección integral de Microsoft Security.

En definitiva, la cultura de la seguridad debe convertirse en una prioridad para los directivos de las empresas y ocupar uno de los primeros puestos en la agenda de los consejos de administración.

La seguridad informática es una misión de gran importancia y verdadera urgencia. El panorama actual exige un enfoque integral que incluya la seguridad, la gestión del cumplimiento normativo, la gestión de identidades y la gestión de la privacidad. Pero quizás, y sobre todo, ¡un enfoque más humano, centrado en los hábitos de cada persona y en el cambio de mentalidad de toda la organización!