Mejorando la ciberseguridad en América Latina: Un enfoque estratégico

El ponente, Ingeniero Víctor Hugo Rico Macías, ingeniero de sistemas y especialista en ciberseguridad con 18 años de experiencia, es máster en seguridad por VIU. Es líder de proyectos de ciberseguridad en Sev Security y ha sido invitado del programa de especialización en ciberseguridad de la UNAT para hablar sobre ciberseguridad.

Muchas organizaciones carecen de una persona dedicada a la ciberseguridad, lo que lleva a que los gerentes de tecnología se vean sobrecargados con tareas de seguridad. Esta situación crea desafíos para determinar cómo implementar la ciberseguridad de manera efectiva, especialmente para directores, líderes y gerentes de tecnología que no son los únicos responsables de la ciberseguridad dentro de sus empresas.

El objetivo de la charla es proporcionar información sobre el panorama actual de ciberseguridad en América Latina y Colombia, abordar la escasez de profesionales en ciberseguridad, y ayudar a los dueños, directores y gerentes de empresas a comprender los aspectos clave necesarios para tratar la ciberseguridad como una prioridad organizativa estratégica.

La charla abordará las estadísticas actuales de ciberseguridad, la demanda de profesionales en ciberseguridad, los desafíos que enfrentan las organizaciones que llevan a ciberataques, estrategias para contrarrestar estos ataques, implementar la ciberseguridad desde una perspectiva estratégica y pasos prácticos para transicionar los conceptos de ciberseguridad de la teoría a la práctica.

Desde 2022, ha habido un aumento en los ciberataques dirigidos a empresas locales y latinoamericanas. Casos destacados incluyen ataques a FX y varias otras organizaciones. En una encuesta realizada por Kaspersky, Colombia se ubicó como el tercer país más vulnerable en 2022, después de Brasil y México, con ciberataques causando pérdidas a las organizaciones de alrededor de 3 billones.

En 2022, el problema de los ciberataques en Colombia experimentó un aumento del 38%, con un crecimiento adicional del 35% proyectado para 2023. Los sectores más vulnerables incluyen finanzas, empresas públicas y salud. Para 2023, Colombia se ubicó como el segundo país más vulnerable a los ciberataques, después de Brasil.

El ransomware surgió como una amenaza prevalente, con empresas en Colombia pagando un promedio de rescate de $170,000. Esta cantidad significativa, que promedia casi 1 mil millones de pesos colombianos, fue pagada por empresas de todos los tamaños, lo que indica la gravedad de los ataques.

El ransomware se infiltró en empresas a través de varios métodos como el phishing, robo de identidad, suplantación de sitios web y suplantación de cuentas de correo electrónico. El malware evolucionó más allá de las formas polimórficas para evadir incluso el software antivirus más robusto, lo que llevó a pérdidas financieras sustanciales para las organizaciones afectadas.

Organizaciones enfrentaron ataques a la cadena de suministro dirigidos a sectores específicos como la salud. Los ataques comenzaron comprometiendo proveedores de clínicas, luego pasaron a proveedores de IPS, clientes y finalmente a las propias organizaciones. Esta sofisticada cadena de ataques convirtió máquinas en zombies, infectando servidores y comprometiendo datos sensibles.

Los ataques de Denegación de Servicio (DDoS) utilizando botnets distribuidas se volvieron frecuentes, representando una amenaza significativa para las organizaciones. Al aprovechar botnets, los atacantes interrumpieron servicios y abrumaron redes, resaltando la necesidad de medidas de ciberseguridad robustas.

El panorama de ciberseguridad en Colombia reveló una tendencia preocupante de aumento de ciberataques, lo que hace necesario comprender mejor las amenazas en evolución. Representaciones visuales como mapas de ciberseguridad proporcionaron información sobre los tipos de ataques, sus orígenes y la gravedad de los desafíos de ciberseguridad enfrentados por las organizaciones.

Las líneas fucsia representan ataques de detección de intrusiones, el amarillo indica escaneos de vulnerabilidades, el lila significa ataques anti-spam, el verde claro denota actividad de botnet, y el azul intenso representa ataques de ransomware. Estos ataques van desde intrusiones por fuerza bruta hasta ataques dirigidos a servidores de correo electrónico, mostrando una variedad de amenazas de ciberseguridad.

Marcas líderes de ciberseguridad como Kaspersky, Fortinet y Sophos están monitoreando y reportando activamente sobre las amenazas actuales de ciberseguridad. La prevalencia de malware, phishing, robo de identidad, ransomware y otros ataques es una preocupación constante, con datos en tiempo real que reflejan el panorama en evolución de las amenazas cibernéticas.

Se anima a los participantes a participar en una encuesta interactiva para identificar las amenazas cibernéticas más prevalentes en sus entornos tecnológicos. La encuesta abarca una variedad de amenazas como malware, phishing, robo de identidad y ransomware, lo que permite una comprensión integral de los desafíos de ciberseguridad enfrentados por individuos y organizaciones.

Hay una escasez significativa de profesionales de ciberseguridad a nivel mundial, con un déficit proyectado de 7 millones para 2030. Solo en América Latina, hay una necesidad actual de casi 750,000 profesionales de ciberseguridad. Esta escasez subraya la demanda crítica de individuos capacitados para abordar los crecientes desafíos de ciberseguridad que enfrentan las organizaciones.

Muchos gerentes de tecnología con experiencia en industrias como la salud o la hospitalidad están bien posicionados para hacer la transición a profesionales de ciberseguridad. Para hacer esta transición, deben obtener certificaciones, buscar habilidades especializadas en áreas como análisis de código, hacking ético, cumplimiento de ISO 27001 y gestión de riesgos, y tener experiencia en redes. Al adquirir certificaciones como Offensive Security, EC-Council, ISC2 o CompTIA, los gerentes de tecnología pueden cambiar con éxito de sus roles actuales a especialistas en ciberseguridad.

El análisis de Cisco indica un crecimiento significativo del mercado de ciberseguridad en América Latina, con un aumento esperado del 12.3% entre 2021 y 2028. Para 2028, se proyecta que el mercado crecerá en $25.4 millones. Los salarios para profesionales de ciberseguridad en América Latina actualmente oscilan entre $50,000 y $80,000 anualmente, con potencial para mayores ganancias basadas en la experiencia y certificaciones. La demanda de profesionales de ciberseguridad es evidente en áreas como seguridad en la nube, análisis forense, respuesta a incidentes y análisis de amenazas.

El cambio al trabajo remoto ha permitido que los servicios de ciberseguridad se brinden de forma remota, lo que ha llevado a un aumento en la demanda de profesionales en áreas como la seguridad en la nube, el análisis forense, la respuesta a incidentes y el análisis de amenazas. Las organizaciones están reconociendo la importancia de la ciberseguridad debido al aumento de los ciberdelitos y a la escasez de profesionales en ciberseguridad. Muchas organizaciones enfrentan desafíos de seguridad porque los líderes a menudo carecen de conocimientos en ciberseguridad y de planificación estratégica, abordando solo reactivamente los problemas de seguridad después de que ocurran incidentes.

Como los empleados y colaboradores utilizan OneDrive en sus teléfonos, el perímetro de la organización se extiende a cada dispositivo y hogar donde trabajan de forma remota. Este cambio en el perímetro incluye la conexión de otros dispositivos como teléfonos, televisores y relojes inteligentes, lo que introduce preocupaciones de IoT. Muchas organizaciones carecen de un enfoque proactivo de ciberseguridad, confiando en medidas reactivas y luchando con el cumplimiento de regulaciones como ISO 27001.

Muchas organizaciones latinoamericanas enfrentan desafíos en la adopción de ciberseguridad debido a las amenazas cibernéticas en evolución y el incumplimiento de regulaciones como ISO 27001 y GDPR. A pesar de las dificultades, las organizaciones eventualmente necesitarán abordar la ciberseguridad de manera estratégica para mitigar los riesgos de manera efectiva.

Las organizaciones a menudo se retrasan en la modernización de la infraestructura, aún utilizando servidores obsoletos como Windows Server 2008 y 2003. Para mejorar la ciberseguridad, es crucial invertir en soluciones preventivas y proactivas adecuadas, desarrollar estrategias integrales e integrar la cultura de ciberseguridad en departamentos como finanzas y calidad.

Fomentar una cultura de ciberseguridad dentro de las organizaciones implica crear conciencia, invertir en soluciones apropiadas y proporcionar programas de capacitación y sensibilización. Es esencial involucrarse en reuniones de dirección y de la junta directiva, mostrando la importancia de la ciberseguridad desde una perspectiva crítica y estratégica para proteger activos valiosos y garantizar la continuidad del negocio.

Las organizaciones a menudo pasan por alto la ciberseguridad hasta que se enfrentan al alto costo de ciberataques como el ransomware. Establecer un plan estructurado de continuidad del negocio es crucial, especialmente con la creciente amenaza de ataques de ransomware. Comprender que la ciberseguridad es una ventaja competitiva puede ayudar a las organizaciones a crecer, lograr el cumplimiento normativo, retener talento y fortalecer la lealtad de los empleados.

Invertir en ciberseguridad es crucial para las organizaciones para proteger su información, reputación y finanzas a largo plazo. Ayuda a reducir costos, mejorar la toma de decisiones y mejorar la imagen del sector. La inversión en ciberseguridad protege los activos de los inversores y garantiza la seguridad organizativa.

Varios marcos y estándares como ISO 27001 existen para ayudar en la implementación de medidas de ciberseguridad. Estos marcos ayudan a proteger a las organizaciones de las amenazas cibernéticas y se actualizan regularmente para abordar los desafíos actuales de ciberseguridad.

Durante la discusión, se compartió información valiosa sobre marcos y estándares de ciberseguridad, como ISO 27001. Se dirigió a los participantes a un enlace de Google Drive para acceder a materiales relevantes para una mejor comprensión e implementación.

ISO 27001 es una norma internacional que se centra en la seguridad de la información, ciberseguridad y privacidad. La versión de 2022 incorpora aspectos de ciberseguridad y privacidad de datos, enfatizando la protección de datos personales. Incluye un análisis de brechas para evaluar el estado de ciberseguridad y seguridad de la información de una organización.

Tener controles optimizados y gestionados es crucial para garantizar que estén implementados, documentados, aprobados por la alta dirección, medidos y continuamente mejorados. Este nivel de madurez en el control es esencial para la seguridad de la información efectiva, como se describe en la norma ISO 27000.

El estándar ISO exige controles organizativos a nivel de liderazgo, planificación, apoyo, operación, evaluación del desempeño y mejora. Estos controles incluyen la determinación de objetivos de seguridad de la información, la identificación de partes interesadas, la documentación de requisitos de seguridad y la definición del alcance de la implementación de seguridad.

Anexo A del estándar contiene 93 controles categorizados en controles organizativos, de personal, físicos y tecnológicos. Estos controles cubren una amplia gama de aspectos de seguridad, con 37 controles organizativos, 8 controles de personal, 14 controles físicos y 34 controles tecnológicos.

Al evaluar los controles como limitados, gestionados u optimizados, las organizaciones pueden hacer un seguimiento de su progreso y cumplimiento de los requisitos de control obligatorios y adicionales. Este enfoque proporciona métricas valiosas para evaluar la efectividad y madurez del control.

Asuntos como el malware, la pérdida de datos y el robo de identidad representan riesgos significativos en el panorama digital. Abordar estas amenazas es crucial para proteger la información sensible y mantener la seguridad de los datos.

Varias amenazas de ciberseguridad están afectando a las organizaciones, incluyendo la ingeniería social y el robo de identidad. Estas amenazas son frecuentes, resaltando la necesidad de medidas de seguridad sólidas.

El marco de trabajo de ISO 27001 a partir de 2022 es una herramienta crucial para pasar de conocimientos teóricos a la implementación práctica de la ciberseguridad. Se centra en políticas de seguridad, planificación, procesos y desarrollo de competencias dentro de las organizaciones.

ISO 27001 proporciona un enfoque estructurado para la implementación de ciberseguridad, enfatizando controles obligatorios relacionados con políticas de seguridad, planificación, procesos y desarrollo de competencias. Permite a las organizaciones evaluar de manera efectiva sus niveles de madurez en seguridad.

El marco de trabajo de NIST ofrece un enfoque integral para la implementación de ciberseguridad, requiriendo una comprensión más profunda de los conceptos de seguridad. Aunque es complejo, proporciona ideas valiosas para mejorar las prácticas de ciberseguridad dentro de las organizaciones.

La estrategia de defensa en profundidad implica implementar múltiples capas de controles de seguridad en datos, aplicaciones, hosts, redes internas y perímetros. Se centra en el cifrado, controles de acceso, clasificación de datos y medidas de prevención para mejorar la postura de seguridad general.

El ponente discute dos marcos de seguridad principales: 'Defensa en Profundidad' y 'NIS'. 'Defensa en Profundidad' se centra en implementar medidas de seguridad desde la seguridad física hasta la seguridad de datos, lo que lo hace ideal para iniciar planes de acción de seguridad. Por otro lado, 'NIS' es más complejo, enfatizando aspectos conductuales de seguridad en lugar de solo la implementación de controles. Destaca la importancia de identificar problemas de seguridad en diversas áreas como gestión de activos, dispositivos físicos, dispositivos de software, comunicación interna y sistemas de información.

Después de identificar problemas de seguridad dentro de la empresa a través de evaluaciones de riesgos y gobierno de la información, el siguiente paso implica proteger la organización. Esto incluye salvaguardar la gestión de identidad para la autenticación en servicios, aplicaciones, servidores y PCs, así como garantizar la seguridad del acceso remoto y la integridad de la red. Además, aumentar la conciencia a través de la capacitación, asegurar los datos e implementar procesos y procedimientos son cruciales para la protección general.

Una vez que los controles están en su lugar, el enfoque se desplaza hacia la monitorización de seguridad proactiva y continua. Esto implica detectar eventos e incidentes de seguridad a través de herramientas como software antivirus, firewalls, medidas de seguridad física, tarjetas inteligentes y monitorización de sitios web. La monitorización continua ayuda a identificar código malicioso, actividad de usuario sospechosa, conexiones de dispositivos no autorizadas y comportamientos anormales. Responder a los incidentes de seguridad con un plan de respuesta a incidentes bien definido es esencial para una gestión efectiva de ciberseguridad.

El orador discute los desafíos enfrentados en la gestión de seguridad, especialmente en responder a incidentes de seguridad y mitigar fallas en servidores. Destacan la falta de procesos maduros en aspectos técnicos y administrativos, citando retrasos de 5 a 7 días en adquirir un nuevo servidor debido a procedimientos burocráticos.

El orador explica el marco de recuperación, enfatizando la importancia de planificar la recuperación posterior al incidente. Mencionan la necesidad de abordar las brechas de seguridad y ciberseguridad, destacando la complejidad de implementar el marco debido a la falta de conciencia de seguridad y prácticas arraigadas entre el personal.

El orador detalla el proceso de evaluar el marco asignando porcentajes a diferentes aspectos de seguridad y generando gráficos de cumplimiento. Mencionan los cinco ejes del marco NIST: identificación, protección, detección, respuesta y recuperación, para identificar áreas que necesitan mejora.

El orador discute el nivel de madurez de la organización en ciberseguridad, revelando una madurez general del 63%. Identifican la protección y la respuesta a incidentes como áreas críticas para mejorar, indicando la necesidad de esfuerzos enfocados en mejorar las medidas de seguridad.

El orador presenta el Marco de Control SIS, también conocido como Ciberseguridad, destacando sus múltiples niveles de implementación. Mencionan los niveles IG1, IG2 e IG3 adaptados a diferentes tipos de empresas, recomendando a las empresas más pequeñas con recursos limitados de ciberseguridad comenzar en el nivel IG1.

El marco discutido en la transcripción describe 18 controles para implementar medidas de ciberseguridad. Estos controles abarcan áreas como gestión de dispositivos, inventario de software, protección de datos, configuración, garantía de activos, gestión de cuentas de usuario, controles de acceso, gestión de vulnerabilidades, auditoría de registros, seguridad de correo electrónico y navegadores, defensa contra malware, recuperación de datos, gestión de infraestructura de red y respuesta a incidentes.

Los niveles de implementación de controles varían según la madurez tecnológica de la empresa. Las empresas básicas con recursos de TI mínimos necesitan implementar controles hasta cierto nivel para una seguridad óptima. Las empresas más avanzadas con departamentos de tecnología y ciberseguridad dedicados deben implementar todos los controles para garantizar medidas de seguridad integrales.

El marco discutido sirve como precursor de las directrices del NIST, centrándose en controles de identificación, protección, detección y respuesta. Al alinearse primero con este marco, las organizaciones pueden evaluar sus medidas de seguridad existentes y su preparación para adoptar controles del NIST más complejos.

Las pautas de implementación para el marco enfatizan la necesidad de una gestión detallada del inventario de software. Esto incluye documentar las licencias de software, las fechas de instalación y las características específicas del software. Las empresas también deben garantizar el uso autorizado del software y el soporte dentro del inventario para mantener los estándares de seguridad.

Es crucial utilizar únicamente aplicaciones autorizadas dentro de la empresa. Por ejemplo, si el propósito es únicamente la compresión de archivos utilizando 7-Zip, no se deben utilizar otros compresores como WinRAR. De manera similar, para la navegación, solo se deben utilizar navegadores aprobados como Chrome (CRR) y Mozilla en sus últimas versiones. Las versiones iniciales de navegadores como Chrome no son permitidas. Esta adhesión a las aplicaciones autorizadas se alinea con el marco NIS y garantiza que los controles de seguridad estén en su lugar, adaptados a diferentes niveles de la organización.

Los asistentes son animados a hacer preguntas durante la sesión. Los enlaces de acceso compartidos por el Ingeniero Ciro para información adicional y asistencia son vitales. Se insta a los participantes a validar y utilizar estos enlaces para obtener información esencial almacenada en el repositorio, lo que ayuda en la trazabilidad del evento.

La sesión está llegando a su fin con una revisión de marcos como ISO 27, NIS, DEIS Control, COVID-2019, GDPR e ISO 27701 para la privacidad. Estos marcos simplifican los controles de ciberseguridad y comportamientos operativos. La discusión enfatiza la importancia de comprender estos marcos desde una perspectiva de TIC, incluso para no expertos en ciberseguridad. La sesión destaca la lista de verificación para el cumplimiento de leyes de protección de datos como la Ley 1581 y la guía de responsabilidad demostrada. Se enfatiza la importancia de la evidencia y hallazgos relacionados con la protección de datos personales.

Los marcos como COVID ayudan a alinearse con diversas implementaciones, asegurando una gestión efectiva dentro de la estructura de gobierno de TI. COVID sirve como un marco integral para alinear la gobernanza tecnológica, la seguridad y la ciberseguridad. Facilita la integración de aspectos de ITIL como la gestión de servicios con las prácticas de COVID, proporcionando una hoja de ruta para mapear las prácticas actuales y alinearlas con los estándares de la industria.

Los marcos de trabajo como PCI DSS y SANS Top 20 son esenciales para la certificación y gestión de transacciones digitales. PCI DSS se enfoca en la certificación para transacciones digitales que involucran tarjetas de crédito y portales de pago. SANS Top 20 describe controles de seguridad cruciales. Estos marcos de trabajo, junto con ISO 27000 y el marco Gap, ayudan a las organizaciones a pasar de la teoría a la práctica en seguridad y ciberseguridad.

El proceso de transición de la seguridad de la teoría a la práctica implica varios pasos. En primer lugar, evaluar la situación actual de seguridad utilizando herramientas como el marco Gap o herramientas de autoevaluación como la proporcionada por MINTIC. Esta evaluación proporciona información sobre la postura de seguridad de la organización.

Después de evaluar el estado actual de seguridad, el siguiente paso es desarrollar una política de seguridad integral. Recursos como la guía de MINTIC para la construcción de políticas de seguridad y privacidad pueden ayudar en este proceso. Una vez que la política esté diseñada y respaldada por la alta dirección, sienta las bases para futuras medidas de seguridad.

La evaluación de riesgos es crucial para identificar, analizar y evaluar los riesgos y vulnerabilidades dentro de una organización. Utilizar estándares como ISO 27005 puede guiar en la gestión efectiva de riesgos. Establecer el contexto de riesgo, identificar y evaluar riesgos, e implementar estrategias de tratamiento de riesgos son componentes clave de este proceso.

Para mejorar la ciberseguridad, es crucial identificar vulnerabilidades dentro de la organización. Esto implica evaluar debilidades, riesgos y brechas en los protocolos de seguridad. Una vez que se conocen las vulnerabilidades, el siguiente paso es implementar medidas de seguridad. Esto se puede lograr utilizando marcos como la defensa en profundidad, marcos de control, ISO 27 o NIST, dependiendo del nivel de comodidad y necesidades de la organización.

Después de implementar medidas de seguridad, la organización debería centrarse en fomentar una cultura de ciberseguridad. Esto implica utilizar modelos y marcos de ciberseguridad para crear conciencia y cumplimiento de protocolos de seguridad entre los empleados. Al establecer una cultura de ciberseguridad, las organizaciones pueden protegerse mejor contra amenazas y ataques cibernéticos.

La monitorización de incidentes de seguridad es esencial para la detección y respuesta proactiva de amenazas. Las organizaciones pueden aprovechar herramientas como Centros de Operaciones de Red (NOC) y Centros de Operaciones de Seguridad (SOC) para monitorear actividades de red, recopilar información, analizar eventos y detectar posibles ataques. Al utilizar herramientas para la monitorización y correlación de incidentes, las organizaciones pueden gestionar y responder de manera efectiva a los incidentes de seguridad.

Para mantener la ciberseguridad, las organizaciones deben participar en monitoreo y reporte continuo. Esto incluye generar informes regulares de sistemas antivirus, herramientas de seguridad de red y sistemas de detección de intrusiones (IDS) para identificar posibles amenazas. Al mantenerse actualizadas a través de informes semanales, quincenales o mensuales, las organizaciones pueden abordar proactivamente problemas de seguridad e implementar planes de acción.

Para las personas interesadas en ingresar al campo de la ciberseguridad, hay recursos valiosos disponibles para la educación y capacitación. Organizaciones como Cisco ofrecen documentos y recursos para mejorar el conocimiento en ciberseguridad. Además, entidades como el Centro de Respuesta a Incidentes (COLSER) en Colombia brindan información sobre tendencias globales y locales en ciberseguridad, ayudando a las personas a mantenerse informadas y preparadas para los desafíos de ciberseguridad.

Es crucial definir la experiencia en tecnología antes de comenzar una carrera. Los ingenieros deben identificar sus fortalezas, ya sea en redes, aplicaciones, desarrollo u otras áreas. Comenzar con temas básicos como la lectura de la norma ISO 27000 puede proporcionar una comprensión clara de los contextos organizativos, controles requeridos y pautas de implementación.

Organizaciones como Mintic en España ofrecen cursos gratuitos de seguridad y ciberseguridad que son certificables. Estos cursos pueden ayudar a las personas a mejorar sus habilidades y conocimientos en áreas como hacking ético, pruebas, seguridad de redes y seguridad de aplicaciones. Se recomienda comenzar con cursos fundamentales antes de adentrarse en temas más avanzados.

El orador expresa su gratitud al Ingeniero Mantilla y a la Ingeniera Sonia Moreno por facilitar la participación del Ingeniero Víctor Rico en la conferencia. Se anima a los asistentes a explorar los valiosos recursos compartidos por el Ingeniero Víctor y a interactuar con los repositorios proporcionados. La información de contacto para consultas o colaboraciones adicionales está disponible para las personas interesadas.

Los asistentes son instados a acceder y descargar las regulaciones y materiales actualizados compartidos por el Ingeniero Víctor. Se enfatiza utilizar la información de manera ética y segura. Se proporcionan detalles de contacto para cualquier consulta o aclaración. El ponente expresa gratitud por la participación y espera colaboraciones futuras potenciales en actividades de ciberseguridad.