‘Endpoint’: ¿se protege como se debe?
Entrevista con el experto Jorge Marcos Fernández, Director de la Unidad PEDM, WALLIX.
Transcripción entrevista 28.06.2022
1. ¿Protegen o tienen protegidos empresas y usuarios sus endpoints de manera correcta?
La protección de endpoints por parte de empresas y usuarios aún tiene camino por recorrer. Históricamente se han destinado muchos recursos y dinero a proteger lo que se percibe como sus activos principales, como servidores y electrónica de red. Sin embargo, los puestos de trabajo no han recibido una atención totalmente adecuada.
La mayoría de las empresas en el mundo, en un alto porcentaje como el 65-75%, utilizan para su protección únicamente un antivirus. Y se ha demostrado que disponer de un antivirus como único sistema de ciberseguridad es insuficiente a la hora de hacer frente a las actuales ciberamenazas existentes, por mucho que pueda actualizarse.
2. ¿Son conscientes, especialmente los segundos, y más en estos tiempos de trabajo híbrido, de la importancia de proteger sus dispositivos ante las amenazas, y lo que supondría ser objeto de una amenaza para el resto de los dispositivos de la empresa?
Hay una diferencia entre ser conscientes y querer ser conscientes. No es lo mismo. La mayoría de los CISOs de las empresas son conscientes del problema que tienen que afrontar, sobre todo en lo relativo a la seguridad de los endpoints. Y en este aspecto, el equilibrio entre productividad y seguridad es la clave. Es posible invertir mucho en ciberseguridad, pero debe tenerse muy en cuenta el punto medio entre productividad y seguridad. Dado que aplicar unas políticas muy severas de ciberseguridad pueden tener un impacto significativo en la productividad de los trabajadores. Y las empresas, no pocas veces, ya sea por motivos económicos, organizativos u estructurales no quieren permitirse “el lujo” de implantar medidas de seguridad que protejan adecuadamente sus endpoints, aun siendo conscientes del riesgo que esto supone.
Todo el mundo, en general, sí que es consciente de la importancia de mantener seguros sus dispositivos y los de la empresa. Sin embargo, muchas veces se prefiere asumir los riesgos con tal de no gastar dinero o invertir más tiempo en procesos relacionados con las soluciones de ciberseguridad.
De nuevo, el tema de la productividad es muy importante. Ya que, a los sistemas operativos, que gobiernan el puesto y las herramientas de trabajo, siempre se les exige la mayor disponibilidad posible, ya sea que esté conectado a la red, sin conectar, a medias o incluso aunque esté casi apagado. Por esto, los fabricantes de los sistemas operativos implementan unas técnicas que permiten esa productividad, haciendo posible que el equipo esté siempre disponible. La informática es una herramienta y deber ser una herramienta ágil. Sin embargo, estas técnicas implementadas penalizan la seguridad. Y aquí es donde surgen los problemas.
Ya que los hackers, hoy en día, ya no atacan directamente los activos más importantes de las empresas, como pueden ser los servidores o la electrónica de red (firewalls o servidores DNS), sino que han cambiado su objetivo y centrado en el elemento más vulnerable para acceder a la red empresarial: el ser humano. Ya que son las personas, los usuarios quienes están detrás de los endpoints y creen más fáciles de engañar. Además, en una empresa hay miles de endpoints, y para hacer frente a este reto es donde aparecemos las compañías innovadoras de ciberseguridad para ayudar a las empresas a estar tan protegidas como sea posible.
3. ¿Qué daño puede causar a una empresa una amenaza que penetre a través de un endpoint mal protegido?
Los daños dependerán de las credenciales que los hackers puedan conseguir, ya que si se hacen con unas credenciales de alto nivel podrían destrozar toda la empresa. Y dependerá del acceso que el atacante obtenga y del endpoint al que consiga acceder. Ya que, si se trata de un endpoint al que ningún usuario con privilegios haya accedido, la base de datos de credenciales estará limpia. Entonces, por mucho que los hackers ataquen, no conseguirán nada.
Sin embargo, en el caso contrario, el daño puede ser mayúsculo para la empresa. Puesto que, una vez los hackers obtienen las credenciales de un usuario con privilegios, podrían hacer cualquier cosa, como eliminar los back-ups para que impidiendo que la empresa pueda recuperar nada tras su ataque. De hecho, cuando se analiza cómo funciona un virus, una de las primeras acciones que se realizan dentro de los endpoints es anular las copias de seguridad automáticas para que no puedas echar para atrás y no puedas bloquearle.
4. ¿Qué papel pueden jugar en este sentido tecnologías como Inteligencia Artificial o la telemetría?
La IA juega un papel importantísimo, junto con el Big Data. Pero ninguna de las dos sería capaz de hacer nada si no dispusiera de los datos, si no tuvieran la información, que es donde aparece como clave la telemetría.
Lo más importante de todo esto es poder analizar en tiempo real qué está haciendo cada cosa. De forma similar a lo que hace un antivirus. Ya que, cuando ejecutas cualquier módulo, cualquier programa, es inspeccionado antes de ejecutarlo en base a unos patrones previamente almacenados.
La IA no es la panacea. Se trata de programas que van aprendiendo en función de la información que reciben y de las decisiones que se toman. No deja de ser un programa que hace una serie de cosas diferentes de las que hacen los demás, pero, obviamente, de una forma mucho más avanzada y compleja. Donde todavía queda mucho por desarrollarse.
5. ¿Qué papel cree que debería jugar aquí el Canal?
El Canal es imprescindible a la hora de transmitir todos estos conocimientos, necesidades y desafíos que hemos comentado previamente. Para nosotros, el Canal es la clave porque nos permite llegar a muchos más clientes, aunque la formación de los actores del canal siga teniendo que recorrer un largo camino. En cambio, gracias a los programas de partners es posible contar con una buena vía para la formación del Canal. Siendo crucial para que tanto el partner como nosotros tengamos éxito.
