Hablando de seguridad, ransomware y lo que los equipos de seguridad deberían pensar con Jerry Hsieh

Por Michelle Burrows, CMO, Splashtop

seguridad y ransomware

Jerry Hsieh ha estado a la vanguardia de la evaluación de riesgos informáticos y la seguridad durante los más de veinte años de su carrera, más recientemente como Director Senior de Seguridad y Cumplimiento de en Splashtop, donde ha desempeñado una variedad de funciones de TI y Seguridad durante los últimos diez años. No hace mucho, habló con Michelle Burrows, directora de marketing de Splashtop, sobre lo que impulsó su temprano interés por la seguridad y cómo piensa en mantener los sistemas seguros, especialmente con el aumento de las brechas de seguridad muy publicitadas en los últimos meses.

Michelle Burrows: Jerry, gracias por acompañarnos. Aunque la seguridad ha estado en todas las noticias últimamente, en el pasado tendía a ser casi una idea tardía. ¿Cómo empezó a interesarse por la seguridad?

Jerry Hsieh: Tienes toda la razón: llevo mucho tiempo centrado en la seguridad y hace muchos años las empresas tendían a no pensar demasiado en la seguridad. Tuve una experiencia alarmante en 2003 y terminó por cimentar mi interés por la seguridad y la evaluación de riesgos.

Michelle Burrows: Eso suena siniestro, por favor dígame más.

Jerry Hsieh: La empresa para la que trabajaba fue una de las víctimas de un ataque DDoS SMTP que acabó con los servicios de correo electrónico corporativos, incluyendo grandes empresas y la que yo tenía en ese momento. Recuerdo el momento con mucha claridad porque coincidió con mi boda y fue la razón por la que no pude disfrutar realmente por lo que estaba pasando en la oficina.

También me mostró de primera mano el impacto de algo así. Habíamos trabajado con una empresa que se dedicaba a filtrar el correo electrónico para proteger a empresas como la mía y otras de un ataque de este tipo y acabaron cerrando a causa de este ataque.

También vi otro incidente de primera mano que ocurrió cuando un archivo de producto fue categorizado como virus después de que el proveedor de AV actualizara la definición. El departamento de TI y el equipo de ingeniería pasaron innumerables noches en vela intentando resolver el incidente, ya que todos los sistemas se vieron afectados y tuvimos mucho trabajo para limpiar los archivos, trabajar con nuestro proveedor de antivirus y corregir las definiciones de lo que se definió como un ataque.

Michelle Burrows: Vaya, supongo que tener tu boda interrumpida sería una forma memorable de saber todo lo que no hay que hacer en el ámbito de la seguridad. Háblame de otras experiencias tempranas que hayas tenido con la seguridad.

Jerry Hsieh: Trabajé en otra empresa del sector de los semiconductores como ingeniero de seguridad. En aquella época, trabajábamos en seguridad sobre todo para impedir la infracción de patentes. La empresa contrató a mucha gente de seguridad, ya que éramos menos costosos que una sala llena de abogados. Esta experiencia me hizo ver la seguridad como una forma de proteger la propiedad intelectual de una empresa.

Michelle Burrows: Ahora mismo parece que oímos hablar de alguna brecha de seguridad o de un ataque de ransomware casi a diario. Qué pueden hacer las empresas para protegerse?

Jerry Hsieh: Me preguntan esto y pienso mucho en ello. En mi opinión, el eslabón más débil suele ser el usuario final. La mayoría de las brechas son causadas por un simple error: un empleado que hace clic en un enlace dañino, guarda un archivo perjudicial, utiliza una contraseña débil o reenvía algo. Un solo usuario puede entonces comprometer todo el sistema.

Michelle Burrows: Eso es bastante interesante que un empleado puede accidentalmente hacer un montón de daño. Creo que mucha gente piensa que no será vulnerable a un incidente como este porque tiene un cortafuegos. ¿Puede comentar esto?

Jerry Hsieh: Un cortafuegos suele dar a la gente una falsa sensación de seguridad. Oigo a alguien decir: "No seré presa de un ataque porque tengo un cortafuegos". Lo que no tienen en cuenta es que, aunque puedes poner todo tipo de protección alrededor de tu red, una de tus mayores amenazas puede ser en realidad interna. Un cortafuegos no resuelve tus problemas de seguridad, especialmente cuando los hackers son cada vez más creativos para atraer a los empleados a hacer clic en algo con el fin de entrar en tu sistema.

Michelle Burrows: Si un cortafuegos no es la única respuesta a las brechas de seguridad, ¿qué recomienda?

Jerry Hsieh: Recomiendo tres áreas a las que prestar atención:

  1. Formación y concienciación de los usuarios finales - Para mí, este es uno de los puntos más importantes en los que centrarse y, desde que me uní a Splashtop, envío continuamente recordatorios sobre los riesgos de seguridad. Me aseguro de que todo el mundo vea el mensaje y que todos los empleados sepan lo importante que es estar alerta. Ayuda el hecho de que nuestro director general, Mark Lee, siga enviando mensajes a nuestra empresa en los que hace hincapié en la importancia de la seguridad y en que es responsabilidad de todos. Cuando la gente sabe que es algo importante para el CEO, tiende a prestar más atención.
  2. Políticas de seguridad - Muchas empresas tienen políticas de seguridad, pero deberían tener prácticas para supervisarlas y probarlas constantemente. Tener una política es un buen primer paso, pero hacerla cumplir es aún más crítico.
  3. Pruebas de Penetración Continua - La integración continua y la entrega/despliegue continuo (CI/CD) ha sido adoptada por muchas empresas. Es importante "probar" constantemente su red, aplicaciones para ver si se están creando vulnerabilidades durante el ciclo de vida de desarrollo de software (SDLC).

Michelle Burrows: Estoy segura de que cuando uno le cuenta a la gente a qué se dedica, algunos pueden sentir que tienen que "confesar" su propia mala práctica. ¿Qué práctica dudosa le hace dudar o preocuparse más?

Jerry Hsieh: No suelo tener a nadie que me cuente lo que hace, que puede ser o no una buena práctica. He comprobado que la mayoría de la gente no sabe lo que es la ciberseguridad en la práctica. Lo ven en la televisión o en una película y ven cómo un "tipo malo" con un solo comando, derriba todo un sistema. Y también pueden pensar que están a salvo de esto debido a su cortafuegos. Lo que no entienden es que el "malo" puede ser un solo usuario de su empresa. Pocos incidentes de filtración de datos son causados por empleados que se vuelven rebeldes. Lo que las empresas deben adoptar es una filosofía de "no confiar en nadie". "No confiar en nadie" es uno de los principales principios de Acceso de Confianza Cero (ZTA) que estoy viendo que se adopta cada vez más.

La otra idea errónea que tienen algunas personas sobre la ciberseguridad es que es algo que se puede "terminar". La ciberseguridad es algo que nunca se "termina" y siempre se puede mejorar.

Michelle Burrows: En estos momentos, se presta mucha atención a la seguridad, desde el director general hasta los inversores y los consejos de administración. Qué es lo que más debe preocupar a las empresas?

Jerry Hsieh: Las empresas deben preocuparse por una serie de aspectos.

  1. Necesitan hacer una evaluación de riesgos exhaustiva y honesta. Cuando su empresa es atacada, daña su marca y erosiona la confianza de sus clientes, empleados e incluso de su junta directiva. Debe evaluar su riesgo de forma regular.
  2. Supervise cada pieza de software, proveedor de servicios y hardware de su red. Muchos departamentos compiten a menudo por el tiempo de TI y quieren incorporar las "últimas y mejores" herramientas para todo, desde las encuestas a los clientes hasta el marketing y desde el desarrollo ágil hasta el seguimiento de los gastos. Pero, cada proveedor, pieza de software o hardware podría ser vulnerable a un ataque. Debe vigilar constantemente sus vulnerabilidades y asegurarse de que los empleados actualizan su software y/o hacer que el equipo de TI aplique parches de forma proactiva enviando actualizaciones.
  3. Investiga. En la actualidad existen millones de productos y mantenerse al día con ellos y los errores que podrían introducir en su sistema es un trabajo interminable. Tu equipo de seguridad debe vigilar e investigar constantemente las vulnerabilidades.
  4. Sepa que el vector de ataque ha cambiado. Los hackers se han vuelto mucho más inteligentes a lo largo de los años y han cambiado su forma de atacar. Mientras que hace unos años un correo electrónico peligroso podía ser aparente, ahora esos correos se personalizan para que sea más probable que alguien haga clic. Debes poner a prueba a tus empleados constantemente para que la seguridad sea siempre lo más importante.

Michelle Burrows: Recientemente se ha anunciado que las VPN son una puerta de entrada para un ataque. En su opinión, ¿por qué las VPN (redes privadas virtuales) son especialmente vulnerables?

Jerry Hsieh: Sí, las VPNs han sido una puerta de entrada para los ataques al sistema mucho más últimamente.
En mi opinión, las VPNs están siendo utilizadas con más frecuencia para los ataques de ransomware por algunas razones:

  1. La VPN es una tecnología antigua y se introdujo a finales de los años noventa. Cuando una tecnología concreta lleva tanto tiempo en el mercado, es más probable que haya un fallo de diseño o un error de software crítico específico del proveedor, ya que entonces no sabíamos todo lo que sabemos ahora. Por ejemplo, yo configuré mi primera VPN en 1999, basándome únicamente en comandos y utilizando interfaces de usuario (UI) algo amigables. Pienso en esa experiencia y no ha cambiado mucho y es muy probable que alguien configure mal.
  2. Una VPN depende de que su departamento de TI la configure correctamente. A menudo veo que las VPN son explotadas porque no hay una forma estándar de configurar, operar y distribuir el acceso. Cada departamento de TI lo configurará de una manera que tenga sentido para ellos y eso introduce un riesgo.
  3. Los ordenadores domésticos se utilizan en una VPN. Si un empleado trabaja desde casa y necesita acceder a los archivos del trabajo, no hay una forma sencilla de evitar que el empleado utilice un sistema no emitido por la empresa para establecer el acceso a la VPN. Existen herramientas que ayudan a ello, pero suelen ser muy caras y requieren muchos recursos.
  4. Puede mitigar el punto anterior con una política que indique a sus empleados que sólo pueden utilizar su ordenador de trabajo para acceder a la VPN. Esto introduce otra área de riesgo: las redes públicas. Si alguien está de viaje y se conecta mediante una VPN a través de una red de acceso público, es intrínsecamente propenso a los ataques.

Michelle Burrows: ¿Qué alternativas pueden implementar las empresas en lugar de una VPN? ¿Hay algún inconveniente en esa alternativa?

Jerry Hsieh: Sé que esto suena súper autopromocional, pero la mejor alternativa es aprovechar una solución de acceso remoto. Y, sí, eso incluye a Splashtop. Splashtop ayuda a mitigar los riesgos inherentes a las VPN porque le permite transmitir únicamente su escritorio. Esto significa que los datos de su red corporativa están protegidos ya que sólo puede ver los datos. Todos los datos siguen estando dentro de su red corporativa.

En cambio, cuando estoy en una VPN, puedo empezar a descargar lo que quiera, lo que significa que los hackers pueden hacer lo mismo. Cuando uso una herramienta como Splashtop, puedo ver y operar o usar el archivo, pero no puedo descargarlo. Puedo configurarlo para que sólo los ordenadores locales puedan acceder a él.

Además, ya que estamos hablando de seguridad, Splashtop ofrece muchas otras características de seguridad como la autenticación del dispositivo, la autenticación de dos factores (2FA), el inicio de sesión único (SSO) y más. Todas estas características adicionales de seguridad son cosas que una VPN no puede ofrecer.

Has preguntado por las desventajas de la tecnología de acceso remoto. El único inconveniente es que hay una curva de aprendizaje cuando la gente adopta las soluciones de acceso remoto. Pero, como Splashtop fue diseñado originalmente para el mercado de consumo, el tiempo que se necesita para aprender es mínimo. Y por mínimo, me refiero a unos pocos minutos para el usuario medio.

Michelle Burrows: ¿Dígame más sobre una VPN vs. Splashtop?

Jerry Hsieh: A veces escucho que la diferencia podría ser una inversión fija en comparación con el modelo de suscripción que ofrece Splashtop cuando se comparan los precios de una VPN y Splashtop. Una VPN es una inversión a largo plazo que algunas personas pueden hacer una vez. Pero, se olvidan de que las puertas de enlace VPN a menudo se caen e invertir en una puerta de enlace de copia de seguridad es caro. Además, una VPN requiere mantenimiento - para la vulnerabilidad y las actualizaciones de parches. Splashtop se encarga del mantenimiento y la seguridad. Splashtop no necesita mantenimiento y está disponible veinticuatro horas al día, siete días a la semana.

Michelle Burrows: Cuando no se obsesiona con la seguridad, ¿qué hace para divertirse?

Jerry Hsieh: Como probablemente te hayas dado cuenta, no tengo mucho tiempo libre. Cuando tengo tiempo libre, me gusta jugar al golf. Puede que a mi mujer no le entusiasme mi papel, pero a mí me encanta estar al día de las tendencias en seguridad y del trabajo que hago cada día.

Podría Interesarte:

Q & A sobre los riesgos cibernéticos y el replanteamiento de la producción de software

El papel de la VPN y el RDP en los ataques de ransomware

¿Está pensando en cómo proporcionar acceso remoto a sus empleados de forma segura? Contacte con Splashtop hoy mismo.

Banner de Prueba Gratuita en la Parte Inferior del Blog