Por Michelle Burrows, CMO, Splashtop
Jerry Hsieh ha estado a la vanguardia de la evaluación de riesgos informáticos y la seguridad durante los más de veinte años de su carrera, más recientemente como Director Senior de Seguridad y Cumplimiento en Splashtop, donde ha desempeñado diversas funciones de TI y Seguridad durante los últimos diez años. No hace mucho, habló con Michelle Burrows, CMO de Splashtop, sobre lo que impulsó su temprano interés por la seguridad y cómo piensa en mantener los sistemas seguros, especialmente con el aumento de las brechas de seguridad muy publicitadas en los últimos meses.
Michelle Burrows: Jerry, gracias por unirte a nosotros. Aunque la seguridad ha estado en todas las noticias últimamente, en el pasado tendía a ser casi una ocurrencia tardía. ¿Cómo empezaste a interesarte por la seguridad?
Jerry Hsieh: Tienes toda la razón: llevo mucho tiempo centrado en la seguridad y, hace muchos años, las empresas tendían a no pensar mucho en la seguridad. Tuve una experiencia alarmante allá por 2003 y acabó cimentando mi interés por la seguridad y la evaluación de riesgos.
Michelle Burrows: Eso suena siniestro, por favor, cuéntame más.
Jerry Hsieh: La empresa para la que trabajaba fue una de las víctimas de un ataque DDoS SMTP que acabó derribando los servicios de correo electrónico corporativo, incluidas grandes empresas y aquella en la que yo estaba en ese momento. Recuerdo el momento tan claramente porque coincidió con mi boda y fue la razón por la que no pude disfrutar de verdad debido a lo que estaba pasando en la oficina.
También me mostró de primera mano el impacto de algo así. Habíamos trabajado con una empresa que realizaba filtrado de correo electrónico para proteger a empresas como la mía y otras de un ataque como éste y acabaron cerrando debido a este ataque.
También vi de primera mano otro incidente que ocurrió cuando un archivo de producto fue clasificado como virus después de que el proveedor de AV actualizara la definición. TI y el equipo de ingeniería pasaron incontables noches en vela intentando resolver el incidente, ya que todos y cada uno de los sistemas se vieron afectados y tuvimos mucho trabajo para limpiar archivos, trabajar con nuestro proveedor de antivirus y corregir las definiciones de lo que se definió como un ataque.
Michelle Burrows: Vaya, supongo que que interrumpan tu boda sería una forma memorable de descubrir todas las cosas que no hay que hacer en el ámbito de la seguridad. Háblame de otras experiencias tempranas que hayas tenido con la seguridad.
Jerry Hsieh: Trabajé en otra empresa del sector de los semiconductores como ingeniero de seguridad. En aquella época, trabajábamos en seguridad sobre todo para impedir la violación de patentes. La empresa contrató a mucha gente de seguridad porque éramos menos caros que una sala llena de abogados. Esta experiencia me hizo ver la seguridad como una forma de proteger la propiedad intelectual de una empresa.
Michelle Burrows: Ahora mismo parece que oímos hablar de alguna brecha de seguridad o ataque de ransomware casi a diario. ¿Qué pueden hacer las empresas para protegerse?
Jerry Hsieh: Me preguntan esto y pienso mucho en ello. En mi opinión, el eslabón más débil suele ser el usuario final. La mayoría de las brechas están causadas por un simple error: un empleado que hace clic en un enlace dañino, guarda un archivo perjudicial, utiliza una contraseña débil o reenvía algo. Un solo usuario puede poner en peligro todo el sistema.
Michelle Burrows: Es muy interesante que un empleado pueda hacer mucho daño accidentalmente. Creo que mucha gente piensa que no será vulnerable a un incidente como éste porque tiene un cortafuegos. ¿Puedes comentarlo?
Jerry Hsieh: Un cortafuegos suele dar a la gente una falsa sensación de seguridad. Oiré a alguien decir: "No seré presa de un ataque porque tengo un cortafuegos". Lo que no tienen en cuenta es que, aunque puedes poner todo tipo de protecciones alrededor de tu red, una de tus mayores amenazas puede ser en realidad interna. Un cortafuegos no resuelve tus problemas de seguridad, sobre todo cuando los piratas informáticos son cada vez más creativos para atraer a los empleados a que hagan clic en algo con el fin de entrar en tu sistema.
Michelle Burrows: Si un cortafuegos no es la única respuesta a las brechas de seguridad, ¿qué recomiendas?
Jerry Hsieh: Recomiendo tres áreas a las que prestar atención:
Formación / concienciación del usuario final - Para mí, éste es uno de los puntos más importantes en los que centrarse y, desde que me incorporé a Splashtop, envío continuamente recordatorios sobre los riesgos de seguridad. Me aseguro de que todo el mundo vea el mensaje y de que todos los empleados sepan lo importante que es estar alerta. Ayuda que nuestro director general, Mark Lee, envíe mensajes a nuestra empresa en los que subraya la importancia de la seguridad y que es responsabilidad de todos. Cuando la gente sabe que es algo importante para el director general, tiende a prestar más atención.
Políticas de seguridad - Muchas empresas tienen políticas de seguridad, pero deberían tener prácticas para supervisarla y probarla constantemente. Tener una política es un buen primer paso, pero hacerla cumplir es aún más crítico.
Pruebas de penetración continuas - Muchas empresas han adoptado la integración continua y la entrega/despliegue continuos (CI/CD). Es importante "probar" constantemente tu red y tus aplicaciones para ver si se crean vulnerabilidades durante el ciclo de vida de desarrollo del software (SDLC).
Michelle Burrows: Estoy segura de que cuando cuentas a la gente a qué te dedicas, algunos pueden sentir que necesitan "confesar" su propia mala práctica. ¿Qué práctica cuestionable te da más dudas o te preocupa más?
Jerry Hsieh: No suelo tener a nadie que me cuente lo que hace, que puede ser o no una buena práctica. Me he dado cuenta de que la mayoría de la gente no sabe lo que es la ciberseguridad en la práctica. Lo ven en la televisión o en una película y observan cómo un "malo", con un solo comando, derriba todo un sistema. Y también pueden pensar que están a salvo de esto gracias a su cortafuegos. Lo que no entienden es que el "malo" puede ser un único usuario de tu empresa. Pocos incidentes de filtración de datos son causados por empleados que se pasan de la raya. Lo que las empresas deben adoptar realmente es una filosofía de "no confiar en nadie". "No confíes en nadie" es uno de los principales principios del Acceso de Confianza Cero (ACC) que estoy viendo que se adopta cada vez más.
La otra idea equivocada que tienen algunas personas sobre la ciberseguridad es que es algo que puedes "terminar". La ciberseguridad es algo que nunca está "hecho" y siempre se puede mejorar.
Michelle Burrows: Ahora mismo, se presta mucha atención a la seguridad, desde el director general hasta los inversores y los consejos de administración. ¿Qué debe preocupar más a las empresas?
Jerry Hsieh: Las empresas deben preocuparse por varios aspectos.
Tienen que hacer una evaluación de riesgos exhaustiva y honesta. Cuando se ataca a tu empresa, se daña tu marca y se erosiona la confianza de tus clientes, empleados e incluso de tu junta directiva. Debes evaluar tu riesgo periódicamente.
Supervisa cada software, proveedor de servicios y hardware de tu red. Con frecuencia, muchos departamentos compiten por el tiempo de TI y quieren incorporar las "últimas y mejores" herramientas para todo, desde encuestas a clientes hasta marketing, y desde desarrollo ágil hasta seguimiento de gastos. Pero cada proveedor, software o hardware puede ser vulnerable a un ataque. Debes vigilar constantemente tus vulnerabilidades y asegurarte de que los empleados actualizan su software y/o hacer que el equipo informático aplique parches de forma proactiva enviando actualizaciones de forma proactiva.
Investiga. En la actualidad existen millones de productos y estar al día de ellos y de los errores que pueden introducir en tu sistema es un trabajo interminable. Tu equipo de seguridad debe vigilar e investigar las vulnerabilidades constantemente.
Saber que el vector de ataque ha cambiado. Los piratas informáticos se han vuelto mucho más listos a lo largo de los años y han cambiado su forma de atacar. Mientras que un correo electrónico peligroso podía ser evidente hace unos años, ahora esos correos se personalizan para que sea más probable que alguien haga clic. Debes poner a prueba a tus empleados constantemente para que la seguridad esté siempre en primer plano.
Michelle Burrows: Recientemente se ha anunciado que las VPN son una puerta de entrada para un ataque. En tu opinión, ¿por qué las VPN (Redes Privadas Virtuales) son especialmente vulnerables?
Jerry Hsieh: Sí, las VPN han sido últimamente una puerta de entrada para ataques a sistemas mucho más.
En mi opinión, las VPN se utilizan cada vez con más frecuencia para los ataques de ransomware por varias razones:
La VPN es una tecnología antigua y se introdujo a finales de los noventa. Cuando una tecnología concreta lleva tanto tiempo en el mercado, es más probable que exista un fallo de diseño o un error de software crítico específico del proveedor, ya que entonces no sabíamos todo lo que sabemos ahora. Por ejemplo, yo configuré mi primera VPN allá por 1999, basándome únicamente en comandos y utilizando interfaces de usuario (IU) algo amigables. Vuelvo a pensar en aquella experiencia y no ha cambiado mucho y es muy probable que alguien la haya configurado mal.
Una VPN depende de que tu departamento informático la configure correctamente. A menudo veo que las VPN son explotadas porque no hay una forma estándar de configurar, operar y distribuir el acceso. Cada departamento informático lo configurará de una forma que tenga sentido para él y eso introduce riesgos.
Los ordenadores domésticos se utilizan en una VPN. Si un empleado trabaja desde casa y necesita acceder a los archivos del trabajo, no hay una forma sencilla de evitar que utilice un sistema no emitido por la empresa para establecer el acceso VPN. Existen herramientas que ayudan en este sentido, pero suelen ser muy caras y consumen muchos recursos.
Puedes mitigar el punto anterior con una política que indique a tus empleados que sólo pueden utilizar su ordenador de trabajo para acceder a la VPN. Esto introduce otra área de riesgo: las redes públicas. Si alguien está de viaje y se conecta mediante una VPN a través de una red de acceso público, es intrínsecamente propenso a sufrir ataques.
Michelle Burrows: ¿Qué alternativas pueden desplegar las empresas en lugar de una VPN? ¿Existe algún inconveniente en esa alternativa?
Jerry Hsieh: Sé que esto suena súper autopromocional, pero la mejor alternativa es aprovechar una solución de acceso remoto. Y, sí, eso incluye a Splashtop. Splashtop ayuda a mitigar los riesgos inherentes a las VPN porque te permite transmitir sólo tu escritorio. Esto significa que los datos de tu red corporativa están protegidos, ya que sólo puedes verlos. Todos los datos siguen estando dentro de tu red corporativa.
En cambio, cuando estoy en una VPN, puedo empezar a descargar lo que quiera, lo que significa que los hackers pueden hacer lo mismo. Cuando utilizo una herramienta como Splashtop, puedo ver y manejar o utilizar el archivo, pero no puedo descargarlo. Puedo configurarlo para que sólo puedan acceder a él los ordenadores locales.
Además, ya que hablamos de seguridad, Splashtop ofrece muchas otras funciones de seguridad, como autenticación de dispositivos, autenticación de dos factores (2FA), inicio de sesión único (SSO) y mucho más. Todas estas funciones de seguridad adicionales son cosas que una VPN no puede ofrecer.
Has preguntado por los inconvenientes de la tecnología de acceso remoto. El único inconveniente es que existe una curva de aprendizaje a medida que la gente adopta las soluciones de acceso remoto. Pero, como Splashtop se diseñó originalmente para el mercado de consumo, el tiempo que se tarda en aprenderlo es mínimo. Y por mínima, quiero decir en pocos minutos para el usuario medio.
Michelle Burrows: Cuéntame más sobre una VPN vs. Splashtop ?
Jerry Hsieh: A veces oigo que la diferencia podría ser una inversión fija en comparación con el modelo de suscripción que ofrece Splashtop cuando comparas los precios de una VPN y Splashtop. Una VPN es una inversión a largo plazo que algunas personas pueden hacer una vez. Pero olvidan que las pasarelas VPN suelen fallar y que invertir en una pasarela de reserva es caro. Además, una VPN requiere mantenimiento: para actualizar vulnerabilidades y parches. Splashtop se encarga de las tareas de mantenimiento y seguridad. Splashtop no necesita mantenimiento y está disponible veinticuatro horas al día, siete días a la semana.
Michelle Burrows: Cuando no estás obsesionada con la seguridad, ¿qué haces para divertirte?
Jerry Hsieh: Como probablemente te habrás dado cuenta, no tengo mucho tiempo libre. Cuando tengo tiempo libre, me gusta jugar al golf. Puede que a mi mujer no le entusiasme mi papel, pero a mí me encanta estar al día de las tendencias en seguridad y del trabajo que hago cada día.