En los últimos dos años, los ataques cibernéticos a las empresas mexicanas han aumentado. Desde Bancomext, Banxico y Petróleos Mexicanos, hasta el sistema SPEI de transacciones bancarias, estamos comenzando a ver que las amenazas cibernéticas se vuelven tangibles y costosas para las empresas mexicanas. Debido a los miles de malware y vectores de ataque que se descubren todos los días, las empresas son sorprendidas al ignorar dónde podría surgir su próxima amenaza, por lo que se ven obligadas a adoptar medidas y políticas de seguridad cada vez más fuertes que, al mismo tiempo, no solo les ayuden a garantizar la seguridad de sus activos, sino también a evitar millones de dólares de multas por el incumplimiento de las normas.
La Ley Federal de Protección de Datos de México tiene dientes, está bien operada y tiene costosas sanciones por incumplimiento. Para las empresas mexicanas, las normas de cumplimiento adicionales son una preocupación, desde PCI-DSS para las transacciones con tarjeta de crédito, GDPR para quienes hacen negocios con la UE, y la Ley de Privacidad de California para quienes hacen negocios en dicho estado de la unión americana. Mientras que, para las instituciones financieras de México, el cumplimiento internacional de SWIFT es imprescindible.
Afortunadamente, se está llevando a cabo una adopción de mejores prácticas en toda la industria mexicana y, en el futuro, hay formas claras y alcanzables de reducir el riesgo, y lograr y garantizar fácilmente el cumplimiento continuo.
Para empezar, adoptar el marco Confianza Cero (Zero Trust) puede hacer una gran diferencia. Es un enfoque simplificado por el que la mayoría de las empresas ha apostado. Hace hincapié en la automatización, la orquestación, la visibilidad y el análisis para evaluar a las personas, las cargas de trabajo, las redes, los dispositivos y los datos de una empresa. La utilización de Zero Trust facilita a las empresas encontrar sus deficiencias y remediarlas rápidamente.
La investigación que he realizado en los últimos años sobre algunas de las infracciones más dañinas destaca que los atacantes aprovechan con mayor frecuencia las debilidades para entrar y explotar empresas, tanto las que se explotan con poco esfuerzo, como las que podrían protegerse fácilmente.
Por lo tanto, se puede lograr mucho trabajando en la “higiene básica”, incluido el escaneo de vulnerabilidades y la aplicación de parches, e implementar una aplicación de contraseñas fuertes, combinadas con autenticación de doble factor. También existe la necesidad de mejores procedimientos de control y caducidad de cuentas; mejores prácticas de administración de certificados y control de servicios empresariales, como DNS, acceso remoto, AD y otros igualmente críticos.
Las empresas en México en las que hemos observado grandes mejoras, por mucho, son en aquellas que están ganando una mejor visibilidad y capacidades de aplicación a través de la adopción de microsegmentación, también conocida como segmentación definida por software. Esta herramienta les brinda la capacidad de ganar visibilidad y de hacer cumplir la segmentación granular en toda su empresa de manera fácil y rápida. Lo que hace poderosa a la microsegmentación es que funciona en todas sus plataformas, desde las más antiguas (incluso las que están al final de su vida útil) hasta las basadas en la nube, e incluso en los contenedores virtualizados más modernos. Cuando se busca reducir el riesgo y lograr mantener el cumplimiento de manera sencilla, la segmentación definida por software permite reducir enormemente el alcance al segmentar aquellos sistemas que deben cumplir con los demás y establecer una política que se pueda hacer cumplir sin ningún cambio en las plataformas subyacentes, como VLAN, grupos de seguridad o direcciones IP. Dado que la visibilidad proporcionada es en tiempo real e histórica, también es factible utilizarla para validar el cumplimiento continuo.
Con la adopción del marco Confianza Cero, los pasos básicos de higiene y la microsegmentación, las empresas mexicanas tienen todo lo que necesitan para mantenerse seguras y cumplir.
Deja tu comentario