Piensa como un hacker y juega a largo plazo Cómo el director de seguridad de Amazon protege todos esos datos

Piensa como un hacker y apuesta a largo plazo Cómo el director de seguridad de Amazon protege todos esos datos

El mes pasado, Lloyd’s de Londres estimó que un hipotético ciberataque importante a los sistemas de pago financieros del mundo podría costar aproximadamente 3,5 billones de dólares a nivel mundial, siendo Estados Unidos responsable de aproximadamente un tercio de esa pérdida. Según la Asociación Americana de Hospitales, los hospitales de Estados Unidos ya han sufrido “cientos” de violaciones que han obstaculizado su funcionamiento este año. Otras empresas, como la empresa de pruebas genéticas 23andMe, también han sido víctimas de robo de datos.

Mientras tanto, el conflicto entre Israel y Hamás ha provocado un aumento en los ciberataques en la región y podría desencadenar una actividad adicional en otros lugares a medida que la guerra continúa y cambian las dinámicas geopolíticas.

A pesar de presenciar una corriente constante de incidentes cibernéticos en las noticias, muchas empresas no están preparadas, según Steve Schmidt, director de seguridad de Amazon y miembro del famoso “equipo-S” de líderes senior de la compañía, que informan directamente al CEO Andy Jassy.

Schmidt, ex jefe de sección del FBI y ex CISO de AWS durante 15 años, se unió a la empresa minorista en 2022. Amazon había sido criticada en los años previos a su nombramiento por no proteger adecuadamente su creciente caché de datos de clientes.

Según Schmidt, muchas empresas en riesgo de ciberataques “ni siquiera lo saben todavía porque no tienen a nadie que lo supervise”. Aunque, en justicia, agrega que es posible que no tengan a nadie a cargo debido a la escasez importante de personas con habilidades en ciberseguridad.

El equipo de Schmidt en Amazon, una de las compañías más ricas en datos del planeta, está planeando una contratación masiva en los próximos meses. “Si estamos contratando a miles de personas y otras compañías grandes también están contratando a miles de personas, el grupo de talentos disponibles se agota rápidamente”, señala Schmidt.

Así es como él enfoca su trabajo protegiendo todas las propiedades físicas y digitales de Amazon, lo cual describe como una cuestión de “resolver acertijos, jugar ajedrez y practicar psicología”.

Aclarar qué datos y hardware tienes

La tarea más básica y sorprendentemente pasada por alto que un equipo de seguridad puede abordar implica catalogar toda la infraestructura digital y de hardware de una empresa (software, servidores, dispositivos) y mantener actualizados esos datos, según lo explicó Schmidt recientemente a ANBLE. Las empresas también deben clasificar sus activos y asignar múltiples capas de seguridad, y luego probar esas capas para asegurarse de que sigan funcionando.

Conoce las amenazas cibernéticas

“Muchas personas piensan en la seguridad como un trabajo en el que se impiden que ocurran cosas, y ciertamente hay un elemento de eso”, dice Schmidt. “Pero lo que estoy intentando hacer más que cualquier otra cosa es comprender la motivación de nuestros adversarios”.

Con ese fin, Amazon reveló recientemente que su equipo cibernético utiliza “MadPots”, un juego de palabras con “honeypots” («pots» de miel), las trampas ficticias basadas en relaciones que utilizan las agencias de policía para atrapar a los delincuentes. En el espacio digital, los MadPots y otras formas de software de engaño, o señuelos de datos, dan a los hackers la falsa impresión de que han accedido a datos reales. Una vez que el intruso está en el sistema, Amazon puede “hacer que los adversarios interactúen con nuestros sensores”, dice Schmidt, “y hacerles creer que están interactuando con nuestros clientes, para que podamos recopilar las herramientas de los adversarios. Así aprendemos sobre sus técnicas, lo que están tratando de enfocar, y esto informa a nuestros servicios de inteligencia de amenazas”.

Los grupos que podrían querer superar el sistema de una empresa van desde hackers que juegan para molestar a otros, hasta ladrones que se comportan como familias criminales altamente organizadas. Los oponentes que apuntan a Amazon y otras grandes empresas también pueden ser contratistas que trabajan para un gobierno extranjero como Rusia o China. Incluso cuando estas personas no son particularmente talentosas, explica Schmidt, “hay un volumen tan alto [de sus ataques] que su probabilidad estadística de éxito es relativamente alta”.

No todas las empresas pueden aprovechar el software de inteligencia de amenazas como MadPots, dice Schmidt. Para que estos programas funcionen, la organización debe tener suficientes datos y redes para producir información estadísticamente útil. “También necesitas tener un equipo del tamaño y la madurez adecuados para poder digerir la información de manera efectiva”, dice. Para los equipos más pequeños o ocupados con proyectos inmediatos, Schmidt sugiere adquirir software de inteligencia de amenazas.

Tu peor enemigo podría estar dentro de tus propias filas

No siempre es un desconocido el que irrumpe o permite una violación, por supuesto. La realidad es todo lo contrario: la mayor amenaza generalmente proviene de dentro de la casa.

Los dos escenarios que más deberían preocupar a las pequeñas y medianas empresas, según Schmidt, son los empleados “utilizando su acceso legítimo a los datos para cosas que no deberían hacer” y los “empleados siendo explotados por un actor de ingeniería social” que busca datos en un ataque de ransomware.

Los ciberdelincuentes son conocidos por obtener acceso a un sistema a través de las credenciales legítimas de un empleado. Podrían lograrlo a través de una campaña de phishing o sobornando a un empleado, lo cual ocurrió en Amazon en 2021. Una vez que pasan las barreras, los criminales con la identidad de un empleado pueden maniobrar con bastante libertad, es por eso que Amazon limita severamente la cantidad de datos a la que cualquier empleado puede acceder a la vez, y monitorea cómo utilizan su acceso.

“Si piensas en cómo funciona típicamente un negocio, habrá algunos administradores que tienen acceso a todo en la empresa”, dice Schmidt, “Cuanto más pequeña sea la empresa, más común será que todos en la empresa tengan acceso a todos los datos”. Esa puede ser la solución más fácil, agrega, pero es mala para la seguridad.

La ciberseguridad es clave para desbloquear la innovación

Muchas empresas ven la ciberseguridad como una función “de control” que ralentiza otras partes del negocio. Pero dentro de Amazon, el trabajo de seguridad se ve como un acelerador del negocio, según Schmidt, quien dice que ese es un cambio de mentalidad que muchas empresas aún pueden necesitar hacer.

Schmidt aconseja a los CEOs medir a sus equipos de seguridad por “cómo están aumentando la velocidad en lugar de frenar las cosas”. ¿Tu CISO o jefe de datos está preguntando cómo pueden habilitar un nuevo producto, no simplemente controlando y bloqueando lo que hacen las personas?

“Personalmente veo el uso de la palabra ‘no’, en un contexto de seguridad, como un fracaso”, dice Schmidt. Detener algo puede parecer prudente a corto plazo, pero decir que no todo el tiempo evitará que una empresa crezca en áreas donde necesita innovar, sostiene. Además, agrega, eventualmente frustrará a los creadores de productos y puede hacer que busquen formas de eludir al equipo de seguridad tanto como sea posible. Idealmente, las empresas quieren fomentar justo lo contrario: una colaboración temprana y frecuente entre ingenieros, equipos de productos y líderes de seguridad.

Juega a largo plazo

Como CSO de una de las mayores empresas del mundo, Schmidt ya no trabaja en la táctica diaria de la ciberseguridad. En cambio, está jugando a largo plazo, planeando de 3 a 5 años en el futuro, estudiando cómo podrían estar evolucionando los actores malintencionados y qué tipo de inversiones pueden ser necesarias para mantener defensas sólidas.

Los equipos de seguridad en empresas de todos los tamaños deberían estar haciendo lo mismo, dice. Deberían estar atentos a la tecnología emergente y lanzando actualizaciones ahora que pueden tomar algunos años en implementarse. “Hace muchos años, Amazon comenzó a migrar hacia la autenticación multifactor de hardware porque vimos las amenazas en evolución tanto de los actores estatales como de las organizaciones de ingeniería social-ransomware”, dice el CSO. “Hacer ese cambio nos llevó cuatro o cinco años debido al tamaño de nuestra empresa, a pesar de que somos una organización muy centrada en la tecnología, por lo que la mayoría de las empresas tienen que descubrir: ‘¿Qué amenazas me enfrentarán? ¿Qué técnicas necesito comenzar a invertir ahora para protegerme contra esas amenazas?'”

¿Tienes un consejo secreto o una idea para una historia? ¡Compártelo! Ponte en contacto conmigo en [email protected], o a través de la aplicación de mensajería segura Signal al (646) 820-9525.