Madrid, 1 de julio de 2022.- Cada vez son más frecuentes los ataques de los hackers, capaces de desmoronar las estructuras de cualquier organización en apenas unos minutos. En Codere reforzamos nuestros equipos, humanos y técnicos, para evitar el daño o, en el caso de que se produzca, minimizar sus consecuencias.
Conocemos cuáles son nuestros principales retos de la mano de Fanny Pérez, directora corporativa de Seguridad de la Información y Riesgos Tecnológicos. Licenciada en Computación por la Universidad Nueva Esparta, especialista en Telemática por la Universidad Simón Bolívar y por el Instituto de Nacional de Telecomunicaciones de Francia, y con estudios parciales de Doctorado en Investigación en Informática de la Universidad Complutense de Madrid, lidera un equipo de siete personas dedicadas a Ciberseguridad, coordina a diversos proveedores y trabaja con distintas áreas, como Infraestructuras Corporativas, TI, Telecomunicaciones, Cloud e Infraestructura, Comunicaciones, DPO, Seguridad, Compras, etc., con el objetivo de hacer de la Ciberseguridad una prioridad estratégica en nuestra organización y permear en nuestra cultura el conocimiento de que la seguridad es responsabilidad de todos.
P-. ¿Por qué es tan importante reforzar la concienciación en cuanto a temas de Ciberseguridad?
Nos encontramos en la era digital, tanto en lo laboral como en lo personal, lo que supone un entorno propicio para los ciberdelincuentes, de lucrase con sus actividades ilícitas, ya que cada transacción representa una oportunidad para ellos.
Por esa razón, en Codere tenemos un Plan de concienciación que se basa en:
- E-Learning de Ciberseguridad.
- Campañas de phishing
- Cursos orientados a las personas que caen en las campañas de phishing.
- Píldoras informativas.
Es de destacar que después de la pandemia, las empresas tuvimos que incorporar nuevas formas de trabajo mucho más digitales –activando el teletrabajo de forma prioritaria e incluyendo nuevos servicios en la nube para el trabajo colaborativo en remoto-. La mayoría de los desarrollos fueron de forma urgente durante la fase de respuesta, seguidos de ajustes estratégicos de arquitecturas, controles de ciberseguridad y procesos nuevos.
Esta situación ha sido utilizada por los ciberatacantes para incrementar su actividad. Muchas de las tácticas, técnicas y procedimientos desarrolladas están dirigidas a las personas, utilizando diferentes modalidades para manipularlas mediante elementos psicológicos, como la influencia y la persuasión, con el fin de que ejecuten ciertas actividades inconscientemente, por lo que es indispensable que desarrollemos un “firewall humano”.
Para Gartner Research, el ciclo de ataque de la ingeniería social que utilizan los atacantes consta de cuatro etapas:
- Recolección de información: Los ciberatancantes buscan información de la empresa, de sus empleados o de su target en internet y en las redes sociales. No usemos por tanto datos de empresa en las redes sociales. En nuestras cuentas personales, activemos el doble factor de autenticación. Y tengamos confianza cero en los enlaces de correo.
- Desarrollo de la relación: Una vez que los atacantes obtienen información, establecen la relación de confianza.
- Explotación de la relación: Buscan persuadir a las personas para que realicen una acción.
- Ejecución para lograr el objetivo. Finalmente realizan su objetivo, monetizar sus ataques.
El eslabón más débil de la cadena en materia de Ciberseguridad es el usuario final. Por esta razón, la capacitación de nuestros colaboradores es clave. Esto permitirá que el personal pueda reconocer las amenazas y reaccionar ante ellas y cuanto más rápido se identifican, más rápido se mitigan y menos daño generan.
P-. ¿Cuáles son nuestros principales riesgos y formas de ataque?
Actualmente, uno de los principales retos que afrontamos las empresas es el phishing, que cada vez se vuelve más personalizado, localizado y geo-objetivado. Debemos esperar técnicas mucho más sofisticadas y difíciles de detectar, en particular ataques del correo electrónico empresarial. Por eso, es muy importante seguir las recomendaciones básicas.
Como la confianza cero. Este tipo de ataque intenta suplantar la identidad de un compañero de trabajo o proveedor. En el caso de que notemos algo raro, o no conozcamos al remitente, debemos desconfiar. Y nunca abrir un correo de la bandeja de spam.
Además, no debemos hacer clic en links o botones contenidos en un correo. Hay que desconfiar incluso de una url que pueda contener el nombre real de la empresa. Por lo general, te solicitan que introduzcas tus credenciales para poder terminar suplantando tu propia identidad.
Por el contrario, debemos contactar por otra vía. Ya que estos mensajes transmiten urgencia para que no nos dé tiempo a reaccionar, antes de realizar cualquier acción, debemos siempre contactar por otro medio con la supuesta empresa remitente.
Finalmente, en caso de que recibamos un correo sospechoso o tengamos alguna duda, debemos reportarlo urgentemente a la Oficina Técnica de Seguridad (ots.corporativo@codere.com), porque es así como podemos mejorar la seguridad y protección en Codere.
Por otra parte, son cada vez más habituales los ataques de ransomware, también creciendo en complejidad y personalización, con vectores de acceso cada vez más invisibles que intensifican la explotación de las vulnerabilidades. Es importante en este caso seguir también recomendaciones imprescindibles, como no abrir un documento que no venga de un receptor confiable; no instalar aplicaciones que no sean corporativas; no visitar webs que no sean conocidas o estar pendientes del candado, cuando naveguemos por internet.
Además, en 2021 hemos tenido varios ejemplos de ataques a la cadena de suministro, como Solarwinds, Kaseya o Colonial Pipeline. El principal reto en este sentido, está enfocado a la seguridad de los proveedores estratégicos. Actualmente estamos trabajando en mejorar los requisitos contractuales de nuestros proveedores, mejorando el ciclo de vida de compras, para incluir criterios de seguridad desde el inicio. Como colaboradores de Codere, debemos cerciorarnos de que si contratamos un proveedor, cumpla con el nivel de Ciberseguridad fijado por nuestra compañía.
P.- La función ha tenido que adaptarse frenéticamente al teletrabajo y a un mercado cada vez más digitalizado. ¿Cuáles han sido los principales avances de Codere en este frente en los últimos años?
Desde el punto de vista de Ciberseguridad, hemos tenido que cambiar la tecnología para adaptarla al nuevo entorno, situación que nos ha permitido mejorar el nivel de madurez.
Anualmente realizamos una revisión del nivel de madurez, por Deloitte, que utiliza su framework de referencia, Cyber Strategy Framework (CSF), que se centra en el análisis de capacidades de ciberseguridad definidas en un marco basado en el cumplimiento de ciertos controles, estructurados en cuatro dominios: gobierno, protección, vigilancia y resiliencia. En esta revisión hemos pasado de una valoración de 1,16 en el 2020 a 1,65 en el 2021. El estado de madurez de la Ciberseguridad en Codere en 2021 ha mejorado un 9,2% respecto a 2020. Entre las iniciativas que nos han permitido este avance, cabe destacar:
- Una reestructuración organizativa, para adaptarse a la nueva normalidad.
- Una monitorización de seguridad con un servicio de 24×7.
- Renovación del antivirus a uno de nueva generación que protege al empleado en cualquier lugar.
- Para prevenir la entrada de virus provenientes de la navegación, hemos desplegado la protección sin importar la ubicación del empleado.
- Gestión de vulnerabilidades como proceso continuo, tanto para la red interna como para las IPs expuestas.
- Implantación de un WAF, Firewall de Aplicaciones Web para proteger los sites más importantes de la empresa.
- Contamos con protección para ataques de DDoS.
- Estamos desplegando el doble factor de autenticación (MFA), que nos permitirá mejorar la protección ante ataques de ingeniería social (protección para VPN y MS Office 365).
- Mantenemos actualizado el programa de concienciación en materia de seguridad que incluye e-learning con mensajes claves, campañas de phishing, cursos para los empleados que caigan en las campañas de simulacro phishing, píldoras informativas y, además, este nuevo espacio en Codere Actualidad, para compartir los avances más relevantes.
P.- ¿Cuáles son ahora nuestros principales retos?
La protección es la mejor estrategia para evitar los ciberataques o minimizarlos, pues ya hemos visto que muchos se producen porque el propio usuario no sabe detectar una página web fraudulenta o acepta un software malicioso sin saberlo.
En Codere, contamos con una estrategia de Ciberseguridad adaptada al modelo de negocio y a nuestros sistemas. El principal reto es que Ciberseguridad sea un área estratégica para el negocio y que los empleados participen de manera activa.
P.- ¿Qué nivel de concienciación sobre este asunto tenemos en la organización?
En los dos últimos años hemos mejorado el nivel de concienciación en la organización, pero todavía nos queda un largo camino, ya que en la última campaña de phishing un 3,58% de los empleados comprometieron sus credenciales, indicativo de que tenemos que seguir reforzando la concienciación y los niveles de protección.
Por esta razón, seguiremos desarrollando estas habilidades con más charlas formativas, campañas continuas de phishing y con nuevos contenidos.
