Oye, estamos probando una nueva herramienta de informes. ¿Podría hacer clic en el siguiente enlace y ejecutar un par de informes de muestra? Deberíamos tenerlo ejecutándose en nuestro SSO, por lo que si solicita una contraseña, simplemente use la de su red. Déjame saber lo que piensa de la herramienta.
¿Correo electrónico legítimo o intento de phishing dirigido? Esa es la pregunta a la que innumerables empresas y empleados se enfrentan cada día, y a medida que estos ataques se vuelven más matizados, distinguir la diferencia se convierte en un reto aún mayor.
~40 % de los ciberataques comienzan por el phishing
De hecho, IBM observó en 2021 que los intentos de phishing se habían convertido en el vector de amenazas más común, sirviendo como punto de partida para aproximadamente el 40 % de los ataques. Y cuando los delincuentes y estafadores añadían la correspondiente llamada telefónica, vishing o phishing de voz, el intento tenía tres veces más probabilidades de éxito. Del mismo modo, los ataques de ransomware se han convertido en una ciberamenaza líder, representando el 21 % del total de ataques.
Incluso los sectores más tradicionales están viendo un aumento en las amenazas cibernéticas, particularmente a medida que estas empresas comienzan a explorar cómo la transformación digital puede ofrecer una clara ventaja competitiva. Según la investigación de IBM, la fabricación sustituyó los servicios financieros como el sector más atacado en 2021, lo que representa el 23,2 % de los ataques que la empresa remedió ese año.
Fabricación: la industria más atacada en 2021
Así, a medida que la IA y la nube híbrida se vuelven más comunes en la planta de producción y la toma de decisiones impulsada por el análisis dicta cambios en tiempo real en los flujos de trabajo, los hackers y otros actores ilícitos están encontrando nuevos entornos ricos en objetivos.
"Solo se necesita un intento exitoso de hackear su empresa", señala Robert Oh, vicepresidente ejecutivo de estrategia digital corporativa para Doosan Group y director de operaciones (COO) en Doosan Digital Innovation (DDI), una entidad que ofrece TI y DT principalmente a Doosan Group. "O incluso una acción no maliciosa por parte de un empleado, como hacer clic en un enlace que no debería tener. Y una vez que esa puerta trasera está abierta y está dentro, la mayoría de las empresas no saben que han estado comprometidas durante más de un mes. Es mucho tiempo para causar algún daño”.
Implementación más rápida
Aprovisionamiento e implementación de una infraestructura de seguridad global integrada en <1 año desde el lanzamiento del proyecto
Respuestas más rápidas
Utiliza SOAR para acelerar las reacciones a amenazas, reduciendo aproximadamente el 85 % de los tiempos de respuesta
A principios de 2021, además de ocupar el cargo de vicepresidente ejecutivo y director de estrategia digital corporativa de Doosan Group, Oh también fue nombrado director de operaciones en DDI. Y con este nombramiento, consideró el cambiante panorama de la seguridad y cómo abordarlo, creyendo que un programa de ciberseguridad efectivo e integral debería ser la base de cualquier esfuerzo de transformación digital. Y, afortunadamente, en sus nuevas funciones, asumió la responsabilidad de guiar la transformación digital no solo de DDI, sino de todo Doosan Group.
"Una de las primeras cosas que mencioné a nuestro equipo ejecutivo fue la importancia de proteger nuestra inversión en transformación digital", recuerda Oh, "Y como se imagina, se convenció de que aceptara endurecer nuestra postura. A menudo la seguridad se da por sentada: no ha sucedido nada malo, por lo que no va a pasar nada malo. Pero me centré en demostrarles que la seguridad era un facilitador fundamental de nuestro éxito futuro. Que no fue algo que existió junto con nuestra transformación, sino que fue la base de la misma”.
En concreto, Oh quería que Doosan Group adoptara una postura de seguridad más proactiva y consciente de la situación mundial. Anteriormente, los esfuerzos de seguridad de la empresa se gestionaban desde una unidad de negocio o nivel regional, lo que hizo que la colaboración entre los equipos de seguridad fuera algo ineficiente.
"En Doosan Group, operamos en más de 40 países a nivel mundial", agrega Oh. "Con esa escala global, no hay tiempo para que su gente esté en sintonía. Ya necesitan estar allí a través de políticas, procesos y habilitadores tecnológicos proactivos".
Y continúa: "Quería asegurarme de que todos nuestros equipos de seguridad globales tuvieran la misma visión consolidada de todos los posibles puntos finales que gestionamos bajo nuestro paraguas. Eso significaba que necesitábamos construir nuestro perímetro y necesitábamos generar visibilidad global, procesable y en tiempo real”.
Piense globalmente, proteja a nivel local
Estandarizar y centralizar la política de seguridad en 40 países no es una tarea sencilla, como reconoce Oh. "Al principio, le dije a mi equipo que estaban a punto de experimentar la aventura de toda la vida", recuerda. "Rara vez tenemos oportunidades de transformación para influir en las formas de trabajar a escala mundial, pero sabía que, con el apoyo adecuado, podíamos hacer que esta aventura fuera mucho más previsible. Y encontramos ese apoyo con IBM".
Como primer paso, un equipo remoto de IBM Security X-Force evaluó e identificó áreas en las que la visibilidad podría mejorarse dentro de los procesos establecidos de DDI. Luego, el personal de seguridad del cliente se coordinó con un equipo de consultoría de IBM Security X-Force in situ para realizar un análisis de madurez más profundo de la red global del grupo. Y armado con esta información, el equipo conjunto reunió recomendaciones que ayudarían a fortalecer aún más los sistemas de seguridad y promover una gobernanza global que se alinee con las mejores prácticas aceptadas por la industria.
Como parte de este esfuerzo, el equipo de DDI e IBM identificó y trazó las funciones y responsabilidades apropiadas del personal de Doosan que trabaja dentro de la infraestructura de seguridad. De manera similar, el equipo conjunto participó en la planificación de la capacidad para esta nueva postura de seguridad mientras identificaba casos de uso adicionales y opciones de runbook de respuesta a incidentes que ayudarían a reforzar los esfuerzos de protección.
El equipo conjunto de DDI e IBM también determinó que Doosan Group estaría mejor servido consolidando sus centros regionales de operaciones de seguridad (SOC) en un SOC unificado y global. Con una estrategia de supervisión más estrechamente integrada y estandarizada, el grupo podría establecer métricas de rendimiento comunes y coordinar más fácilmente entre sitios y geografías.
Confiando en esta evaluación, DDI avanzó con las mejoras de seguridad recomendadas. El nuevo SOC global, supervisado por un equipo de IBM Security X-Force, ofrece supervisión y protección las 24 horas del día bajo un modelo "seguir el sol". A lo largo de cada período de 24 horas, la responsabilidad de seguridad de la infraestructura global de Doosan rota en tres sitios de IBM, alineando el soporte de detección y respuesta gestionada (MDR) con la región más activa en cualquier momento del día.
Además, la solución SOC global proporciona a DDI acceso continuo a expertos del sector de IBM y soporte de consultoría de seguridad, así como a la última inteligencia global sobre amenazas. Al aprovechar este acervo de conocimientos actualizado periódicamente, DDI y Doosan Group pueden mantenerse mejor protegidos contra los vectores de amenazas más recientes, incluidos los dirigidos específicamente al sector manufacturero.
Para controlar las operaciones del SOC global, DDI trabajó con IBM para actualizar su infraestructura de seguridad principal. El equipo impulsó los esfuerzos proactivos de gestión de incidentes de seguridad y eventos (SIEM) de la empresa, implementando Cybereason EDR para supervisar la detección y respuesta de endpoints (EDR). El software EDR puede identificar, reaccionar y remediar rápidamente posibles amenazas. IBM también integró la tecnología IBM Security QRadar SOAR, proporcionada por IBM Cloud Pak for Security, aprovechando la plataforma abierta con la solución Cybereason EDR para ofrecer automatización basada en IA que agiliza aún más las respuestas a amenazas.
"Incorporamos la capacidad SOAR para poder resolver las detecciones de amenazas falsas sin ocupar el valioso tiempo de nuestros empleados", explica Oh. "Se armoniza con nuestro SOC global, por lo que ahora podemos centrarnos en lo que es relevante. Y si el sistema realmente encuentra un problema legítimo, podemos actuar con agilidad y convicción".
Para impulsar el crecimiento continuo, la madurez y el panorama en constante cambio, Doosan aprovecha las contrataciones de asesoramiento de IBM X-Force para optimizar continuamente la estrategia de seguridad, el gobierno, las medidas y el modelo operativo. "Nuestra postura de seguridad ha cambiado", añade Oh. "Nuestra capacidad para observar y reaccionar ante una amenaza potencial ha cambiado. Nuestra cultura ha cambiado. Y nuestra preparación para la transformación digital ha cambiado con el equipo global de DDI e IBM".
Ver algo, hacer algo
Con el SOC global ahora en vivo, Oh y Doosan se sienten mucho mejor preparados para el futuro y el presente.
Imagine, por así decirlo, que uno de los empleados de Doosan en 40 países hace clic accidentalmente en un enlace malicioso. Al instante, el ransomware comienza a cifrar el disco duro del empleado. Afortunadamente, la nueva solución EDR de Doosan ofrece tres niveles de detección de incidentes, por lo que la plataforma ya detecta el cifrado sospechoso y actúa, poniendo en cuarentena el sector de disco duro correspondiente de forma instantánea.
Al mismo tiempo, los protocolos de seguridad automatizados notifican a un equipo de IBM Security Managed Detection and Response. Y después de verificar que se trataba, de hecho, de un ataque, el equipo de IBM se coordina con el personal in situ para reformatear el disco duro afectado y volver a ponerlo en línea rápidamente para ayudar a minimizar las interrupciones de la actividad.
La monitorización global y en tiempo real proporcionada por la tecnología y el equipo de IBM sitúa a DDI en una mejor posición para navegar por posibles incidentes de seguridad a medida que surgen. "Está haciendo lo que se supone que debe hacer", señala Oh. "Con el EDR/MDR integrado, gestionamos una gran cantidad de posibles amenazas cada mes. Y estamos haciendo frente a todos esos posibles ataques sin provocar ninguna interrupción en nuestro negocio".
Continúa: "Y SOAR también ha sido crítico. Con la coincidencia de patrones basada en IA gestionada automáticamente por adelantado, podemos detectar, descifrar y actuar sobre incidentes mucho más rápido, reduciendo los tiempos de respuesta en aproximadamente un 85 %."
Junto con la automatización, el SOC global proporciona visibilidad centralizada del estado y las operaciones de seguridad de la empresa. "Operamos en 40 países, por lo que es importante que tengamos una visión global", añade Oh. "Con IBM, ahora tenemos una vista precisa de 24 horas del mundo en tiempo real. Podemos ver cada endpoint, cada sistema. Y eso ha hecho que nuestra colaboración entre equipos sea mucho más eficiente”.
Estos esfuerzos estandarizados también permiten investigaciones de amenazas coherentes y orquestadas que ofrecen una mayor protección y supervisión, a la vez que simplifican los procesos de información, seguimiento y auditoría.
Más allá de las mejoras funcionales que ofrecen la arquitectura de seguridad actualizada y el SOC global, DDI tiene otras razones para trabajar con IBM. "Hicimos todo este proyecto rápidamente", explica Oh. "Dije: 'Quiero hacer esto en menos de un año'. Y gracias al compromiso inquebrantable de mi equipo global y a la experiencia de IBM, lo conseguimos".
Oh también reconoce el liderazgo de pensamiento proporcionado por el equipo de IBM, ya que dice: "Nuestra competencia empresarial principal en Doosan no es la ciberseguridad. Por lo tanto, tenía sentido trabajar con empresas globales para transformar la cultura y la postura de ciberseguridad de Doosan. Es por eso que contratamos a un líder global que pueda hacer el trabajo de seguridad, que pueda concentrarse en agudizar sus mentes y habilidades para enfrentar las amenazas cotidianas”.
Además, a medida que DDI completó este proyecto y preparó sus esfuerzos de transformación digital, la empresa reconoció un impacto cultural más amplio entre sus empleados. "Estamos prestando mucha más atención a la seguridad", señala Oh. "Hacemos mucha formación interna sobre campañas de phishing por correo electrónico, lo que significa que enviamos correos electrónicos simulados de phishing periódicamente para probar a nuestros empleados globales. Pues bien, durante el último año, a medida que íbamos implantando esta transformación, el porcentaje de clics en esas pruebas descendió notable y continuamente. Y la cantidad de usuarios que fueron lo suficientemente distraídos como para comprometer su contraseña se redujo drásticamente”.
"Trabajar con IBM ha hecho que nuestra aventura sea más predecible", añade Oh. "Se ajustan bien con nuestra estrategia 3A de reducir la ambigüedad, crear alianzas y adoptar la metodología ágil. Y creo que juntos hemos llegado a un punto en el que podemos pensar hacia dónde ir a continuación en lugar de qué mejorar."
Algunos de esos próximos pasos se centran en reforzar aún más la estructura de seguridad de la DDI. Por ejemplo, la empresa está explorando actualmente el uso ampliado de principios de seguridad de confianza cero. Y ahora que DDI ha asegurado el perímetro de su red global, la empresa está creando nuevas capas de autenticación a medida que los usuarios navegan dentro de la arquitectura.
"Así, cuando acceda a infraestructuras o servidores más críticos, tendrá que demostrar aún más su valía", explica Oh. "Creará un entorno de confianza cero mucho más seguro y controlado".
Y aunque DDI sigue reforzando su arquitectura de seguridad principal, la empresa ha tomado suficientes medidas para comenzar a avanzar con su transformación digital más amplia. Como explica Oh: "Ya no estoy pensando en lo que tenemos que hacer. Ahora veo lo que podríamos hacer. ¿Cómo hacemos que las cosas sean más eficientes en la planta de fabricación mediante la tecnología? ¿Cómo incorporamos estas nuevas capacidades de seguridad en los productos que fabricamos? ¿Cómo usamos esta transformación para crear nuevos negocios que nunca pensamos posible?"
DDI (enlace externo a ibm.com) es responsable de proporcionar ofertas de TI y DT a Doosan Group más amplio (enlace externo a ibm.com), un conglomerado de empresas de fabricación principalmente. Con una rica historia que se remonta a 1896, Doosan GROUP opera en 40 países de todo el mundo, y tanto él como DDI tienen actualmente su sede en Seúl, Corea del Sur.
Legal
© Copyright IBM Corporation 2022 IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Producido en los Estados Unidos de América, octubre de 2022.
IBM, el logotipo de IBM, ibm.com, IBM Cloud Pak, IBM Security, QRadar y X-Force son marcas comerciales de International Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. La lista actual de las marcas comerciales de IBM® está disponible en la web en "Información sobre derechos de autor y marcas comerciales
La información contenida en este documento es la vigente en la fecha de su publicación original y está sujeta a cambios por parte de IBM. No todas las ofertas mencionadas en este documento están disponibles en todos los países en los que IBM está presente.
Los datos de rendimiento y ejemplos de clientes mencionados se presentan únicamente con fines ilustrativos. Los datos reales de rendimiento pueden variar en función de las configuraciones y condiciones de funcionamiento específicas. LA INFORMACIÓN DE ESTE DOCUMENTO SE OFRECE "TAL CUAL ESTÁ" SIN NINGUNA GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN FIN CONCRETO Y CUALQUIER GARANTÍA O CONDICIÓN DE INEXISTENCIA DE INFRACCIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.
Declaración de buenas prácticas de seguridad: la seguridad de sistemas de TI implica proteger los sistemas y la información mediante la prevención, detección y respuesta al acceso inadecuado desde dentro y fuera de su empresa. Un acceso indebido puede dar lugar a la alteración, destrucción, apropiación o uso indebidos de la información o puede provocar daños o el uso indebido de sus sistemas, incluso para utilizarlos en ataques a terceros. Ningún sistema o producto informático debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad por sí solo puede ser completamente eficaz a la hora de evitar usos o accesos inadecuados. Los sistemas, productos y servicios de IBM están diseñados para formar parte de un enfoque de seguridad legítimo y global, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más eficaz. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES O VAYAN A HACER QUE SU EMPRESA SEA INMUNE A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS.