Phil Venables afirma que Google protege a los clientes al ser “institucionalmente paranoico” y cada vez más empresas se dan cuenta de que necesitan utilizar plataformas diseñadas teniendo en cuenta la seguridad.
Google es uno de los mayores proveedores de infraestructura tecnológica del mundo, incluidos servicios, aplicaciones y almacenamiento en la nube. En su informe de resultados más reciente, Google Cloud fue una de las principales áreas de crecimiento de la empresa, con un crecimiento de los ingresos del 35% interanual y un beneficio operativo de 1.900 millones de dólares. Una plataforma tan grande como esa necesita defensas de ciberseguridad de primera línea. Forbes dialogó con Phil Venables, director de seguridad de la información de Google Cloud (y galardonado en la lista CIO Next 2024 de Forbes) sobre cómo defiende a Google y a sus clientes de la nube contra estas amenazas.
Esta conversación ha sido editada para que sea más breve, clara y con mayor continuidad. Se publicó un fragmento en el boletín Forbes CIO .
¿Cómo están las cosas en el mundo de la ciberseguridad ahora?
Venables: Seguimos viendo que los clientes de todo tipo y tamaño están sujetos a cada vez más ataques, ya sea ransomware o delitos financieros, o en algunos casos espionaje y otros tipos de ataques. Cada vez más, muchas de esas organizaciones están migrando a [Google] Cloud para mejorar su seguridad. Muchas organizaciones ven un aumento en la seguridad y la resiliencia como resultado de la transición a un entorno de nube mejor defendido.
Tenemos un negocio de respuesta a incidentes bastante considerable como parte de la anterior adquisición de Mandiant. A su vez, [eso] está creando oportunidades para los clientes, pasando por esa respuesta a incidentes para que luego hagamos un seguimiento y encontremos formas de defenderlos mejor en la nube después. En general, vemos muchas organizaciones que actualizan su seguridad mediante la actualización y modernización de su infraestructura tecnológica a plataformas más defendibles, donde la seguridad está incorporada, en lugar de agregarse después del hecho. A veces lo hacen en centros de datos tradicionales locales. Sin embargo, muchas veces, esa modernización de la tecnología significa modernizarse hacia la nube.
¿Cuáles son algunos de los mayores desafíos que enfrenta al facilitar este tipo de plataforma más segura?
Contamos con una infraestructura uniforme a nivel mundial para todo Google, incluida la amplia infraestructura que respalda a Google Cloud. Hemos diseñado la seguridad en ese ámbito, ya sea a través de los cables submarinos que operamos o mediante el hardware exclusivo de Google con el que construimos nuestros centros de datos, que incluyen chips de seguridad específicos de Google que proporcionan una capa fundamental para toda la pila de seguridad.
Luego, gestionamos toda nuestra cadena de suministro de software. Toda nuestra implementación de software está bajo el control de Google, e invertimos mucho tiempo y esfuerzo en diseñar y probar la seguridad. Contamos con equipos internos de seguridad y equipos de prueba que validan constantemente esa seguridad y siempre buscan mejoras, incluido lo que aprendemos de nuestra perspectiva incomparable del mundo de las amenazas a través de nuestros equipos de inteligencia de amenazas de Google.
Mantenemos todo eso tan bien defendido como podemos. Pero, como saben, es una evolución constante ante nuevos ataques. Nuestro objetivo no es solo diseñar una plataforma que derrote a toda clase de ataques, sino también ser muy rápidos en la actualización de nuestro entorno en respuesta a nuevas amenazas para estar un paso por delante de los atacantes. Está bien si somos seguros, pero si los clientes que operan en nuestra plataforma en la nube no están configurados de la manera correcta, pueden exponerse a vulnerabilidades, por eso ahora pensamos en el mundo en términos de destino compartido. Han escuchado el modelo de responsabilidad compartida de la nube. Nunca pensamos que fuera lo suficientemente bueno, por lo que nos comunicamos internamente, y en parte con los clientes, sobre algo que llamamos destino compartido, que es: ¿Cómo cruzamos esa línea de responsabilidad compartida y nos asociamos con los clientes para ayudarlos a operar de forma segura en la nube?
No se trata solo de lo que se espera, como formación, orientación y productos. Es una amplia gama de cosas que pueden incluir valores predeterminados de seguridad y opciones cada vez mejores para enviar nuestros productos con todas las medidas de seguridad. Si los clientes necesitan reducir ese nivel por cualquier motivo, es su elección. Pero cada vez estamos ofreciendo más y más cosas con niveles más altos de valores predeterminados de seguridad para ayudar a los clientes a estar mejor protegidos en la nube, o al menos cuando se ejecutan en nuestra plataforma de nube.
¿Cuáles considera que son algunas de las mayores amenazas actuales en materia de ciberseguridad?
Si todos somos honestos, muchas de las amenazas son oportunistas. Cuando se analizan los ataques de ransomware (que cifran o degradan la infraestructura, o roban información y exigen el pago de un rescate), por lo general, lo único que hacen es buscar objetivos de oportunidad, una organización que presente una vulnerabilidad que luego puedan explotar. Una gran parte de lo que la mayoría de las organizaciones intentan hacer (y, repito, aquí es donde nos asociamos con ellas) es alcanzar un nivel cada vez más alto de seguridad básica, o la implementación de lo que la gente llama higiene cibernética. Solo ese nivel básico de control, para que los atacantes no tengan una oportunidad fácil de hacer cosas.
Luego, hay todo un mundo de ataques más avanzados, en el que hay actores amenazantes de estados nacionales importantes que atacan a organizaciones con fines de espionaje u otros tipos de influencia. También hemos visto a estados nacionales atacar infraestructuras críticas a través de sistemas vulnerables que aún no se han actualizado. Una gran parte de esto son objetivos de oportunidad, y luego un pequeño segmento de actores amenazantes sofisticados que atacan infraestructuras críticas y empresas de defensa y otras con ataques más avanzados para intentar obtener acceso o información.
Creo que el único desafío real es: ¿cómo seguimos brindando el soporte adecuado para esa cantidad cada vez mayor de clientes? Lo logramos asegurándonos de que estamos construyendo una plataforma segura y estamos creando herramientas que permiten que cada vez más clientes escalen su seguridad sin mucho soporte por nuestra parte. Creo que ese es uno de los factores diferenciadores.
La razón por la que se sigue viendo una mayor adopción de la nube es que, en general, es más fácil protegerse debido a la variedad de herramientas que ofrecemos y al grado de estandarización. Eso se refleja en el crecimiento. [Gran parte de] la TI del mundo todavía está encerrada en grandes centros de datos corporativos que ejecutan tecnología heredada. Eso es difícil de defender. La gran oportunidad que vemos en el futuro, no solo para nuestro negocio, sino para ayudar a mejorar la seguridad en el mundo, es llevar cada vez más de ese entorno de centro de datos local heredado a la nube. Creemos que podemos seguir escalando lo que hacemos y escalar el soporte de los clientes para hacerlo a través de nuestros socios, nuestro ecosistema y las herramientas que les brindamos.
¿Cómo afecta la IA a la ecuación de la ciberseguridad? ¿Es un obstáculo o una ayuda?
En general, creemos que es una oportunidad enorme. Ya hemos estado usando las formas más tradicionales de IA, en particular el aprendizaje automático, durante más de una década para proporcionar algunas defensas transformadoras en materia de ciberseguridad. Si eres usuario de Gmail, la razón por la que tu bandeja de entrada no está llena de spam y malware es porque tenemos una IA que lo defiende, y que defiende a varios miles de millones de personas. Si usas el navegador Chrome, no puedes acceder a muchos sitios web delictivos o comprometidos debido a algo que llamamos navegación segura, que es un sistema basado en IA que escanea Internet en busca de sitios web maliciosos.
Esta última ola de IA generativa representa una transformación significativa adicional. Tenemos muy claro que representa un riesgo potencial. Los atacantes están utilizando la IA para generar mejores correos electrónicos de phishing, desinformación, imágenes falsas, voz y video que se pueden usar para estafar o engañar a los procesos. Hay formas de contrarrestar eso y estamos trabajando con los usuarios y clientes, y en toda la industria para hacerlo.
Pero la verdadera oportunidad para la IA es ofrecer lo que llamamos la ventaja del defensor. ¿Cómo utilizan los defensores la IA para transformar su comprensión de las amenazas? Hemos creado un gran modelo de lenguaje de seguridad y hemos entrenado toda nuestra inteligencia de amenazas y las mejores prácticas de seguridad que ponemos a disposición de los clientes, para que puedan obtener el beneficio a través de una IA de nuestro conocimiento de seguridad recopilado por Google. A veces nos escuchas hablar de hacer que Google sea parte de tu equipo de seguridad. Eso es una gran parte de eso, así como también de poder analizar malware en tiempo real, promulgar defensas cada vez más rápido para los clientes, y la IA está impulsando todo eso.
La otra cosa en la que somos muy optimistas, y que ya estamos viendo, es que la IA está transformando la productividad de una fuerza laboral de ciberseguridad que está al límite de sus posibilidades. Hemos oído que no hay suficientes trabajadores de ciberseguridad más cualificados. La IA no solo transforma la productividad, sino que también puede mejorar las cualificaciones de los trabajadores de ciberseguridad. Las personas que empiezan a trabajar en puestos más cualificados pueden acceder a un asistente de IA que les ayude.
En definitiva, creemos que los defensores tienen muchas ventajas estructurales. Los defensores pueden sacar más provecho de la IA que los atacantes. Los atacantes lo harán, pero los defensores los superarán en velocidad.
¿Cuáles son algunos de los mayores riesgos de ciberseguridad de la IA?
En este momento, lo principal es crear voces falsas y vídeos falsos para intentar estafar a la gente. Cada vez hay más casos en los que grupos delictivos organizados pueden capturar la voz o los vídeos de personas y luego usar la inteligencia artificial para generar un avatar realista de esa persona que se puede introducir en algún proceso que probaría algunas transacciones comerciales y estafaría a la gente. Es arriesgado, pero la gente puede contrarrestarlo con otros tipos de controles de seguridad o detección de deepfakes.
Todavía no hemos visto a los actores de amenazas usar la IA para hacer cosas como generar malware o generar nuevas formas de ataques. Creo que es inevitable que eso suceda, por eso es importante que las organizaciones usen la IA para escalar sus defensas, de modo que los defensores puedan mantenerse por delante de los atacantes.
¿Ha habido algún avance que haya hecho que su trabajo sea más complejo, poniendo a prueba sus medidas de seguridad y obligándole a reevaluar su estrategia?
Como era de esperar, somos institucionalmente paranoicos, dada nuestra escala, lo que hacemos y la cantidad de empresas y personas a las que apoyamos en todo el mundo. Nos ponemos a prueba constantemente. Observamos la evolución de todos los ataques y descubrimos qué podemos hacer al respecto. Nos actualizamos constantemente para hacer frente a todas estas diferentes amenazas.
También priorizamos el trabajo que hacemos en toda la industria en general en torno al código abierto, los estándares abiertos y la promulgación de mejoras. Hemos defendido y promovido mejores valores predeterminados en Gmail, hemos lanzado claves de acceso para mejorar la autenticación más sólida. Hemos trabajado en la nube. Hemos fundado organizaciones como la Coalición para una IA segura para que toda la industria comparta las mejores prácticas en IA. Hemos cofundado la Open Source Security Foundation para mejorar la seguridad del software de código abierto para el mundo, no solo para Google.
La razón por la que lo hacemos es un poco altruista. Tenemos la misión de mejorar el mundo, pero también mejora la confianza en la infraestructura de la nube en general, lo que en última instancia nos beneficia al aumentar la confianza en la nube.
¿Dónde ve la ciberseguridad en los próximos 10 años?
Tengo que describirme como pesimista a corto plazo y optimista a largo plazo.
Soy pesimista a corto plazo en el sentido de que todavía hay muchas organizaciones que no han actualizado su tecnología. Siguen utilizando tecnología local heredada. Siguen utilizando la monocultura de un pequeño número de proveedores que siguen teniendo problemas de seguridad. Por eso creo que vamos a ver aún más ataques en el próximo año o dos.
Soy optimista a largo plazo porque, a medida que trabajamos con organizaciones de todo el mundo (consejos, directores ejecutivos, no solo directores de sistemas de información y directores de seguridad de la información), todos reconocen que la clave de la seguridad es la inversión en la modernización de su tecnología para que la seguridad esté incorporada, no sea algo añadido. Saben que tienen que impulsar, y eso hará que las cosas sean cada vez más difíciles para los atacantes. Los atacantes seguirán evolucionando, pero en general creo que vamos a hacer que las cosas sean cada vez más difíciles para los atacantes porque ahora todo el mundo tiene la misión de actualizar la tecnología.
En general, pareces optimista. En materia de ciberseguridad, se suele hablar mucho de que cada vez más atacantes lanzan más ataques, y la cuestión es cuándo te atrapan.
Creo que ninguna organización será jamás 100% invulnerable a cualquier posible ataque. No existe ningún aspecto de la vida en el que seas 100% invulnerable. Si analizamos el panorama año tras año, hay un aumento continuo de los incidentes cibernéticos. Pero si analizamos el otro lado, los ataques cibernéticos contra organizaciones y tecnologías que han mejorado e implementado significativamente las defensas, la respuesta es que están cada vez mejor protegidas.
Muchas organizaciones siguen viéndose comprometidas porque utilizan identificadores de usuario y contraseñas, y los empleados son víctimas de phishing por correo electrónico, y los atacantes roban contraseñas e inician sesión y obtienen un amplio acceso a todo. En el otro extremo, hay muchas organizaciones que han dejado de usar contraseñas y tienen una autenticación sólida, ya sea mediante tokens de hardware que se conectan al costado del dispositivo o una aplicación de clave de acceso en el teléfono que se autentica biométricamente. Los atacantes tienen muchas dificultades para superar esas cosas, por lo que se centran en realizar ataques contra organizaciones que aún tienen identificadores de usuario y contraseñas.
En definitiva, creo que, como sector, tenemos que analizar un poco el problema. En lugar de decir simplemente que los ataques están aumentando, tenemos que preguntarnos: ¿están aumentando los ataques contra las organizaciones que han invertido en la creación de la seguridad adecuada? Y la respuesta a esa pregunta es: no creo que sea así en muchos casos. Y la pregunta entonces es: ¿qué se necesita para que más organizaciones actualicen su seguridad?
¿Qué consejo le darías a los CIO y CISO de hoy?
Lo principal es trabajar en equipo. Los CIO y los CISO deberían trabajar en equipo con su CEO y su junta directiva para no solo invertir en ciberseguridad, sino también en modernizar su infraestructura para mejorarla de manera que la seguridad esté incorporada en ella. He visto esto en varias organizaciones a lo largo de muchos años, donde tienen una infraestructura heredada y consideran que la ciberseguridad es importante. Dan mucho dinero al equipo de ciberseguridad, que luego lo gasta en herramientas de ciberseguridad, que luego las implementan en esa vieja infraestructura heredada. Es como construir sobre una base de arena.
Las organizaciones que hacen esto realmente bien invierten de manera generalizada en toda su infraestructura para actualizarla a esa plataforma más moderna y defendible. Y le dan algo de dinero al equipo de seguridad, pero no solo le dan algo de dinero al equipo de seguridad. Se implementa de manera más uniforme para mantener todo moderno y actualizado.
Fuente: Forbes Chile
