¡Hola! Estamos probando una nueva herramienta de generación de informes. ¿Podrías hacer clic en el siguiente enlace y ejecutar un par de informes de muestra? En principio, se ejecuta con nuestro SSO, así que si te pide una contraseña, utiliza la tuya de la red. Ya me dirás qué opinas de la herramienta.

¿Correo electrónico legítimo o intento de phishing dirigido? Esa es la pregunta que innumerables empresas y empleados se formulan a diario, y a medida que estos ataques se perfeccionan, diferenciarlos se vuelve aún más complicado.

Aproximadamente el 40 % de los ciberataques empieza a través de phishing

De hecho, IBM observó en 2021 que los intentos de phishing se habían convertido en el vector de amenaza más común, que actuó como punto de partida en aproximadamente el 40 % de los ataques. Además, si los delincuentes y los estafadores sumaban las llamadas telefónicas (vishing, o phishing de voz) al intento de ataque, su probabilidad de éxito se triplicaba. Del mismo modo, los ataques de ransomware se han convertido en una de las principales ciberamenazas, y representan el 21 % de los ataques.

Los sectores más tradicionales están percibiendo un aumento de las ciberamenazas, sobre todo a medida que estas empresas empiezan a explorar cómo la transformación digital puede ofrecerles una clara ventaja competitiva. Según IBM Research, la fabricación reemplazó a los servicios financieros como el sector más atacado en 2021, lo que representa el 23,2 % de los ataques que se corrigieron ese año.

Fabricación: el sector más atacado en 2021

Con la expansión de la IA y el cloud híbrido en las plantas de producción y la toma de decisiones basada en el análisis dictando cambios en tiempo real a los flujos de trabajo, los hackers y otros actores ilícitos están encontrando nuevos entornos a los que dirigir sus ataques.

«Basta con que un intento de hackeo tenga éxito para comprometer a toda su compañía», señala Robert Oh, vicepresidente ejecutivo y director de estrategia digital corporativa de Doosan Group, y director de operaciones (COO) de Doosan Digital Innovation (DDI), una entidad que proporciona soluciones de TI y DT principalmente a Doosan Group. «Incluso con una acción no maliciosa de un empleado, como hacer clic en un enlace que no debería abrir. Una vez que se haya abierto el acceso ilegítimo y hayan logrado entrar, muchas compañías pueden tardar incluso más de un mes en detectar la intrusión. Es un margen de tiempo muy amplio para causar daños».

Visualizó y desplegó una infraestructura de seguridad global integrada en

< 1 año

desde el lanzamiento del proyecto

Utiliza SOAR para acelerar las reacciones a las amenazas, y reduce un

≈85 %

los tiempos de respuesta

Cambio de cultura

A principios de 2021, junto con su cargo como vicepresidente ejecutivo y director de estrategia digital corporativa para Doosan Group, Oh también fue nombrado COO de DDI. Y con este nombramiento, empezó a analizar el volátil entorno de la seguridad y cómo abordarlo, con la firme convicción de que la base de cualquier iniciativa de transformación digital debería ser un programa de ciberseguridad efectivo y completo. Afortunadamente, en sus nuevas funciones, asumió la responsabilidad de guiar la transformación digital no solo para DDI, sino para todo Doosan Group.

«Una de las primeras cosas que mencioné a nuestro equipo directivo fue la importancia de proteger nuestra inversión en la transformación digital —recuerda Oh— y, como es de imaginar, costó un poco convencerles de que debíamos reforzar nuestra postura. A menudo la seguridad se da por sentada: no ha pasado nada malo, así que no pasará nada malo. Sin embargo, me centré en demostrarles que la seguridad era un elemento fundamental para nuestro éxito futuro. Que no era algo que acompañara a nuestra transformación, sino la base de la misma».

En concreto, Oh quería cambiar la postura de seguridad de Doosan Group a un enfoque más proactivo y global. Antes, las iniciativas de seguridad de la compañía se gestionaban desde una unidad de negocio o a nivel regional, lo que hacía que la colaboración entre los equipos de seguridad fuera poco eficiente.

«En todo Doosan Group, trabajamos en más de 40 países», añade Oh. «Con esta escala global, no hay tiempo de poner a todo el mundo en la misma línea, sino que deben llegar a ella a través de políticas, procesos y habilitadores de tecnología proactivos».

«Quería asegurarme de que todos nuestros equipos de seguridad globales tuvieran la misma visión unificada de todo el abanico de posibles puntos finales que gestionamos», continúa. «Para ello, necesitábamos marcar nuestro perímetro e incorporar visibilidad práctica, global y en tiempo real».

Asia de noche desde el espacio con luces de ciudades que muestran la actividad humana en China, Japón, Corea del Sur, Taiwán y otros países, representación 3D del planeta Tierra, elementos de la NASA

Piense globalmente, proteja localmente

Estandarizar y centralizar la política de seguridad en 40 países no es una tarea sencilla, como Oh reconoce. «Al principio, le dije a mi equipo que estaban a punto de embarcarse en la aventura de su vida», recuerda. «Pocas veces tenemos oportunidades de transformación que impacten en las formas de trabajo de manera tan global, pero sabía que con el apoyo adecuado, podríamos hacer esta aventura mucho más previsible. Y encontramos ese apoyo con IBM».

Como primer paso, un equipo remoto de IBM Security® X-Force evaluó e identificó áreas donde la visibilidad podría mejorarse dentro de los procesos establecidos por DDI. A continuación, el personal de seguridad del cliente se coordinó con un equipo de consultoría de IBM Security X-Force in situ para realizar un análisis de madurez más pormenorizado de la red global del grupo. Con toda esta información, el equipo conjunto reunió recomendaciones que ayudarían a reforzar los sistemas de seguridad y a promover el gobierno global en consonancia con las mejores prácticas aceptadas del sector.

Como parte de esta iniciativa, el equipo de DDI e IBM identificó y asignó las funciones y responsabilidades apropiadas al personal de Doosan que trabaja en la infraestructura de seguridad. Del mismo modo, el equipo conjunto se dedicó a realizar la planificación de la capacidad para esta nueva postura de seguridad, así como a identificar opciones adicionales para el runbook de respuesta a incidentes y casos de uso que ayudarían a impulsar iniciativas de protección.

El equipo conjunto de DDI e IBM también determinó que Doosan Group funcionaría mejor si unificara sus centros de operaciones de seguridad (SOC, por sus siglas en inglés) regionales en un SOC global unificado. Con una estrategia de supervisión más integrada y estandarizada, el grupo podría establecer métricas de rendimiento comunes y simplificar la coordinación entre sitios y zonas geográficas.

Con plena confianza en esta evaluación, DDI puso en práctica las mejoras de seguridad recomendadas. El nuevo SOC global, supervisado por un equipo de IBM Security X-Force, ofrece supervisión y protección continuas bajo un modelo que «sigue el curso del sol». A lo largo de cada periodo de 24 horas, la responsabilidad de seguridad de la infraestructura global de Doosan rota por tres sitios de IBM, y alinea el soporte de detección y respuesta gestionado (MDR, por sus siglas en inglés) con la región más activa en cualquier momento del día.

Además, la solución de SOC global proporciona a DDI acceso continuo a expertos del sector de IBM y consultoría de seguridad, así como a la última inteligencia global sobre amenazas. Gracias a esta agrupación de conocimientos que se actualiza periódicamente, DDI y Doosan Group pueden protegerse mejor frente a los vectores de amenazas más recientes, incluidos los dirigidos específicamente al sector de la fabricación.

Para controlar las operaciones del SOC global, DDI trabajó con IBM para actualizar su infraestructura de seguridad básica. El equipo impulsó las iniciativas de gestión de sucesos e incidentes de seguridad (SIEM, por sus siglas en inglés) proactiva de la empresa, y desplegó Cybereason EDR para supervisar la detección y respuesta de los puntos finales (EDR, por sus siglas en inglés). El software EDR puede identificar y corregir rápidamente amenazas potenciales, y reaccionar ante ellas. Además, IBM también ha integrado la tecnología IBM® Security QRadar SOAR, suministrada desde IBM® Cloud Pak for Security, aprovechando la plataforma abierta con la solución Cybereason EDR para ofrecer automatización basada en IA que agiliza aún más las respuestas a las amenazas.

«Integramos la capacidad de SOAR para poder resolver falsas detecciones de amenazas sin ocupar el preciado tiempo de nuestros empleados», explica Oh. «Se armoniza con nuestro SOC global, por lo que ahora podemos centrarnos en tareas más relevantes. Y si el sistema realmente encuentra un problema, podemos actuar con agilidad y convicción».

Para dirigir el crecimiento continuo, la madurez y el panorama cambiante, Doosan aprovecha el asesoramiento de IBM X-Force para optimizar continuamente la estrategia de seguridad, el gobierno, las métricas y el modelo operativo. «Nuestra postura de seguridad ha cambiado», añade Oh. «Nuestra capacidad de detectar y reaccionar ante una amenaza potencial ha cambiado. Nuestra cultura ha cambiado. Y nuestra disposición para la transformación digital ha cambiado con el equipo global de DDI e IBM».

Sala de control de X-Force Threat Intelligence

Si detecta algo, actúe

Con el SOC global ya en funcionamiento, Oh y Doosan se sienten mucho mejor preparados para el futuro y el presente.

Imagine que uno de los empleados de Doosan de cualquiera de los 40 países hace clic accidentalmente en un enlace malicioso. Al instante, el ransomware comienza a cifrar el disco duro del empleado. Afortunadamente, la nueva solución EDR de Doosan ofrece tres capas de detección de incidentes, por lo que la plataforma ya nota el cifrado sospechoso y actúa, poniendo en cuarentena al sector de la unidad de disco duro de forma inmediata.

Al mismo tiempo, los protocolos de seguridad automatizados envían una notificación a un equipo de IBM Security Managed Detection and Response. Y después de verificar que realmente sea un ataque, el equipo de IBM se coordina con el personal del sitio para que el disco duro afectado se reformatee y vuelva a conectarse rápidamente para minimizar las interrupciones del negocio.

Una intervención más rápida produce menos complicaciones

La monitorización global y en tiempo real proporcionada por la tecnología y el equipo de IBM posiciona mejor a DDI para examinar los posibles incidentes de seguridad a medida que surgen. «Está haciendo lo que se supone que debería hacer», señala Oh. «Con el EDR/MDR integrado, estamos gestionando una gran cantidad de amenazas potenciales al mes. Y estamos lidiando con todos estos ataques potenciales sin causar ninguna interrupción en nuestro negocio».

«Y SOAR también ha sido fundamental», continúa. «La coincidencia de patrones basada en IA se aplica automáticamente al inicio, lo cual nos permite detectar, descifrar y actuar sobre incidentes mucho más rápido, recortando los tiempos de respuesta en aproximadamente un 85 %».

Junto a la automatización, el SOC global proporciona una visibilidad centralizada sobre el estado y las operaciones de seguridad de la empresa. «Operamos en 40 países, por lo que es importante que tengamos una visión global», añade Oh. «Con IBM, ahora disponemos de una visión de 24 horas del mundo en tiempo real. Podemos ver cada punto final, cada sistema. Y eso ha hecho que nuestra colaboración entre equipos sea mucho más eficiente».

Paneles con luces rojas en una sala de servidores oscura

Estas iniciativas estandarizadas también permiten investigaciones de amenazas coordinadas y coherentes, que ofrecen una mayor protección y supervisión, además de simplificar los procesos de informes, seguimiento y auditoría.

Más allá de las mejoras funcionales que ofrece la arquitectura de seguridad actualizada y el SOC global, DDI tiene otras razones para trabajar con IBM. «Desarrollamos todo este proyecto rápidamente», explica Oh. «Dije que quería completarlo en menos de un año y, gracias al compromiso inquebrantable de mi equipo global y la experiencia de IBM, lo logramos».

Oh también reconoce el liderazgo del pensamiento que asume el equipo de IBM, ya que afirma: «Nuestra competencia de negocio principal en Doosan no es la ciberseguridad. Por ello, lo lógico era trabajar con empresas globales para transformar la cultura de ciberseguridad y la postura de la compañía. Es por eso que contratamos a un líder global para el trabajo de seguridad, que puede centrar su atención y desplegar sus habilidades para lidiar con las amenazas que surgen a diario».

Además, cuando DDI completó este proyecto y preparó sus iniciativas de transformación digital, el negocio reconoció un impacto cultural más amplio entre sus empleados. «Estamos prestando mucha más atención a la seguridad», señala Oh. «Impartimos mucha formación interna sobre campañas de correos electrónicos de phishing, incluso enviamos periódicamente correos electrónicos de phishing simulados para poner a prueba a nuestros empleados. Durante el año pasado, en el transcurso de esta transformación, la tasa de clics en estas pruebas cayó de forma notable y continua, y el número de usuarios lo suficientemente distraídos como para comprometer su contraseña se redujo drásticamente».

La aventura continúa

«Trabajar con IBM ha permitido que nuestra transición —nuestra aventura— sea más previsible», añade Oh. «Encajan con nuestra estrategia 3A de reducir la ambigüedad, construir alianzas y adoptar la metodología Agile. Y creo que juntos hemos llegado a un punto en el que podemos pensar adónde ir a continuación, en lugar de lo que hay que mejorar».

Algunos de esos próximos pasos están enfocados a reforzar aún más la seguridad de DDI. Por ejemplo, la empresa está explorando actualmente el uso generalizado de los principios de seguridad de confianza cero. Y ahora que DDI ha asegurado el perímetro de su red global, la compañía está creando nuevas capas de autenticación para los usuarios que navegan dentro de la arquitectura.

«De esta manera, cuando un usuario acceda a una infraestructura o servidores más críticos, tendrá que demostrar más», explica Oh. «Esto generará un ambiente de confianza cero mucho más seguro y controlado».

Y aunque DDI sigue reforzando su arquitectura de seguridad central, el negocio ha dado pasos suficientes para empezar a avanzar con su transformación digital más amplia. Como Oh explica: «Ya no pienso en lo que deberíamos hacer, sino en lo que podríamos hacer. ¿Cómo logramos que la actividad de la planta de producción sea más eficiente mediante el uso de la tecnología? ¿Cómo incorporamos estas nuevas prestaciones de seguridad en los productos que fabricamos? ¿Cómo utilizamos esta transformación para crear nuevos negocios que nunca creímos posibles?»

Logotipo de Doosan

Acerca de Doosan Digital Innovation (DDI)

DDI (enlace externo) es responsable de proporcionar ofertas de TI y DT a Doosan Group (enlace externo), un conglomerado de empresas dedicadas principalmente a la fabricación. Con una dilatada historia que se remonta a 1896, Doosan Group opera en 40 países de todo el mundo, y tanto el grupo como DDI tienen su sede en Seúl, Corea del Sur.

Componentes de la solución
IBM® Cloud Pak for Security
IBM® Security QRadar SOAR
IBM Security Managed Detection and Response
IBM® Security X-Force

© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

Producido en los Estados Unidos de América, octubre de 2022.

IBM, el logotipo de IBM, ibm.com, IBM Cloud Pak, IBM Security, QRadar y X-Force son marcas registradas de International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. La lista actual de marcas registradas de IBM está disponible en Internet en el apartado «Copyright and trademark information» de la página ibm.com/legal/copytrade.shtml.

Este documento está vigente en la fecha inicial de publicación y puede ser modificado por IBM en cualquier momento. No todas las ofertas están disponibles en todos los países en los que IBM opera.

Los datos de rendimiento y ejemplos de clientes citados en el presente documento son únicamente a título ilustrativo. Los resultados reales de rendimiento pueden variar en función de configuraciones específicas y condiciones de funcionamiento. LA INFORMACIÓN DE ESTE DOCUMENTO SE PROPORCIONA «TAL CUAL» SIN GARANTÍA DE NINGÚN TIPO, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, A TÍTULO ENUNCIATIVO Y NO LIMITATIVO, LAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN PROPÓSITO DETERMINADO Y LAS GARANTÍAS O CONDICIONES DE NO INFRACCIÓN. Los productos de IBM están garantizados de acuerdo con los términos y condiciones de los acuerdos bajo los que se proporcionan.

Declaración de buenas prácticas de seguridad: la seguridad de los sistemas de TI implica la protección de sistemas e información mediante la prevención, la detección y la respuesta a accesos inadecuados ya sea desde dentro como fuera de la empresa. Un acceso inadecuado puede provocar la alteración, destrucción o uso indebido de la información o puede causar daños o uso fraudulento de los sistemas, incluido el uso en ataques sobre terceros. Ningún sistema o producto de TI debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad puede ser totalmente eficaz en impedir el acceso o uso indebido. Los sistemas, productos y servicios de IBM se han diseñado para ser parte de un enfoque de seguridad completo y legal, que necesariamente implicará procedimientos operativos adicionales y puede requerir que otros sistemas, productos o servicios sean lo más eficaces posible. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES, O HARÁN QUE LA EMPRESA SEA INMUNE, A LA CONDUCTA MALICIOSA O ILEGAL DE OTRAS PARTES.