| 5 min de lectura
Contenido
Hablamos mucho de los beneficios de la conectividad extrema y de la disponibilidad de la información, pero muy poco de cómo están protegidos los datos de nuestra empresa, de nuestros clientes e incluso los personales. Aquí queremos guiarte sobre algunas políticas de gestión que te sugerimos aprovechar para determinar con gran exactitud qué tan segura es tu información y tus sistemas y qué tan efectivas son tus medidas de defensa. También queremos informarte de las consecuencias de no aplicar estas políticas.
Gracias a nuestra experiencia, sabemos que los directivos de las empresas suelen asumir que comprar más tecnología resolvería todos sus problemas de seguridad. En realidad, esa "solución" podría empeorar la situación, porque una tecnología implementada, construida o configurada de forma incorrecta es el origen de todas las vulnerabilidades de seguridad.
Por otra parte, para las empresas modernas, proteger su información haciéndola inaccesible o manteniéndola en papel ya no es viable. En un mundo donde la transformación digital es la norma, es imprescindible facilitar más información al cliente. Los beneficios de esta transformación van desde la mejora de los tiempos y costos de las transacciones hasta el aumento de la satisfacción del cliente y la reducción o eliminación de las ventanas de mantenimiento. Operaciones que antes solo eran posibles de forma presencial en horario de oficina, ahora son posibles en cualquier lugar, 24 horas al día, siete días a la semana, durante todo el año.
Sin embargo, la transformación digital puede hacernos reflexionar sobre algunos riesgos y plantearnos preguntas como las siguientes: ¿Puede el consumidor modificar el precio del producto antes de pagarlo? ¿Puede un empleado conocer los cambios salariales de sus compañeros? ¿Pueden los miembros del sindicato leer las actas del consejo de administración? ¿Puede un invitado obtener las contraseñas de los administradores de red? ¿Puede alguien conectarse a la red de la empresa, encender un micrófono en el ordenador del administrador y escuchar las conversaciones? ¿Puede un cliente modificar la página web de nuestra empresa? ¿Podemos consultar el historial médico de otra persona en internet?
Protege tu organización
La pregunta "¿cuán seguros son los sistemas y la información de mi organización?" se responde realizando ciberataques éticos reales. Hay varios nombres para esto: hacking ético, pruebas de penetración, red teaming, entre otros. De este enfoque se derivan cinco políticas de gestión:
-
Ataques continuos: Los ataques a los sistemas de tu organización deben realizarse para encontrar vulnerabilidades que permitan a atacantes malintencionados tomar el control de tus operaciones y activos de información. La palabra "continuos" significa que estos ataques deben seguir una frecuencia específica y estable (trimestral, semestral, etc.). Cuando esta política no está estipulada, las organizaciones tienden a detener nuevos ataques con la excusa de no poder solucionar las vulnerabilidades encontradas en el ciclo anterior. Una vez que tu organización aplique sabiamente esta política, podrás dar un paso más hacia la siguiente.
-
Ataques de conocimiento cero: No tiene sentido que los atacantes (red team) realicen pruebas de seguridad cuando los defensores (blue team) conocen las horas y los lugares de sus intrusiones. Es absurdo que en estos ataques los miembros del red team informen de los avances o soliciten permisos a los miembros del blue team, al personal de la organización vinculado a los proveedores de software/hardware de defensa o a los jefes implicados. Para conocer con certeza el nivel de seguridad de tu empresa, estos ejercicios deben acercarse lo más posible a la realidad. En la vida real, los atacantes malintencionados no notificarán cuándo, cómo y dónde podrían atacar, qué técnicas podrían utilizar, cuál es su nivel de penetración, qué equipos poseen y qué información han divulgado. Por ello, tu organización debe tener privilegios restringidos para adquirir información sobre las pruebas de seguridad. Solo debe saberlo cierto personal. Esto se conoce como política de conocimiento cero.
Ejercicios de seguridad: red team vs. blue team (imagen tomada de aquí).
Esta política implica que los responsables de la seguridad de tu organización no deben ser quienes organicen y coordinen las pruebas de hacking ético. Al conocer los ataques de antemano, podrían mostrar tendencias a prepararse para ellos de forma poco realista, tratar de limitar su alcance a las zonas fuertes y evitar revelar vulnerabilidades críticas a sus responsables para no poner en peligro sus cargos actuales. Y aunque ahora está de moda tener equipos mixtos, una combinación de atacantes y defensores, hay que mantener un objetivo claramente definido: conocer con precisión el nivel de seguridad. Estos equipos mixtos pueden contaminar los resultados de las pruebas debido a un conflicto de intereses en el diseño organizativo de la empresa. Proceder sobre la base de esta política te proporciona una ventaja excepcional: conocer las capacidades reales de detección y reacción de tu organización en caso de ataque. Si el blue team no sabe si el atacante es un hacker de sombrero blanco (es decir, un hacker del red team) o un hacker de sombrero negro (es decir, un hacker malicioso), siempre estará en estado de alerta y responderá según los procedimientos definidos: bloqueo, notificación, gestión de incidentes, etc.
-
Respuesta implacable: Reaccionar de forma implacable ante cada detección, independientemente de las intenciones de los hackers. Esta política te permite mantener bien aceitado el motor de respuesta a incidentes, evaluar la calidad del red team contratado y la eficiencia de tus inversiones en defensa, y también te ayuda a lograr reducciones de gastos o aplicar sanciones que hagan que los ejercicios de ataque se compensen tras cierto tiempo de frecuencia.
Protección continua de la información empresarial (imagen tomada de aquí).
-
Intrusión total: Esta política es la consecuencia directa de las dos anteriores. El red team debe disponer de una autorización completa en papel y correo electrónico y de todas las formas de protección legal de la más alta autoridad de la empresa (es decir, el CEO o el director) para aplicar cualquier táctica ofensiva con el fin de obtener información, modificar datos, acceder a los puestos de trabajo o desconectar servicios. Todo debe estar permitido para garantizar la máxima rigurosidad y comprometer la seguridad al más alto nivel. Si no se pone en práctica esta política, los hackers éticos o de sombrero blanco que hayas contratado tendrán las manos atadas y estarán limitados en su identificación de vulnerabilidades. Tendrán restringidas las posibilidades de explorar los caminos por los que podrían moverse los atacantes malintencionados y de detectar los problemas de seguridad que deberías remediar. Al final, si no encuentran nada significativo en las pruebas de penetración, seguramente se deberá a las limitaciones que impusiste al red team. En consecuencia, tu incertidumbre sobre la seguridad de tu organización podría aumentar o, para empeorar las cosas, podrías pensar, equivocadamente, que todo está protegido.
-
Coherencia: Si preguntas a los directivos "Entre disponibilidad y confidencialidad, ¿qué es lo más importante?" la mayoría de las veces, la respuesta será "ambas". Pero si les preguntas ¿Apagaría sus servidores ante la presencia de un atacante?". Responder "sí" situaría la confidencialidad por encima de la disponibilidad. Sin embargo, la respuesta típica es que mantendrían sus servidores en funcionamiento e intentarían lidiar con el atacante. Es habitual que en la lista de prioridades las organizaciones sitúen la disponibilidad por encima de la confidencialidad y la integridad. Aunque para ellas la disponibilidad es el elemento más importante de la tríada, resulta paradójico que muchas no autoricen a los red teams a evaluar sus capacidades defensivas contra ataques DoS (denegación de servicio). En este caso, la invitación es la siguiente: convierte tus restricciones en motivaciones para recibir ataques de un red team. De este modo, puedes comprobar con la ayuda de un aliado lo vulnerable que es tu empresa a los atacantes maliciosos.
Conclusión
Aplicando estas simples políticas, ataques continuos, ataques de conocimiento cero, respuesta implacable, intrusión total y coherencia, puedes averiguar cuán seguros son realmente tus sistemas, mejorar su seguridad a un ritmo vertiginoso y ahorrar dinero. No tienes que comprar tecnologías que generan informes de vulnerabilidades enormes e incomprensibles, muchos de ellos con falsos positivos y falta de contexto sobre el impacto real de las vulnerabilidades en tu organización.
¿Te gustaría evaluar la seguridad de tus sistemas con la ayuda del red team más grande de las Américas? ¡No dudes en contactarnos!
Contenido
Comparte
Blog posts recomendados
Quizá te interesen los siguientes posts similares.
Introducción a la ciberseguridad del sector de la aviación
¿Por qué calcular riesgos de ciberseguridad con nuestra métrica CVSSF?
Nuestra nueva arquitectura de pruebas para el desarrollo de software
Protegiendo tus TPV de las ciberamenazas
Los siete ciberataques más exitosos contra esta industria
Retos, amenazas y buenas prácticas para los comerciantes
Sé más seguro aumentando la confianza en tu software