Please enable JS

¿De verdad sabemos cómo prepararnos para combatir las ciberamenazas y a los ciberdelincuentes?

Ciberamenazas y ciberdelincuentes

¿De verdad sabemos cómo prepararnos para combatir las ciberamenazas y a los ciberdelincuentes?

05/09/2017 / Manuel Barrios /Seguridad

“Si vis pacem, para bellum”  Recientemente terminaba una conferencia sobre ciberamenazas y ciberdelincuentes con esta frase. Su autor, Publio Flavio Vegecio, quizás no nos diga mucho, pero la frase todos la hemos oído alguna vez. Y os voy a explicar por qué lo hice.


[Por su interés reproducimos este artículo aparecido en CSO el 5 de julio de 2017 bajo el título "War games in real world... o cómo prepararse ante las ciberamenazas y los ciberdelincuentes"]

Para ello doy un salto en el tiempo y me acerco a una figura mucho más conocida, Albert Einstein y a una frase suya, que al contrario que la de Publio, mucho menos conocida que su autor. La frase: “Locura es hacer lo mismo una y otra vez y esperar resultados diferentes”. Y para terminar de contextualizar este post, con permiso de Einstein, ¿cómo sería esta frase si él hubiera sido CISO en una compañía en nuestros días? Yo creo que bastaría con sustituir “Locura” por “Seguridad” para reflejar fielmente el panorama de seguridad actual en muchas de las empresas a nivel mundial.

Otros genios de la literatura nos llevaron a los viajes en el tiempo. Si pudiésemos hacerlo, y en esto las hemerotecas ayudan mucho, podríamos leer noticias como “Malware infecta más de un millón de equipos por ausencia de parches en el sistema operativo y antivirus sin actualizar”.  Y es que ha llovido ya mucho desde el primer ransomware de 1989 llamado Cyborg también conocido como AIDS el cual infectaba discos de 5 ¼  pasando a malware más avanzados como el  CIH en el año 1998 , dos años después apareció I Love You, en 2004 Sasser con capacidades de autoreplicacion en la red y podríamos extender la lista hasta nuestros días con los ransomwares Wannacry y Petya o NotPetya. Conclusión: parece claro que una y otra vez tropezamos con la misma piedra. Sí, otra frase.

Y es que el mundo del malware parece que vuelve a sus orígenes destructivos, apoyado en que según algunas teorías, los últimos ciberincidentes que hemos tenido no son más que ensayos para una futura ciberguerra. Por lo tanto parece llegado el momento de replantearnos si los sistemas y procedimientos con los que protegemos a nuestras compañías son los más efectivos. ¿Son suficientes? ¿Deberíamos estudiar la posibilidad de empezar desde cero para adecuarnos a los nuevos vectores de ataque?

Se añade a esto que es habitual encontrarnos en los medios de comunicación informaciones relacionadas con estos incidentes de seguridad que afectan a los datos de las empresas, contraseñas, códigos fuentes, etc. ¡Las alarmas han saltado! ¿Por qué?

Nos encontramos ante un reto de enormes dimensiones: la transformación digital de nuestra sociedad, empresas, economía, etc. con nuevas tendencias tecnológicas en las que términos como planes de concienciación, antivirus, firewalls, bastionado de equipos, CMBD, backup, IRM o sistemas de parcheado pueden parecer tecnologías del pasado, e incluso, según algunos, tecnologías muertas o simplemente no necesarias.

Concienciación y formación


En este campo puedo atreverme a afirmar que más que un problema de efectividad de las tecnologías, podemos hablar de que la concienciación y formación en seguridad no son elementos que se tengan en cuenta.

Hablar de concienciación en seguridad, no es sólo un eslogan poniendo el foco y la responsabilidad en el usuario. ¿Dónde quedan los administradores de sistemas y personal de seguridad? Sabemos que el “eslabón más débil” es la primera víctima y la puerta de entrada a males mayores cuando sufrimos un ciberataque. Podemos encontrarnos un phissing, o que ejecutamos una macro con malware, o, cómo no, otra frase famosa de autor desconocido o múltiples autores “no tenía el equipo actualizado”. Pero la realidad nos enseña que, si un equipo no tiene los parches de seguridad es porque el área de Sistemas no tiene controlados esos equipos. O si se infecta por un malware, es porque no tiene las firmas actualizadas, o bien porque, por ahorro de costes, dispone de un antivirus en su versión más simple, el cual no es suficiente para las amenazas actuales de hoy en día. Es decir, falta de concienciación del Área de Sistemas y/o Seguridad en cuanto a cuáles son sus responsabilidades y deberes para proteger a los usuarios o no contar con la tecnología y procedimientos adecuados y en muchas ocasiones concienciación desde la alta dirección del coste que puede ocasionar un incidente de seguridad por no haber invertido en sistemas de seguridad apropiados, así como en un plan de concienciación global.

Es por ello que la concienciación debe ser el pilar fundamental y primer muro de defensa. Para ello es primordial involucrar a la Dirección para que conozca, de primera mano, cuáles son los riesgos a los que se expone una compañía.

Si no se realiza una inversión en seguridad (inversión que no gasto). Las consecuencias de ser víctimas de un ataque no son únicamente de posibles pérdidas o fugas de información. La reputación de la marca y las pérdidas económicas asociadas al impacto de un ciberataque pueden llevar al cierre de una compañía.

Tras un incidente de seguridad, el gasto de solucionar el problema siempre va ser mucho más caro que el haber cometido la inversión en  el personal, sistemas y acciones preventivas pertinentes.

Estrategia de Seguridad


A partir de este proceso de concienciación es vital contar con una estrategia de seguridad definida que permita afrontar la batalla a la que nos enfrentamos día a día.

La seguridad debe contemplarse desde un punto de vista estratégico y no táctico. Es decir, no adquirir una solución para cubrir una necesidad puntual (este año han sido miles las empresas que han comprado la solución que promete ser la “bala de plata” contra el ransomware) sino observarla desde un punto de vista holístico, de forma que en caso que haya que implementar una solución de seguridad esta no sea otra pieza, o peor aún, otra consola más a gestionar, por el equipo de seguridad.

Otro factor clave a la hora de diseñar la estrategia de seguridad, es la racionalización de sistemas. El conocido 'SIMO' de tecnologías es uno de los mayores males al que se enfrentan muchas compañías y el elemento clave para aquellas que apuestan por reducir fabricantes y proveedores centralizando soluciones, sean las que, ante situaciones adversas antes consigan superarlas. Una compañía donde, para gestionar su seguridad, tenga que recurrir a 10 consolas (o más) y no disponga de un parque uniforme de equipos, se convierte en fácil víctima de sufrir incidentes de seguridad.

La homogeneidad en los sistemas y plataformas en conjunto con el uso de soluciones de seguridad que hacen uso de protocolos de intercambio de información entre sistemas como DXL o Open DXL, permiten crear un ecosistema de seguridad donde “todo hable con todo”, facilitando la automatización de la respuesta a incidentes de seguridad.

Ante un incidente de seguridad, cuantas más plataformas diversas existan en la compañía, tanto en equipos de puesto de usuario como de sistemas tecnológicos para la gestión de la seguridad, más complicado será gestionar o contener un incidente de seguridad, lo que, a la par, ocasiona unos mayores gastos de mantenimiento y licencias de distintos fabricantes.

Experiencia


¿Por qué siguen sucediendo los mismos incidentes, año tras año? Es necesario tomar nota de las lecciones aprendidas. Los métodos y sistemas de seguridad tradicionales siguen siendo necesarios. La experiencia nos predispone y nos alerta sobre cuáles son las puertas de entrada, dónde estuvieron los errores iniciales, etc. Nos habilita para conocer de antemano por dónde podemos ser atacados. Si no sabemos cómo nos pueden atacar, no sabremos cómo defendernos.

¡Aún así no podemos dormir tranquilos! Estas recomendaciones no aseguran completamente que se esté libre de sufrir un incidente de seguridad, pero al menos, nos garantiza que estaremos menos expuestos que aquellos cegados con las nuevas tendencias que, en paralelo, siguen manteniendo equipos fuera de soporte, usuarios por defecto en sus plataformas y 50 consolas para atender ante el próximo ciberataque.

Si vis pacem, para bellum...

Comentarios/0