Año tras año vemos publicadas noticias acerca de cómo mejorar la ciberseguridad, donde gigantes de la industria caen como fichas de dominó ante hordas de ciberdelincuentes, hackers de sombrero negro, hacktivistas y distintos asaltos cibernéticos de todo tipo de sabores. Como los helados, ya sean de vainilla o chocolate, no son gratis e igualmente cuestan dinero a todas las empresas, pequeñas o grandes.
Muchos se preguntarán que cómo es posible que empresas de tal envergadura carezcan de sistemas eficaces de seguridad. El hecho es que los tienen, y bastante buenos…pero la realidad es que todo esto es como intentar que un solo muro detenga absolutamente todos y cada uno de los intentos de ser traspasado, es una perspectiva impracticable. Lo único que podemos hacer, es intentar que ese muro sea lo más alto posible para detener al mayor número de personas con aviesas intenciones que pulule en sus inmediaciones.
La ecuación más simplificada del riesgo lo cuantifica en probabilidad X impacto.
Siempre es bueno estar preparado para lo peor, y para ello existen los planes de continuidad de negocio, disaster recovery y todas esas metodologías maravillosas que ayudan a que nosotros y nuestros empleados no acabemos calentándonos las manos en un bidón ardiendo bajo un puente. Esto es lo que comúnmente se conoce como mitigación del impacto. Innumerables empresas hacen uso de ello y destinan ingentes recursos económicos a su aplicación.
Sin embargo, muchísimas menos destinan la misma cantidad de recursos a la mitigación de la probabilidad. Si cubrimos bien esta última, unido a mantener un buen disaster recovery, podemos tener cubierto un porcentaje muy grande del riesgo asociado a nuestra infraestructura.
¿Qué tipo de procesos podemos abordar para mitigar la probabilidad?
Hay varios, pero hoy concretamente hablaremos del uso de la auditoría y el pentesting para mejorar la seguridad.
Puede tener un nombre muy abstracto, pero realmente es algo sencillo: comportarnos como atacantes para verificar que nuestros sistemas de seguridad (el muro) están cumpliendo de la forma que esperábamos. Los planes que sobre el papel parecían magníficos (como usar fibra de carbono y titanio en un sumergible experimental mientras rechazamos todo tipo de pruebas de seguridad de la industria) pueden acabar convirtiéndose en terribles realidades.
Un pentesting o test de intrusión si castellanizamos la expresión, es una batería de técnicas y metodologías más propias de los hackers (lleven el sombrero que lleven) que de cualquier otra profesión. Los especialistas que las realizan deben conocerlas de igual manera que un cerrajero sabe abrir las cerraduras que los revientacajas operan con el objetivo de desvalijar nuestras propiedades.
Sin embargo, y ahí radica la diferencia, es que dicho especialista actúa siempre con permiso del cliente y con una serie de precauciones que garantizan que ningún servicio pueda verse interrumpido por sus actividades. Única y exclusivamente hace uso de estas técnicas para comprobar que la seguridad del cliente es la adecuada. Normalmente encontrará puntos de mejora y vulnerabilidades que plasmará en un informe, utilizando la empresa este para mitigar todo aquello que el auditor haya encontrado como peligroso y mejorar así la ciberseguridad.
Es normal que la primera vez se descubran muchos fallos si nunca hemos realizado un test de intrusión. Nunca hay que agobiarse por ello y les pasa absolutamente a todos. El consultor se encargará de recomendar la prioridad con la que debe abordarse cada proyecto para que el cliente tenga claro por donde debe empezar cuando decida ponerse manos a la obra.
Global Technology se adapta a las necesidades de cada negocio para mejorar la ciberseguridad
Global Technology siempre tiene en cuenta la infraestructura actual del cliente y sus sistemas en producción para maximizar la seguridad aplicada al núcleo duro de su metodología empresarial para mejorar la ciberseguridad.
El test de intrusión es un proceso que deberíamos incorporar a nuestras compañías siempre que podamos, nos mostrará la foto que necesitamos para ver el estado real de nuestra ciberseguridad. Por supuesto, una vez iniciado este proceso y subsanadas las vulnerabilidades más garrafales a lo largo de varios ciclos, nuestro estado de madurez habrá subido tanto que podremos abordar otro tipo de ejercicios más avanzados, tales como la inclusión de un Blue Team (un equipo especializado en la detección y respuesta a incidentes de seguridad) y Red Team (el grupo que se encarga de simular ataques y camuflarlos para que el anterior pruebe sus técnicas) hasta acabar con un Purple Team, el cual es completamente hibrido y fusiona los dos anteriores en una amalgama de especialistas formados tanto en ataque como en defensa.
La ciberseguridad es un ciclo y como tal, es de vital importancia que se repita para permitirnos evolucionar a un estado que nos mantenga seguros en el pandemónium de ciberataques del abismo de internet.
Consultor de Ciberseguridad y Responsable del Departamento de Auditoría y Pentesting en Global Technology