La semana pasada tuve el placer de impartir una charla titulada “Ciberseguridad: la hora del cambio” sobre mi visión de la postura de ciberseguridad en las empresas en el transcurso de un evento que organizó Page Personnel España, y ya os puedo adelantar que se necesita un gran cambio para combatir las constantes amenazas que pueblan Internet.
La charla comenzó con una exposición de los distintos perfiles de atacantes, desde los atacantes casuales, empleados/internos, hacktivistas y cibercriminales hasta llegar a los atacantes Estado-Nación y cómo las medidas de seguridad son cada vez menos efectivas en función del atacante.
Cada semana podemos leer en los medios que se ha comprometido la seguridad de alguna empresa. Si echamos la vista atrás, en los últimos años grandes compañías como Google, Sony, Citi, RSA, Northrup Grumman y muchas más han sido atacadas con éxito. Todas son empresas con grandes recursos y posiblemente con unas medidas de seguridad aceptables (cortafuegos, IDS, antivirus, política de parches, etc.), pero aun así no han sido capaces de defenderse.
Mucho se habla de los APT como atacantes sofisticados, lo que no es del todo correcto: se trata de que saben utilizar sus recursos ofensivos de forma más eficiente y solo necesitan un fallo de seguridad para entrar en los sistemas.
Existe un principio de seguridad que yo llamo “Auditoría Continua Inversa” y que suelo explicar a mis clientes. Básicamente consiste en que cualquier sistema informático conectado a Internet es “auditado” al menos una vez a la semana por algún actor, lo que significa que son “auditados” constantemente y que la típica excusa por parte de las empresas de «no tenemos enemigos, nadie nos quiere atacar» carece de fundamento. Siempre recomiendo realizar revisiones de seguridad periódicas para conocer el estado de nuestra seguridad y cómo mejorarla.
Es evidente que necesitamos un cambio para protegernos de manera efectiva. En la actualidad demasiadas compañías basan su estrategia de seguridad única y exclusivamente en la compra de productos como cortafuegos, IDS, antivirus, etc.; en suma, tecnologías de décadas anteriores que son claramente insuficientes. Hay una frase de Albert Einstein que refleja sin duda esta necesidad de cambio: «Si buscas resultados distintos, no hagas siempre lo mismo».
Desde mi punto de vista, las organizaciones deben crear una verdadera estrategia de seguridad en la que se involucre a toda la compañía y que haga cambiar su mentalidad. Ante todo, deben tener claro qué información es valiosa, qué nivel de clasificación tiene y dónde se encuentra –aquí hay que añadir que generalmente está muy desperdigada-. En función de este ejercicio ya pueden empezar a diseñar su estrategia de seguridad. ¿Cómo van a protegerse si no saben el qué ni de quién?
La estrategia de seguridad debe abarcar tres frentes: tecnología, procesos y personas. Una estrategia de productos de seguridad afecta a la tecnología, pero deja de lado a los procesos y a las personas, que son igual o incluso más importantes.
En vez de inteligencia, prefiero hablar de visibilidad, de conocer nuestra organización y saber qué debemos proteger y de quién. Algunos aspectos que debería abordar nuestra estrategia de seguridad son los siguientes:
1) Equipo de seguridad 100% dedicado: soy consciente de que resulta complicado para muchas empresas, pero es fundamental. La seguridad es mucho más que administrar cortafuegos y antivirus, por lo que se necesita contar con personal cualificado y totalmente dedicado a esta tarea. Su formación debe ser de carácter defensivo y periódica (al menos anual), aunque también sería recomendable que contaran con formación ofensiva básica para entender por dónde pueden venir los atacantes y cómo repelerlos.
2) Formación: toda la organización debe recibir formación de seguridad ajustada a su perfil para que entiendan y eviten los peligros de Internet, documentos maliciosos, redes sociales, etc. Hoy en día el coste de la formación online es muy asequible, por lo que no hay excusa.
3) Defensas activas: las defensas de seguridad suelen ser pasivas -esperan ser atacadas-, pero deberían ser activas. No consiste en atacar a los atacantes (que puede ser incluso ilegal, ya que no sabemos si contraatacamos al propio atacante o a otra víctima), sino en hacerles perder el tiempo, gastar recursos o incluso detectarles e identificarles mediante tecnología como los honeypots. Un proyecto fantástico para este concepto es Active Defense Harbinger Distribution (ADHD).
4) Postura de seguridad en el software instalado: las empresas cuentan con bastantes aplicaciones instaladas en sus sistemas y se confía la seguridad al fabricante, pero los departamentos de TI y/o seguridad deberían ser capaces de valorar este software. Tecnologías de verificación como VULNEX BinSecSweeper ayudan en este sentido.
5) Desarrollo seguro: no me cansaré nunca de hablar sobre la necesidad de desarrollar software seguro, bien sea una web, una aplicación móvil o cualquier otro software, ya que la mayoría de ataques vienen a través de aplicaciones inseguras. ¡Hay mucho que mejorar en este sentido!
6) Mayor uso de software Open Source de seguridad: las organizaciones tienden a comprar productos comerciales de seguridad porque suelen presentar un mejor interfaz, pero existen muchas soluciones de seguridad open source fantásticas (IDS, antivirus, cortafuegos, etc.) que combinadas con productos de seguridad comerciales pueden mejorar sensiblemente la seguridad corporativa.
Sin duda alguna, existen muchas más áreas de mejora en la estrategia de seguridad, pero las aquí descritas son un buen comienzo. Para empezar, debemos contar con un equipo preparado (personas) y tener todo bien documentado (procesos). No hablo de escribir cientos y cientos de páginas que nadie va a leer, pero sí de documentos sencillos y bien estructurados que describan las tareas y los procesos de seguridad.
Nadie dice que sea fácil, pero este cambio es absolutamente necesario si queremos mejorar la seguridad corporativa y protegernos de las amenazas en Internet. Mientras tanto seguiremos viendo en los medios empresas de todo tipo comprometidas…
Aprovecho para agradecer a Page Personnel que contaran conmigo para su evento, ha sido un placer poder participar.
¿Cuál es tu opinión de la estrategia de seguridad en las empresas: funciona o no?
— Simon Roses Femerling
4 respuestas a La seguridad informática corporativa debe CAMBIAR