¿Está mi empresa ciber-segura?

¿Está mi empresa ciber-segura?

Por Juan Carlos Ruiloba Castilla

Cuando observamos nuestra empresa y miramos su ciberseguridad nos damos cuenta de que no conocemos realmente a cuantas amenazas está expuesta. No debemos olvidar que hoy en día prácticamente todas las empresas, por pequeñas que sean, tienen una dependencia notable a la información y a la actividad a través de las comunicaciones.

Aunque se haya contratado y/o diseñado un sistema de seguridad para la protección de la información y de las comunicaciones con el exterior el gran potencial de amenazas existentes precisa que revisemos concienzudamente si estas medidas son suficientes para cuando suceda un ciber-incidente. Porque no debemos creer ni confiar que nuestra empresa nunca va a ser objeto de un compromiso tecnológico. 

Estas amenazas que se ciernen sobre nuestra empresa no son únicamente intencionadas ya que también los fallos de las tecnologías, las negligencias, accidentes e incidentes naturales pueden causar impacto en nuestros activos.

En cambio, en las amenazas intencionadas siempre habrá detrás de estas una persona o un grupo de ellas que tendrán una motivación con dicho ataque.

Debemos conocer quiénes son esos posibles atacantes identificando sus posibles motivaciones para poder prevenir, detectar y reaccionar cuando se produzca su actuación.

Las distintas acciones que pueden realizar contra nuestra tecnología o, también, mediante nuestra tecnología es muy numerosa como, por ejemplo:

  • ROBO DE INFORMACIÖN, DE TECNOLOGÍA (ánimo de lucro)
  • DAÑOS FÍSICOS (acceso a los dispositivos y/o instalaciones)
  • DAÑOS LÓGICOS (Programas maliciosos, Denegación de servicio)
  • DESCUBRIMIENTO DE SECRETOS (espionaje Industrial y comercial)
  • EXTORSIONES, AMENAZAS
  • USURPACIÓN DE IDENTIDAD (personas físicas y/o jurídicas)
  • FRAUDES (Sustracción de datos financieros, tarjetas de crédito) CONTROL DE NUESTROS ORDENADORES PARA DESDE ELLOS REALIZAR OTRAS ACCIONES (Máquinas Zombis en una Botnet).

Para paliar esas amenazas, no dudemos que puedan convertirse en un ataque real, lo más importante es conocer esos riesgos, nuestro sistema y a estos posibles atacantes. Con ese conocimiento podremos implementar unas medidas de seguridad adecuadas.

Estas medidas de seguridad no deben ser exclusivamente preventivas, sino que las debemos implementar en los tres niveles temporales (ANTE-DURANTE-DESPUÉS):

  1. PREVENTIVO: Evitar que el ataque se produzca.
  2. DETECTIVO: Identificar cuando el ataque se produce para cortarlo, mitigarlo y/o recolectar evidencias.
  3. REACTIVO: Poder actuar contra un ataque sufrido identificando las evidencias, recuperarnos del ataque y actuar contra las personas responsables.

Las medidas de seguridad no solo dependen de contratar un servicio externo o implementar sistemas de seguridad, sino que dependen también de ti y sobre todo de tus empleados.

¿Cómo podemos aumentar esta Ciber-seguridad de mi empresa?

Probemos en observar si realizamos o conocemos las siguientes premisas y si no es así planteemos su rápida implementación.

1. Saber y comprender que no estamos seguros

Lo principal para estar más fortificados es reconocer que por muchos medios que hayamos incorporado en seguridad, la seguridad absoluta no existe y el pensar que ya estamos seguros es la primera vulnerabilidad. 

El cibercrimen es muy dinámico y la relajación de ir revisando y adecuando nuestra seguridad no nos protegerá de los ataques.

Implementar medidas de seguridad preventivas juntamente con medidas de detección y reacción es más eficaz que solo usar medidas preventivas.

2. Conocer los riesgos, amenazas y vulnerabilidades de nuestro sistema informático

Podemos tener este conocimiento a través de auditorías de seguridad con una frecuencia alta o incluso permanentes (365 días al año), formaciones y entrenamientos sobre estos aspectos.

3. Formar y concienciar a nuestros directivos y empleados en esas amenazas y riesgos que pueden poner en peligro a la empresa y, evidentemente, su propia continuidad en la empresa

Los cursos formativos en esas materias donde se les recuerda las políticas de seguridad, buenas prácticas, derechos y obligaciones, responsabilidades y posibles ataques que pueden ser ellos como parte de la cadena de la seguridad pueden ser objeto es una de las medidas que se hacen imprescindible. Recordemos que la mayoría de los ataques el vector es el ser humano.

4. Gestionar los riesgos de la utilización por parte de los usuarios de Redes Sociales, Mensajería, Foros y otros programas de comunicación por Internet

Los riesgos que a través de Ingeniería Social pueden acarrear a poner en compromiso el equipo utilizado por el usuario y a partir de este comprometer la red corporativa hace necesario la gestión de la utilización de estos medios de comunicación además de una adecuada concienciación y formación de los usuarios en el uso de estos servicios.

5. Tener una buena Política de Seguridad, un Plan de Reacción y un Plan de Contingencias al día

Es vital que la Política de Seguridad, así como los Planes de Reacción y Contingencias de la empresa estén al día y sean dinámicos en función a la evolución de las nuevas tecnologías y los nuevos riesgos y amenazas que surgen.

6. Establecer una buena Política de Salvaguardas

Esta medida implica tener las copias en un lugar seguro y por supuesto nunca en el mismo servidor. El objetivo de una copia de seguridad es tenerla disponible no solo si los datos se pierden, o como en el caso de los Criptoransomware, los datos se cifran para realizar una extorsión.

7. Disponer de un responsable de Seguridad que supervise y controle las medidas de seguridad

El responsable de la Seguridad deberá constantemente estar al corriente de cualquier incidencia que se produzca no solo en la empresa sino en todos aquellos factores que podrían incidir con la misma, saber actuar en consecuencia, coordinar e informar debidamente no solo a las personas de la que dependa sino a todos que deban conocer las mismas para que en ese desconocimiento no puedan ser objeto de un foco de un potencial ataque.

8. Instalar soluciones de Seguridad multipropósito y mantenerlas constantemente actualizadas

Hoy en día no es suficiente con instalar un buen antivirus, el malware chequea los motores antivirus habituales para realizar modificaciones y hacerlos indetectables.
Por ello es necesario que las Suites de Seguridad apliquen inteligencia y puedan detectar comportamientos sospechosos de software malicioso.
Estas soluciones de Seguridad se deben instalar no solo en los Servidores sino en todos los elementos que interactúen con el Sistema de Información de la empresa (dispositivos móviles, portátiles, equipos departamentales, puntos de venta, Internet de las cosas, BYOD).

9. Tener los equipos, servicios, sistemas operativos y aplicaciones actualizados

No solo se trata de actualizar los Sistemas Antivirus, uno de los mayores vectores de ataques a las empresas es explotando las vulnerabilidades de los Firmware, Sistemas Operativos, Servicios y aplicaciones no parcheados con las últimas actualizaciones.

10. Control de los usuarios que realizan Teletrabajo conectándose remotamente a la red desde el exterior

Estos equipos remotos pueden suponer un riesgo no solo de entrada sino de la información que localmente puedan almacenar de la empresa e incluso imprimir y desechar en la basura local. Conexiones de trabajadores desde redes WiFi-públicas, hoteles, cafeterías se hacen habituales con los riesgos de interceptación que suponen esas comunicaciones.
Se puede mitigar esas comunicaciones mediante limitar ese tipo de comunicaciones solo al correo, detectar y delimitar que tipo de documentos pueden viajar por esas comunicaciones, responsabilidad del empleado a destruir la información debidamente antes de desecharla, empleo de VPN u otros sistemas de cifrado de las comunicaciones.

11. BYOD (Bring Your Own Device), BYOT (Bring Your Own Technology)

Cada vez va más en aumento los incidentes de seguridad que parten de los dispositivos que los empleados utilizan en la empresa, no solo por el riesgo de perder o que les roben el dispositivo con la información que pudiera contener sino como punto de entrada en nuestra red corporativa cuando el mismo interactúa con ella. Podemos incorporar dos medidas antes este riesgo:

  • Crear restricciones de uso de estos dispositivos por parte del empleado/directivo lo cual es difícil monitorizarlo para que lo cumplan.
  • Implementar una solución robusta de gestión y de seguridad de dichos dispositivos. Incorporando soluciones como anti malware y spyware, cifrado de la información, función de geolocalización del dispositivo y borrado remoto, control de instalación de aplicaciones.

12. Canalización de las comunicaciones exteriores en el mínimo de puntos posibles e incorporar en ellas Firewall e IDS/IPS

El cortafuego nos protegerá del acceso exterior tanto para datos que puedan entrar en nuestra red como que puedan salir de la misma.
El Sistema de Detección de Intrusos junto con el Sistema de Prevención de Intrusión nos servirá para monitorizar los intentos y reaccionar preventivamente que los mismos continúen.

13. Controles continuos de los privilegios de las cuentas de los usuarios, de las aplicaciones y recursos

El control de los permisos de acceso y operatividad de cada uno de los usuarios, así como de los grupos de usuarios, aplicaciones y recursos permitirá que nadie pueda realizar acciones no autorizadas y nos protegerá de que a través de esos permisos cualquier atacante acceda a más recursos de los que esté habilitado el usuario. Intensificar el control sobre cuentas de administrador con mayor acción contra el sistema.

14. Autenticación y gestión de las identidades de los usuarios

Se debe autenticar a los usuarios antes de interactuar con el sistema y monitorear sus acciones con el mismo. Se debería guardar unos parámetros de actividad para compararlos en todo el momento y detectar cualquier anomalía de las conductas para detectar los riesgos.

15. Bastionado de los equipos (Hardening)

Se trataría de configurar los equipos de forma segura deshabilitando todos los servicios, aplicaciones y puertos de conexión externos innecesarios; identificar, delimitar y asegurar los puertos abiertos y los servicios asociados, etc.

16. Conocer y clasificar nuestros activos, así como los potenciales enemigos

Es vital conocer cuáles de nuestros activos son más valiosos y continuar con los siguientes en la jerarquía. El conocimiento de dichos activos en valor de su importancia nos permitirá saber de cuál forma implementar las medidas de seguridad ante los posibles enemigos y el tiempo, esfuerzo e inversión que debemos dedicar a cada uno de ellos.

17. Aplicar diferentes círculos de seguridad en aquellos activos más valiosos

La seguridad existente puede que no sea suficiente, así que debemos ir más allá de lo estándar; y relacionado con el punto anterior es importante que aquellos activos más importantes para la empresa por las consecuencias de un posible ataque, se les añada ese plus de seguridad para fortificarlos.
Se puede tener una falsa sensación de seguridad por cumplir un estándar de seguridad exigido por una Ley o Regulación. Hay que entender que el cumplir un estándar, norma o regulación de seguridad es simplemente una guía que facilita la creación de una estructura organizativa o la implantación de medidas de seguridad, pero nunca es una garantía de la misma.

18. Cuando se haya producido un incidente o se presuponga que está sucediendo se deberá actuar de forma profesional para su tratamiento

Se deberá valorar la actuación de Profesionales en Informática Forense para la adquisición de las evidencias salvaguardando las garantías legales e iniciar la cadena de custodia por si fuera necesario la incorporación de las mismas en un procedimiento judicial. Priorizando aquellos indicios volátiles o susceptibles de variar o desaparecer.
Los Profesionales deben ser capaces no solo técnicamente de recomponer el estadio de sucesos acontecidos, sino comunicarlo debidamente al cliente o al Tribunal Judicial y en este último caso ser capaces de ratificarlo y defenderlo ante la Corte.

19. Vigilancia constante y esperar lo inesperado

Debemos ser precavidos y actuar siempre con sigilo sobre todo a la hora de implementar nuevas tecnologías, dado que presuponen nuevos riesgos. Aplicar la Inteligencia, la detección efectiva, análisis de la información, Forensics y respuesta inteligente a incidentes.

20. Debemos de tener un equipo preparado o una empresa Forensics de confianza preparado para dar respuesta a:

¿He sufrido un compromiso informático?
¿Quién está detrás del ataque y desde cuándo?
¿Quién debe llevar la coordinación de las acciones?
¿Han conseguido llevarse información y qué se han llevado?
¿A quién debemos comunicar el incidente?
¿Qué consecuencias de reputación y/o económicas puede significar que terceros obtengan esa información?
¿Cómo lo han realizado y por dónde han entrado?
¿Han dejado puertas traseras u otros malware?
¿Cómo aprovechar el incidente para fortalecerme en Seguridad?
¿Hay un responsable interno del incidente?
¿Hay otras víctimas ajenas a la organización?
¿Debo comunicarlo al resto de las víctimas?
¿Qué impacto habrá si la información se divulga?
¿Qué debo transmitir a los medios de comunicación si el ataque se hace público?
¿Me puede implicar responsabilidades legales?
¿Qué acciones legales debo seguir?

Si después de leer este artículo no ve reflejada a su empresa en el mismo, ¡no desespere! todavía está en situación de aplicar aquello que considere para mitigar la inseguridad.

Y recuerde: Las batallas no se ganan solos, solicitemos ayuda y colaboración para esta Guerra contra el Cibercrimen.

Juan Carlos Ruiloba Castilla
juancrui@sit1.es
CEO de Scientific Intelligence Team 1 S.L.

Perito Informático e Investigador Tecnológico. Exjefe de la Sección de Informática de Barcelona y del Grupo de Cibercrimen de la BPPJ de Barcelona del Cuerpo Nacional de Policía. Lleva más de 35 años de experiencia laboral en Investigación Tecnológica, Ciberseguridad, Informática Forense, Ciberinteligencia, Hacking Ético, Respuesta a Incidentes, Prueba Digital, Redacción de informes y Presentación ante Tribunales. Docente en diversas Universidades españolas. Ponente en eventos de Ciberseguridad como “La Rooted”, “No cON Name”, “ISMS Forum”, “ISACA”, “ICAB” y “Legal Hackers”.