'War games in real world'... o cómo prepararse ante las ciberamenazas y los ciberdelincuentes
En 1998 conocimos al virus CIH; en el año 2000 llegó I Love you, en 2004 Sasser y así, hasta nuestros días, con los 'ransomwares' WannaCry y Petya o NotPetya. Está claro que no hacemos más que tropezar, una y otra vez, con la misma piedra.
Albert Einstein dijo “Locura es hacer lo mismo una y otra vez y esperar resultados diferentes”.
Si Einstein fuera el CISO de una compañía podría cambiar la palabra “Locura” por “Seguridad” y se podría adaptar a la realidad de nuestros días. Si tomásemos un Delorean e hiciéramos un viaje al pasado leeríamos noticias como “Malware infecta más de un millón de equipos por ausencia de parches en el sistema operativo y antivirus sin actualizar”. En 1998 conocimos al virus CIH; en el año 2000 llegó I Love you, en 2004 Sasser… y así, hasta nuestros días, con los ransomwares WannaCry y Petya o NotPetya. Está claro que no hacemos más que tropezar, una y otra vez, con la misma piedra.
Visto el paradigma del mundo del malware, que parece volver a sus orígenes puramente destructivos y que, como apuntan algunas teorías conspiracionistas, los últimos ciberincidentes son ensayos de ciberguerra entre países, parece que ha llegado la hora de replantearnos si los sistemas con los que protegemos a nuestras compañías son los más efectivos, si son suficientes o si, tal vez, es necesario empezar de cero para adecuarnos a los nuevos vectores de ataque.
Las alarmas han saltado y los medios recogen habitualmente informaciones sobre incidentes de seguridad donde se filtran datos de compañías, contraseñas, códigos fuente... lo que lleva a preguntarnos: ¿por qué?
Nos encontramos ante un reto de enormes dimensiones, la transformación digital de nuestra economía y la de países de nuestro entorno y son muchas las nuevas tendencias tecnológicas. En este escenario, cuestiones como planes de concienciación, antivirus, firewalls, bastionado de equipos, CMBD, backup, IRM o sistemas de parcheado, hoy en día, pueden parecer términos y tecnologías del pasado, o incluso, según algunos, tecnologías muertas o no necesarias.
La primera conclusión que obtengo del panorama actual no es que los sistemas no sean efectivos, sino que la concienciación y formación en seguridad no son elementos que se tengan en cuenta, por lo general.
Hablar de concienciación en seguridad no es sólo un eslogan poniendo el foco en el usuario. ¿Dónde dejamos a los administradores de sistemas y personal de seguridad? Cuando sufrimos un ciberataque la primera “víctima” es el ya conocido “eslabón más débil”. Podemos encontrarnos un phissing, o que ejecutamos una macro con malware, o, cómo no, el ya famoso “no tenía el equipo actualizado”. Pero la realidad es que, si un equipo no tiene los parches de seguridad es porque el área de Sistemas no tiene controlados esos equipos. O si se infecta por un malware, es porque no tiene las firmas actualizadas, o bien porque, por ahorro de costes, dispone de un antivirus en su versión más simple, el cual no es suficiente para las amenazas actuales de hoy en día.
En resumen, el área de Sistemas y/o Seguridad no estaba concienciada de sus responsabilidades y deberes para proteger a los usuarios, o no cuenta con la tecnología y procedimientos adecuados.
También es primordial involucrar a la Dirección y que conozca, de primera mano, a qué riesgos se expone la compañía si no realiza una inversión (que no gasto…) en seguridad, ya que las consecuencias de un incidente generalmente siempre serán mucho más caras, y no sólo en términos económicos, también en reputación, por lo que la concienciación debe comenzar desde la Dirección y los departamentos técnicos encargados de los sistemas y seguridad de la compañía.
Otro punto a tener en cuenta en la estrategia de seguridad para afrontar la batalla a la que nos enfrentamos día a día es la racionalización de sistemas. Ante un incidente de seguridad, cuantas más plataformas diversas existan en la compañía, tanto en equipos de puesto de usuario como de sistemas tecnológicos para la gestión de la seguridad, más complicado será gestionar o contener un incidente de seguridad, lo que, a la par, ocasiona unos mayores gastos de mantenimiento y licencias de distintos fabricantes.
El conocido 'SIMO' de tecnologías es uno de los mayores males al que se enfrentan muchas compañías y el elemento clave para que, aquellas que apuestan por reducir fabricantes y proveedores centralizando soluciones, sean las que, ante situaciones adversas, antes consigan superarlas. Una compañía donde, para gestionar su seguridad, tenga que recurrir a 10 consolas (o más) y no disponga de un parque uniforme de equipos, se convierte en fácil víctima de sufrir incidentes de seguridad.
Es necesario tomar nota de las lecciones aprendidas y analizar por qué siguen sucediendo los mismos incidentes, año tras año. Los métodos y sistemas de seguridad tradicionales siguen siendo necesarios y la concienciación debe ser el pilar fundamental y primer muro de defensa. Si no sabemos cómo nos pueden atacar, no sabremos cómo defendernos.
Así mismo, es necesario contemplar la seguridad desde un punto de vista estratégico y no táctico. Es decir, no adquirir una solución para cubrir una necesidad puntual (ahora son miles las empresas que están comprando la solución que promete ser la “bala de plata” contra el ransomware) sino observarla desde un punto de vista holístico, de forma que sea ésta otra pieza, o mejor aún, otra consola más a valorar, por el equipo de seguridad globalmente.
La racionalización de sistemas de seguridad minimizando el número de proveedores facilita la gestión, centralizando sistemas y minimizando el número de consolas, lo que, a la hora de afrontar un incidente de seguridad, hace que los tiempos de reacción se reduzcan drásticamente.
La homogenización de sistemas y soluciones de seguridad facilita el aprovechamiento de los protocolos de intercambio de información entre sistemas como DXL o Open DXL, permitiendo así crear un ecosistema de seguridad donde “todo hable con todo” y se automatice al máximo la respuesta a incidentes de seguridad.
Estas recomendaciones no aseguran completamente que se estará libre de sufrir un incidente de seguridad, pero al menos, nos garantiza que estaremos menos expuestos que aquellos cegados con las nuevas tendencias que, en paralelo, siguen manteniendo equipos fuera de soporte, usuarios por defecto en sus plataformas y 50 consolas para atender ante el próximo ciberataque.
Si vis pacem, para bellum...
El autor de este artículo es Manuel Barrios, CISO de Informática El Corte Inglés, y ponente en CISO 360º Congress 2017, evento que se celebra desde del 5 al 7 de julio en Barcelona y que aúna a directores de seguridad de la información de diferentes corporaciones nacionales e internacionales para debatir sobre el presente y el futuro de los avances y tendencias en ciberseguridad.
