Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Simular un ciberataque es ventajoso para tu empresa.

Simular un ciberataque es ventajoso para tu empresa.

Ventajas de simular un ciberataque para evaluar la seguridad de la información de tu empresa.

Seguridad-de-informacion-en-la-empresa

Ciberseguridad empresarial

La mayor parte de las empresas que se encuentran en proceso de transformación digital están precisando servicios de consultoría especializados para el diagnóstico y validación del diseño, implementación y optimización de la seguridad de la información y protección de sus inversiones en activos tecnológicos.

Más allá de ver reforzadas sus inversiones, la gran preocupación empresarial es la responsabilidad asumida ante un entorno en el que la motivación de los ciberdelincuentes y la naturaleza del malware es cada vez más diversa e incontrolable; en el que la regulación se encuentra en una constante y tardía evolución respecto de los avances tecnológicos y en el que, las tendencias de mejora de productos y servicios TI obligan a revisar constantemente el grado de madurez de cualquier proyecto en materia de seguridad de la información y ciberseguridad.

¿En qué consiste un servicio integral de consultoría de seguridad?

La mayor dificultad de proporcionar servicios integrales de consultoría de seguridad radica en conseguir aportar estrategia de seguridad y gestión del riesgo, inteligencia de seguridad y gestión de incidentes, gestión de amenazas y vulnerabilidades, seguridad en infraestructuras y redes, protección de datos y privacidad, gestión de identidades, privilegios y accesos, seguridad en aplicaciones, etc y, además, todo eso de forma especializada a diversos sectores industriales (servicios financieros, industria manufacturera, telecomunicaciones, viajes y transportes, sanidad, sector público, consumo, ecommerce, etc).

La columna vertebral que debe sostener este tipo de servicios para conseguir resultados alineados con los objetivos de negocio del cliente, debe basarse en el análisis del grado en el que se encuentra la organización en materia de ciberseguridad. Pero no basta una auditoría al uso en la que le sueltas al cliente primero una larga lista de preguntas en tediosas entrevistas y luego te despachas con un informe. Se trata de ayudar al cliente a gestionar el riesgo ante incidentes, a que sepa detectar y responder ante los fallos de seguridad mientras los activos se adaptan a sus necesidades empresariales.

Para ello, habitualmente evaluamos controles y procesos de seguridad en aplicación de estándares o normas certificables como es el caso de la ISO 27001. De su resultado, la idea es no quedarse en la obtención de un sello que valide parcialmente la calidad en materia de seguridad de la información de un proyecto determinado acometido por la empresa, sino trascender un paso más allá, buscando aportar al cliente un mapa de su situación en el que se identifiquen claramente las medidas técnicas y organizativas a acometer en virtud de las prioridades, que también deben quedar definidas en base a costes y umbrales de riesgos asumibles por la empresa en cuestión.

Cualquier punto de partida en el que consigamos aportar al cliente el diseño de un plan de trabajo en el que ver con claridad su situación actual respecto de su capacidad de gestión de vulnerabilidades, de recabación y tratamiento de datos personales en cumplimiento de la normativa aplicable; de detección de anomalías y de mitigación de incidentes, identificando sus objetivos de mejora, la trazabilidad de los avances y las escalas de riesgos identificando prioridades en su empresa, le aportará sin duda una inmensa tranquilidad y equilibrará la toma de decisiones en materia de ciberseguridad de forma organizada y transversal, acercándola a todos los miembros de la empresa consiguiendo reforzar la conciencia empresarial.

Hasta aquí la apasionante labor del auditor en seguridad TI que, como en mi caso, cuenta con preparación y experiencia suficiente como para identificar esas cuestiones técnicas y organizativas con implicación en esos proyectos de inversión empresarial en activos tecnológicos. El paso más que hoy quiero trasladaros es la enorme necesidad de integrar los servicios de consultoría en seguridad que prestemos a las empresas mediante especialistas en seguridad informática, hackers. Nuestros queridos hackers.

Cada día son más difíciles de eludir las ciberamenazas y, es por todos sabido que, proliferan nuevas especies de malware cada día y, lo que es peor ya no basta con infectar, ahora se trata de una actividad que genera cuantiosos ingresos para los cibercriminales a costa de la información personal y/o sensible que trata la empresa.

Por eso, normalmente cuando conseguimos cerrar una puerta alguien abre otra al otro lado y hemos de volver a empezar. O dicho de otro modo, la previsión de mejora de una auditoría de seguridad puede ser una hoy y, al año siguiente, cuando pretendíamos más conformidades al habernos aplicado a cumplir las mejoras propuestas en el plan anual, todo ha podido cambiar si no identificamos su implementación y mantenimiento como un proceso activo y constante.

Del último trimestre de 2014 a la actualidad las vulnerabilidades de software y los ataques directos a aplicaciones móviles han pasado a ser una de las principales amenazas o puertas de fácil acceso a los datos sensibles de la empresa y ello, no sólo por la proliferación de su uso sino por la cantidad de vulnerabilidades críticas con las que muchas de ellas son lanzadas al mercado.

Mi recomendación – y en su refuerzo mi mejor experiencia práctica diaria – es procurar integrar en el servicio de consultoría en seguridad la simulación de ciberataques en el escenario real empresarial. En serio que, en la práctica al personal acaba pareciéndole divertido. Es lo más parecido al gamming y suele no sólo motivar sino despertar conciencias.

Se trata de emular técnicas, procedimientos y herramientas existentes para atacar de forma dirigida y realista (y obviamente autorizada con carácter previo, ya que es un servicio contratado por la propia organización) a la empresa. Una vez “infiltrados” conseguimos conocer hasta qué punto se  pueden burlar los sistemas de protección internos, hasta qué punto está funcionando el diseño de privilegios y accesos en puestos de trabajo y servidores, qué vulnerabilidades presenta, qué cuentas pueden estar siendo comprometidas, etc Y, a partir de la información extraída, evaluamos con mayor certeza tanto los procesos, como las tecnologías y las personas que presentan mayor grado de criticidad, así como el grado de resiliencia de la organización ante los ataques cibercriminales, pudiendo  -entonces sí  – elaborar un catálogo de recomendaciones a la empresa para la defensa de su seguridad perimetral, de las aplicaciones y datos independientemente de su ubicación o dispositivos utilizados, así como de las posibles interacciones entre usuarios.

Mediante estas simulaciones de ataques se consigue identificar con mayor claridad los activos vulnerables o críticos de la empresa, las capacidades de detección y los métodos o sistemas de defensa que deben implementarse para dar una adecuada respuesta, a la par que conseguir ver satisfechos los objetivos de cumplimiento empresarial.

¿Te atreves a vivir la experiencia de un ataque dirigido a tu empresa y descubrir cómo podrías realmente fortificarla?

 

By | 2017-04-17T20:23:28+00:00 julio 5th, 2016|Artículos Derecho TIC, Blog, ciberseguridad|0 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.