La protección del riesgo digital es un aspecto crucial para cualquier empresa, en un contexto en el que la transformación tecnológica ha hecho que las organizaciones dependan para su operativa de sistemas de información, sustentados en la disponibilidad e integridad de datos que se encuentran amenazados por ciberataques cada vez más sofisticados, y a los que adicionalmente también hay que preservar de accidentes catastróficos. Máxime si son relativos a clientes, de cuya custodia la organización es responsable bajo las condiciones que indica la legislación actual.
Cuando hablamos de riesgo digital nos referimos a la amenaza de los estragos ‘per se’ que pueden causar un ciberataque exitoso o un siniestro grave, pero también de la crisis reputacionales derivadas de incidentes de esta índole, susceptibles de provocar un efecto de bola de nieve aunque los mismos no tengan consecuencias graves o se mitiguen rápidamente, si no se contrarresta la pérdida de confianza de los clientes/usuarios, algo que en último término puede llevar hasta la propia extinción de la organización.
El factor de la disponibilidad en ciberataques
Pensemos si no en aplicaciones de superficie externa altamente sensibles como pueden ser las de banca online, y en una eventual caída que tenga cierta continuidad en el tiempo, de modo que los clientes no puedan acceder. Inmediatamente, la inquietud empieza a cundir propagada a la velocidad a la que la impulsan las redes sociales, en medio de rumores que en su versión más ‘light’ hablarán de un ciberataque y en su versión más ‘heavy’ de una quiebra bancaria.
Si el problema de disponibilidad tarda en resolverse, y no hay una buena comunicación de crisis, resulta perfectamente factible que muchos clientes lleguen a trasladar el dinero de sus cuentas a otras entidades, dada además la facilidad para hacerlo que brinda la operativa bancaria online actual, que por ejemplo permite efectuar transferencias en dos pasos desde el móvil.
Así, el pánico habría hecho todo el trabajo, posibilitando que se auto cumpliese una profecía que originariamente era descabellada, transformándose de este modo una discontinuidad puntual en la disponibilidad de las aplicaciones de la entidad en un problema mucho más crítico, que además podría propagarse al sistema financiero en su totalidad por su interdependencia, poniéndonos, eso sí, para este caso en el escenario más apocalíptico.
Puede parecer un ejemplo extremo, pero de hecho se ha podido ver ya como ante caídas de sistemas que afectaban a la operativa de usuario de estas Apps se ha tenido que tirar de recursos de emergencia como ofrecer sesiones de funcionalidad básica, para que los usuarios al menos pudiesen visualizar sus cuentas y comprobar que efectivamente su dinero estaba allí.
Gestión de la superficie externa
Si la simple percepción de un riesgo digital puede tener efectos demoledores, no hablemos ya de los que se materializan. De ahí, la importancia de gestionarlos adecuadamente, y el verbo gestionar es el correcto, por la sencilla razón de que la amenaza no resulta erradicable, solo manejable para reducir al mínimo las posibilidades de su materialización. En definitiva, se trata de prepararse para lo peor, con la vista puesta en prevenir que suceda, y en caso de que se dé poder darle la mejor respuesta posible.
En este contexto, adquiere una relevancia fundamental la gestión de la superficie externa, en lo que se refiere a la identificación, monitoreo y mitigación de los riesgos asociados a todos los activos digitales que están expuestos a los usuarios. Esto incluiría web, aplicaciones, servidores y cualquier otra infraestructura accesible desde internet.
Ello requería como primer paso un inventario de la totalidad de activos digitales, que incluya aquellos abandonados u olvidados o que por cualquier otro motivo puedan estar mal configurados. Algo que se puede llevar a cabo con herramientas automatizadas.
La vigilancia continua, por su parte, tendría como objetivo la alerta temprana, desde sobre vulnerabilidades (ya sean conocidas o nuevas) hasta de actividades sospechosas, que puedan ser indicativas de la acción de agentes maliciosos.
Mientras que para la mitigación de riesgos en la superficie externa las medidas a adoptar incluirían las actualizaciones y parches de seguridad, la óptima configuración de los servicios y la eliminación de activos innecesarios, entre otras.
Con todo esto, se reduciría la superficie de ataque, se favorecería que las hipotéticas brechas pudiesen detectarse a tiempo y se mejoraría a nivel general la seguridad en la totalidad del perímetro expuesto.
Protección de la marca frente al riesgo digital
La protección de la marca ante riesgos digitales resulta crucial, debido a que el principal activo que tienen las empresas es la confianza de sus clientes. Primero en sus valores, productos, servicios o soluciones; pero también a la hora de proteger sus datos críticos o de algo tan básico como poder cumplir los compromisos que la organización tiene con ellos desde el mismo momento que se ha establecido una relación contractual, comercial o de otra índole. Un acuerdo que no se estaría cumpliendo cuando no pueden acceder y operar con normalidad desde sus aplicaciones de usuario.
Bajo este prisma, al margen de las políticas preventivas enunciadas, se requiere la adopción de planes de respuesta rápida a incidentes, que permitan identificar las amenazas o fallos con la máxima celeridad, mitigar su impacto y en último término eliminar la amenaza o resolver el problema a la mayor brevedad posible.
También, cabría tomar medidas contra amenazas específicas que no se dirijan directamente a la superficie externa de la organización pero puedan suplantar parte de sus activos y servicios digitales, como es el caso de ciertas modalidades de phishing.
Para evitarlo se pueden implementar desde soluciones de correo electrónico seguro hasta estrategias de protección de dominio, como por ejemplo registrar variaciones del mismo para evitar el cybersquatting e impedir que los clientes sean dirigidos a sitios fraudulentos. Pero adicionalmente una buena política comunicativa sobre la materia resulta imprescindible, para concienciar a los clientes sobre el problema, y además hacerles conocedores de los canales por los que es viable comunicarse con la empresa de manera protegida, la información suya que se les puede solicitar compartir y la que no, etc.
Además, ante cualquier percance la transparencia y la comunicación proactiva serán claves a la hora de mantener la confianza del cliente.
Inteligencia centrada en el adversario
La inteligencia centrada en el adversario se enfoca en comprender las motivaciones que tienen y las estrategias que utilizan los ciberdelincuentes. Esto implica recopilar y analizar información sobre tácticas, técnicas y procedimientos (TTPs) empleados por los atacantes.
Así, se trata de estudiar los modus operandi y patrones de ataque de los actores potencialmente interesados en atacar a la empresa, para lo que se debe estar al tanto de las alertas de la comunidad de ciberseguridad, se pueden usar fuentes OSINT de inteligencia abiertas para profundizar más en la materia, e incluso acceder a servicios especializados en este tipo de información.
También, hacen una gran aportación a efectos de preparación los simulacros de ataque, los denominados como ejercicios de Red Team, que permiten evaluar la efectividad de las defensas existentes.
Todo ello redunda en una mejora de las capacidades de respuesta a incidentes, posibilita priorizar la protección frente a las amenazas más peligrosas y prepara para un aumento de la capacidad de resiliencia frente a ataques específicos.
Desde ITRES planteamos un servicio de hacking ético continuo, porque entendemos que las auditorías de ciberseguridad por muy exhaustivas que resulten (como de hecho lo son los análisis de riesgos que nosotros hacemos con metodología Magerit) siempre dan una imagen estática correspondiente a un momento concreto.
Así, en cambio, cubrimos el intervalo de riesgo existente entre procesos de auditoría. Además, nuestros especialistas realizan simulacros de ataque a los sistemas de información y la superficie externa (siempre con el conocimiento y la autorización de los clientes) que reproducen los que harían quienes quieren comprometer los activos digitales de la organización, para lo que aplicamos los principios de la inteligencia centrada en el adversario.
Estos servicios se enmarcan en una cobertura que abarca todos los vectores básicos de la ciberseguridad gestionada: dirección y estrategia, prevención, detección y respuesta. Asimismo, también brindamos desde servicios de consultoría hasta soluciones de Cloud Defense desde un centro SOC propio operativo 24/7/365.
