David Montero Abujas Senior Manager de Riesgos Tecnológicos de Deloitte

Cuando empezamos a hacer un plan de seguridad para nuestra organización hablamos de proteger la información, proteger los activos, securizar las comunicaciones, y otros muchos aspectos que consideramos críticos dentro de nuestra infraestructura tecnológica, pero debido a nuestra visión deficiente de la seguridad se nos pasa otro aspecto fundamental:  lo que está fuera de nuestra infraestructura. Nuestra visibilidad como empresa acaba donde acaba nuestro último dispositivo perimetral, lo que suceda más allá nos enteraremos o no, dependiendo de los recursos que asignemos.

Una de las primeras tareas que se realizan para proteger una organización es conocer primero qué hay que proteger, es decir, identificar los activos. El problema suele llegar después, cuando llega el momento de identificar los riesgos y tratarlos. Para ello, solemos dejarnos llevar por metodologías y marcos de control conocidos.

Debido a la aplicación de conceptos predefinidos, nuestra visión global de los riesgos se va reduciendo, implantamos tecnologías y procedimientos predecibles, nos centramos en lo local, y nos vamos creando una visión deficiente de la seguridad.

Siempre tenemos que recordar que nuestra visibilidad en riesgos como organización, en el mejor de los casos, acaba donde acaba nuestro último dispositivo perimetral, lo que suceda más allá nos enteraremos o no, dependiendo sobre todo de nuestra visión global acerca de los riesgos tecnológicos, y los recursos que asignemos.

Riesgos y factor de exposición

Quizás deberíamos empezar por el principio, los riesgos. Tener en nuestra empresa un sistema de información supone directamente afrontar una serie de riesgos, que dependiendo de la tecnología, accesibilidad, criticidad  de la información, y otros muchos aspectos, estará sujeto a una mayor o menor exposición ante un ataque.

El factor de exposición es un concepto poco tratado hasta la fecha que no tiene nada que ver con la frecuencia de la amenaza ni con el histórico de incidentes relacionados con un riesgo, sino con una capa probabilística que atraviesa de forma trasversal un riesgo y que tiene más que ver con aspectos psicológicos y de negocio que con la tecnología.

Para hacernos una idea, una entidad financiera con 10.000 usuarios de banca electrónica estará teóricamente menos expuesta a un ataque de phishing que una entidad con 100.000 usuarios porque para un phisher las probabilidades de obtener mayores beneficios estará en bancas con más usuarios, y en países donde el nivel de concienciación TIC es menor, es decir, donde el fraude pueda ser perpetrado con mayores garantías y beneficios.

Esto no significa que la entidad con 10.000 usuarios no reciba ataques, o reciba menos que la otra entidad, sino que a priori debería estar menos expuesta a ese riesgo. Es la comparación de incidentes, el histórico, quién nos confirmaría nuestras suposiciones.

Ese factor de exposición, en su estado más natural, es donde se amparan muchos responsables de seguridad para decir que un determinado riesgo no le preocupa a la organización, por lo que no va a realizar ninguna inversión para minimizarlo.

Riesgos externos

A medida que buceamos más en los riesgos que pueden afectar a nuestra organización nos damos cuenta que minimizar muchos de ellos no depende de nuestras capacidades técnicas como expertos en seguridad, sino de nuestras capacidades de detección.

Tal y como comentamos antes, nuestra visibilidad externa a nivel de riesgos es muy limitada, puesto que la mayor parte de nuestros recursos están asignados para proteger los sistemas de información y la infraestructura tecnológica que los soporta.

Esta falta de visibilidad hace que se nos escapen de nuestra visión muchos riesgos que existen más allá de nuestras fronteras tecnológicas, en el espacio IP.

Desde un punto de vista formal, una organización está sujeta a dos grandes grupos de riesgos tecnológicos externos: lógicos y reputacionales.

Los riesgos lógicos son aquellos que pueden suponer un impacto en la información gestionada por la organización, tales como una fuga de información, un robo de credenciales o la planificación de un ataque de denegación de servicios.

Los riesgos reputacionales son menos tratados desde el punto de vista de la seguridad de la información, afectando a la información publicada en medios sociales de Internet, lo que puede suponer un daño directo o indirecto contra la reputación y el valor de la marca de nuestra organización o alguno de sus productos;  véanse menciones negativas de antiguos trabajadores, perfiles falsos en redes sociales, o cualquier otro tipo de difusión.

Conocer y tratar todos estos riesgos tecnológicos debe formar  parte también de nuestros controles como gestores de la seguridad, puesto que tienen una repercusión directa contra nuestra organización.

El espacio profundo

El problema surge cuando somos conscientes de los riesgos tecnológicos externos que pueden afectar a nuestra organización, e intentamos detectarlos. Nos vemos solos en el “espacio profundo”, mientras  los delincuentes juegan con ventaja debido a las características de Internet.

Técnicamente Internet se divide en tres áreas: visible, profunda y oscura. La Internet visible es aquella a la que que podemos acceder a través de navegadores y que está indexada;  profunda (Deep web) es aquella que es accesible pero los recursos no están indexados o no son públicos;  e Internet Oscura (Dark Net), que está compuesta por servidores no alcanzables por medios convencionales, véase NIPRNet o SIPRNet.

Imagen. Dark Internet

De esta manera, no todas las fugas de información aparecen en la Internet visible, pudiendo encontrarse también en botnets o servidores de delincuentes informáticos o cibercriminales.

Por otro lado, la implantación de tecnologías como DLP no van a detectar las fugas de información producidas en las semanas previas a la implantación o información incorrectamente clasificada. O implantar un IDS/IPS te va a defender ante ataques de día cero (0-day), o un cortafuegos te va a defender ante un ataque planificado de denegación de servicios.

No debemos olvidar que desde un punto de vista formal el riesgo nunca puede ser cero en un análisis coherente del mismo, existiendo siempre una posibilidad de que las salvaguardas que hayamos configurado no sean suficientes para evitar o minimizar el impacto, y por ejemplo, información confidencial salga sin nuestro conocimiento de la organización.

Nuestra defensa

Los servicios especializados en vigilancia online permanente de los riesgos tecnológicos externos, o ciberamenazas que pueden afectar a las organizaciones, están cada vez más presentes en el mercado, servicios que permiten monitorizar, informar y actuar  para detectar y gestionar casos e incidentes de seguridad, en colaboración con las gerencias de seguridad corporativas.

Minimizar los riesgos tecnológicos externos implica contar con actores externos, porque pocas organizaciones tienen capacidad técnica y financiera para monitorizar de forma continua Internet en varios niveles para detectar amenazas que les afectan: fuga de información, robo de credenciales, phishing, malware, perfiles falsos, y muchos otros riesgos.

Conclusiones

Partiendo de la premisa que nuestra visibilidad de los riesgos tecnológicos externos es limitada, que no contamos con recursos ilimitados para su detección, y que Internet tiene unas características muy particulares con diferentes capas y mecanismos que dificultan la detección de los riesgos, es frecuente el uso de servicios especializados en monitorización de ciberamenazas con la finalidad de minimizar el riesgo.

Siempre tenemos que tener en mente que la mejor estrategia para minimizar el impacto de un riesgo externo que no podemos controlar es la detección temprana del mismo, corrigiendo de esta manera nuestra visión deficiente de la seguridad.