Las 5 claves de una evaluación de riesgos de seguridad

El pasado octubre, el Punto Neutro Judicial, una red de telecomunicaciones que sirve para conectar a los órganos judiciales con otras instituciones como la Agencia Tributaria o la Seguridad Social sufrió un ciberataque que podría haber afectado a datos de los contribuyentes en poder de la AEAT. Ese mismo mes, mediante otro ciberataque, actores maliciosos fueron capaces de acceder a los datos de configuración del router de algunos clientes de Movistar y O2. La frecuencia de este tipo de acciones delictivas evidencia la necesidad de que las organizaciones públicas y privadas efectúen una evaluación de riesgos de seguridad para detectar vulnerabilidades y proteger a sus activos frente a los criminales.

De no hacerlo, las compañías e instituciones se verán expuestas, como advierte el Centro Criptológico Nacional (CNN-CERT) frente al incremento de las operaciones disruptivas y de control, las agresiones a la cadena de suministros y los ataques a entornos industriales, que son algunas de las principales tendencias previstas por este organismo público para el corto plazo.

¿Cómo pueden llevar a cabo las organizaciones una evaluación de riesgos de seguridad integral? Contratando servicios de pentesting.

Dichos servicios consisten en pruebas de seguridad ofensiva que simulan ciberataques reales en entornos controlados, permitiendo a los profesionales que lo realizan detectar e identificar vulnerabilidades y vectores de ataque.

En este artículo vamos a abordar las cinco claves de una evaluación de riesgos de seguridad y su relevancia en un contexto en el que los ciberataques cada vez son más comunes y sofisticados.

1. ¿Qué es una evaluación de riesgos de seguridad?

En primer lugar, debemos definir en qué consiste una evaluación de riesgos de seguridad. Como el propio nombre indica nos encontramos ante un análisis centrado en identificar los riesgos y vulnerabilidades presentes en una compañía o institución, sus sistemas, políticas de seguridad, aplicaciones y dispositivos tecnológicos o redes.

Así, la evaluación de riesgos de seguridad busca detectar cualquier problema en la infraestructura y software de la compañía, de cara a prevenir que dicha vulnerabilidad sea explotada por un atacante malicioso.

Para llevarla a cabo, los profesionales de ciberseguridad deben realizar un pestesting avanzado que les permita simular ataques reales, detectar riesgos y evaluar las medidas de seguridad existentes.

De tal forma, la evaluación de riesgos de seguridad es un elemento clave a la hora de diseñar e implementar la estrategia de seguridad de una compañía, así como en el análisis de su efectividad.

En un mundo cada vez más digitalizado, en el que gran parte de los activos de las compañías son digitales, la evaluación de los riesgos de seguridad se ha convertido en una cuestión estratégica que toda organización debe acometer para evitar ser víctima de incidentes de seguridad que pongan en jaque su continuidad de negocio.

2. ¿Por qué es importante realizarla?

Lo que venimos de exponer da buena muestra de la relevancia que ha adquirido la evaluación de riesgos de seguridad y por qué es de crucial importancia que las compañías y administraciones públicas contraten servicios de pentesting para realizarla.

Aunque el listado de motivos que justifican la necesidad de llevar a cabo este estudio de las vulnerabilidades y las amenazas son infinitos, podemos señalar dos relacionados directamente con la viabilidad y continuidad de los negocios.

2.1. Prevenir los incidentes de seguridad y sus consecuencias

Los ciberataques atentan contra los activos de las organizaciones. En algunas ocasiones buscan sustraer datos sobre los clientes, en el caso de las empresas, o sobre los ciudadanos, en lo que respecta a las administraciones. En otras, su objetivo es paralizar la actividad de la organización. O cometer fraudes económicos. Podríamos seguir glosando ejemplos ad infinitum. La lista de los objetivos de los actores maliciosos no se termina nunca.

Los múltiples ciberataques que se registran todos los años en el mundo evidencian el impacto que tienen en las organizaciones, tanto en términos operativos, como económicos, legales o reputacionales.

Por ello, es fundamental que la ciberseguridad se convierta en un elemento estratégico en el seno de las compañías. Y ello pasa por realizar una evaluación de riesgos de seguridad que permita obtener una panorámica amplia y precisa de las vulnerabilidades existentes, los vectores de ataque y las repercusiones que pueden tener las agresiones exitosas, tanto externas como internas.

2.1.1. Una base sólida para construir, analizar y actualizar una estrategia de seguridad

Así, la evaluación de riesgos de seguridad se convierte en una base sólida sobre la que edificar una estrategia de seguridad integral que sirva para fortalecer los sistemas de la compañía y prevenir y mitigar los incidentes de seguridad, así como sus consecuencias. O, también, para analizar la estrategia que ya se ha puesto en marcha, subsanar los errores y deficiencias detectados y actualizarla a la luz de las nuevas campañas maliciosas que ven la luz cada día.

Pensemos, por ejemplo, en una compañía cuya plataforma ecommerce es su principal canal de venta. Un ciberataque exitoso podría paralizar su actividad durante todo un día. Ello generará cuantiosas pérdidas económicas, lastrando la obtención de beneficios.

Además, supondrá una pérdida de confianza por parte de los consumidores que no podrán acceder a la tienda online para efectuar sus compras.

Llevemos este hipotético caso más allá. El ciberataque no solo ha paralizado el funcionamiento del ecommerce, sino que ha tenido éxito a la hora de infiltrarse en sus bases de datos, de tal manera que los agresores han tenido acceso a los datos personales y financieros de los clientes de la tienda online. En este caso, las repercusiones económicas y reputacionales se agravan y entran en juego posibles consecuencias legales por la desprotección de los datos de los ciudadanos.

2.2. Cumplir con los requisitos legales

Precisamente, las consecuencias legales nos llevan, directamente, a otra de las claves que explican por qué las compañías deben contratar servicios de pentesting y realizar una evaluación de riesgos de seguridad de sus sistemas y activos.

A estas alturas, todo el mundo ha oído hablar del Reglamento General de Protección de Datos (RGPD) que regula, como su propio nombre indica, la salvaguarda de la información en la Unión Europea. Lo mismo podríamos decir de su traslación al ordenamiento jurídico español, la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDG).

Ambas normas dan buena fe de lo relevante que es la protección de datos legal, social y económicamente en nuestra sociedad. Pero no son más que la avanzadilla de un sistema regulatorio cada vez más riguroso y que está poniendo énfasis en garantizar la ciberseguridad de las compañías, las administraciones públicas y los ciudadanos, sobre todo en lo que respecta a los sectores estratégicos, como pueden ser el financiero o el sanitario.

Así, las directivas PSD2 y NIS2, el reglamento DORA o el framework TIBER-EU del Banco Central Europeo inciden en el deber de que las compañías e instituciones realicen una evaluación de riesgos de seguridad de cara a protegerse frente a las vulnerabilidades y se armen para combatir con éxito las agresiones.

De tal manera que proceder a realizar una evaluación de riesgos de seguridad no solo es una cuestión fundamental en términos de negocio, sino que en muchos casos se convierte en un requisito legal que, de incumplirse, puede acarrear severas multas económicas.

3. ¿Cuáles son los objetivos de una evaluación de riesgos de seguridad?

Teniendo en cuenta las motivaciones que deben conducir a las compañías a implementar una evaluación de riesgos de seguridad, debemos, ahora, precisar cuáles son los objetivos de dicha operación. Es decir, ¿para qué? ¿Cómo puede contribuir a mejorar la protección de los sistemas y activos de una compañía?

3.1. Identificar los activos críticos de la organización

Una evaluación de los riesgos de seguridad busca, en primer lugar, identificar cuáles son los activos críticos de la compañía y, por ende, en cuáles resulta más importante detenerse de cara a hallar brechas de seguridad y vulnerabilidades.

Cada organización es un mundo y las diferencias entre compañías son múltiples. Tanto por su nivel de digitalización, como por el sector económico en el que desarrollan sus actividades y los requisitos legales a los que se ven sometidas.

Una entidad bancaria que cuenta con webs y aplicaciones de banca online y ha migrado al Cloud buena parte de sus sistemas tendrá unos activos críticos a proteger muy diferentes de los que puede tener, por ejemplo, una empresa que suministra productos alimenticios a cadenas de supermercados y que no tiene ninguno de sus activos en la nube, sino que su información está almacenada en un centro de datos.

Las aplicaciones, los servidores, la configuración de las redes, los dispositivos que se conectan a ellas, los software y herramientas que se emplean… Estos activos no tienen ni la misma configuración ni la misma relevancia en todas las compañías. Y, por lo tanto, tampoco deben tenerlo a la hora de diseñar e implementar una evaluación de riesgos de seguridad.

Este primer objetivo es importante porque para diseñar una estrategia de seguridad acorde a las necesidades y recursos de una compañía es fundamental conocer sus sistemas en profundidad.

Así, la evaluación de riesgos de seguridad debe partir de los elementos sometidos a dichos riesgos para, después, identificar cuáles son las vulnerabilidades existentes y que ponen en tela de juicio la protección de los activos críticos.

3.2. Detectar vulnerabilidades de seguridad que puedan ser explotadas

Una vez que se han identificado los sistemas, procesos e infraestructuras de la compañía, los profesionales a cargo de la evaluación de riesgos de seguridad podrán pasar a identificar las vulnerabilidades existentes en dichos activos.

En esta tarea, los servicios de pentesting pueden ser de gran valor, ya que sirven para encontrar y explotar vulnerabilidades simulando el comportamiento de atacantes reales. Además, el pentesting puede ser tan profundo como se precise para realizar la evaluación de riesgos de seguridad de la compañía.

Así, se puede realizar análisis de vulnerabilidades en la red interna/externa, empleando herramientas automatizadas para obtener una visión de las debilidades con mayor exposición y un mapa con las principales amenazas.

Pero también se puede llevar a cabo un pentesting en profundidad que sirva para infiltrarse en las redes y aplicaciones de la organización y rastrear todas las vulnerabilidades y vectores de ataque existentes en ellas.

3.3. Determinar las amenazas y analizar los riesgos

En función de los activos y las vulnerabilidades detectadas, los profesionales que realizan la evaluación de riesgos de seguridad pueden determinar cuáles son las amenazas a las que se enfrenta la compañía.

Para ello, deben tener en cuenta no solo las debilidades encontradas, sino también las metodologías y tácticas empleadas por los agentes maliciosos para explotar las vulnerabilidades de los activos.

A través del análisis conjunto de las vulnerabilidades y de las amenazas, se puede llevar a cabo una evaluación de los riesgos existentes y de la probabilidad de que sean explotados. Además, es posible predecir cómo se pueden desarrollar los incidentes de seguridad y qué consecuencias pueden llegar a tener en los sistemas de la compañía y en su propio funcionamiento. Atendiendo, también, a las derivadas económicas, reputacionales y legales.

De esta manera, la evaluación de riesgos de seguridad no solo sirve para hallar vulnerabilidades, sino que permite medir y evaluar los riesgos, analizar cómo pueden ser explotados y estudiar de qué manera se pueden producir los incidentes de seguridad, teniendo en cuenta los controles y medidas existentes.

3.4. Priorizar los activos a proteger y las vulnerabilidades a subsanar

En un escenario ideal, las organizaciones podrían subsanar la totalidad de vulnerabilidades detectadas y eliminar los riesgos de sufrir una intrusión maliciosa. Sin embargo, no todas las compañías asumen el mismo nivel de riesgos, ni cuentan con los mismos recursos económicos y humanos para afrontarlos. De esta forma, cada compañía define su propio apetito de riesgo estableciendo el nivel que está dispuesta a asumir.

De ahí que un objetivo fundamental de la evaluación de riesgos de seguridad sea priorizar tanto los activos que se deben proteger de manera más exhaustiva, como los riesgos más peligrosos que hay que tratar y mitigar.

La probabilidad de que se produzca un incidente de seguridad y su posible impacto en los activos de la organización, atendiendo al daño que puede producir y las consecuencias que puede desencadenar son claves a la hora de priorizar las medidas de mitigación.

3.5. Mitigar los problemas detectados

Precisamente, una vez que se han evaluado los riesgos y se han priorizado, deben desplegarse controles de seguridad y medidas para mitigar los riesgos y problemas detectados.

Esto implica que la evaluación de riesgos de seguridad no se limita a analizar las vulnerabilidades y medir el impacto de los incidentes, sino que ofrece los conocimientos necesarios para desplegar un plan de mitigación que atienda a los riesgos más probables y/o peligrosos para la organización.

Para ello, los profesionales que lleven a cabo la evaluación de riesgos de seguridad, elaborarán una serie de recomendaciones que la compañía debe implementar para limitar los riesgos, subsanar vulnerabilidades y optimizar las medidas, protocolos, controles y herramientas empleadas para securizar sus activos críticos.

3.6. Evaluar los protocolos, controles y medidas de seguridad existentes

Asimismo, la evaluación de riesgos de seguridad también sirve para analizar la estrategia de seguridad ya existente, así como el desempeño de sus controles y de los profesionales al cargo de la ciberseguridad.

Si se contrata un servicio de pentesting, la evaluación del funcionamiento de la estrategia de seguridad va a ser extraordinariamente veraz, puesto que los profesionales podrán comprobar de manera objetiva cómo responden los controles y protocolos existentes ante un ataque.

A la hora de realizar una evaluación de riesgos de seguridad, resulta tan importante detectar los vectores de ataque internos y externos como testear si las medidas implementadas son suficientes para afrontar los riesgos y proteger a los activos críticos de la compañía o no.

3.7. Actualizar las medidas de seguridad teniendo en cuenta las nuevas técnicas de los atacantes

Toda evaluación de riesgos de seguridad debe tener en cuenta las mejores prácticas que se llevan a cabo en el sector, así como las innovaciones implementadas por los agentes maliciosos a la hora de atacar los activos de las compañías.

En este sentido, este profuso estudio juega un papel trascendental a la hora de detectar nuevas vulnerabilidades, a la luz de la información que continuamente recopilan los profesionales sobre los ciberataques, así como en lo que respecta a actualizar las medidas de control, mitigación y remediación de las brechas de seguridad.

El mundo de la ciberseguridad está en constante evolución. Una evaluación de riesgos de seguridad no debe verse como una actuación concreta, aislada en el tiempo y que se puede realizar solo una vez. Puesto que los ataques, las estrategias, las metodologías, las técnicas y las propias aplicaciones cambian y se sofistican. Los activos que estaban plenamente protegidos en el pasado, pueden no estarlo ahora. Por eso, en el contexto de la estrategia de seguridad de la compañía debería plantearse la ejecución de pruebas de seguridad de forma periódica.

Así, la evaluación de riesgos de seguridad permite a las compañías optimizar su estrategia de seguridad y protegerse frente a las prácticas maliciosas más recientes, contribuyendo a una protección continua de sus activos.

4. ¿Qué elementos de una organización se pueden evaluar?

Al avanzar por la senda digital, las compañías y administraciones han ampliado el número de elementos que conforman sus sistemas, a la vez que estos han adquirido una mayor importancia para el funcionamiento de las organizaciones.

Así, los sistemas de una compañía están conformados por múltiples activos a tener en cuenta cuando se procede a realizar una evaluación de riesgos de seguridad.

4.1. Infraestructuras, sistemas, redes, aplicaciones y datos

• Las infraestructuras físicas: hardware, servidores, redes…
• Las infraestructuras en la nube.
• Los sistemas internos. Desde los sistemas operativos hasta los sistemas antimalware pasando por los sistemas de autenticación de los usuarios.
• Las redes internas y externas, incluyendo cortafuegos, filtros, etc. Prestando atención a los dispositivos IoT que se conectan a redes NFC, Bluetooth, WiFi…
• Las aplicaciones y software. Se deben evaluar las aplicaciones web, tanto las internas como las externas, así como las aplicaciones móviles en caso de existir.
• La información. En la evaluación de riesgos de seguridad adquiere gran relevancia el análisis de cómo se almacena y gestiona la información. ¿Cómo se almacenan los datos? ¿Cómo se clasifican? ¿Cómo se cifran? ¿Quién puede acceder a ellos?

4.2. Políticas de seguridad y cadena de suministros

• Las políticas de seguridad de la organización. Los planes de continuidad de negocio, los protocolos de actuación en caso de incidente, los sistemas de gestión de riesgos, los planes de disaster recovery… Como ya hemos señalado anteriormente, el análisis de la estrategia de seguridad es una de las claves de cualquier evaluación de riesgos de seguridad.
• La cadena de suministros. Ante el refuerzo de la seguridad que están llevando a cabo las organizaciones, muchos atacantes están optando por atacar a estas compañías a través de otras empresas con las que se relacionan, como es el caso de sus proveedores. Así, a la hora de efectuar una evaluación de riesgos de seguridad es preciso tener en cuenta los riesgos vinculados a la cadena de suministros. De nada sirve securizar los sistemas, si un proveedor con acceso a ellos no se ha fortalecido frente a las agresiones.

5. ¿Cómo se lleva a cabo una evaluación de riesgos de seguridad?

A lo largo de este artículo hemos abordado los motivos, objetivos y activos a tener en cuenta a la hora de apostar por efectuar una evaluación de riesgos de seguridad en una compañía o administración pública. Pues bien, ¿cómo se realiza dicha evaluación? ¿Qué pasos la conforman?

5.1. Definición de los objetivos teniendo en cuenta los activos, los requisitos legales y los recursos de la organización

Antes de diseñar e implementar una evaluación de riesgos de seguridad es indispensable definir los objetivos de la misma, así como su alcance a la hora de evaluar los sistemas de la compañía.

Para ello, los profesionales que van a realizar la evaluación deben reunirse con los responsables de la seguridad y del área de negocio en el seno de la organización.

De cara a definir los objetivos y el alcance es preciso tener en cuenta los requerimientos legales. Es decir, qué requisitos de seguridad debe cumplir la compañía de acuerdo a las normativas en vigor.

Asimismo, también juegan un papel fundamental los recursos económicos que la empresa o institución puede o desea destinar a la realización de la evaluación de riesgos de seguridad y a la mitigación de las vulnerabilidades que se detecten.

5.2. Reconocimiento de los activos y de las políticas de seguridad

Una vez definidos los objetivos y el alcance de la evaluación de riesgos de seguridad, los profesionales pondrán en marcha una fase inicial de la misma.

Durante esta primera fase se procederá a reconocer los activos y los controles y protocolos de seguridad haciendo uso de diversas técnicas para obtener la mayor información posible sobre ellos.

Esta labor de recopilación de datos será de crucial importancia a la hora de detectar las vulnerabilidades y precisar las amenazas a las que tiene que hacer frente la empresa.

5.3. Identificación de las vulnerabilidades

Esta fase gira en torno al análisis de la información recopilada durante la fase previa de reconocimiento.

A partir de dicho análisis, los profesionales proceden a identificar las vulnerabilidades existentes en cada uno de los activos que se haya decidido evaluar.

Esto resulta crucial a la hora de estipular los riesgos de seguridad y priorizarlos.

5.4. Explotación de los riesgos

Apostar por servicios de pentesting a la hora de realizar una evaluación de seguridad permite que profesionales altamente cualificados exploten las vulnerabilidades identificadas, evaluando su nivel de riesgo, la probabilidad de que sean empleadas por agentes maliciosos para atacar a la organización y estudiando cómo pueden desenvolverse los ataques.

Mediante la explotación se pueden explorar cuestiones clave como la persistencia, la capacidad de movimiento lateral dentro de los sistemas o la posibilidad de realizar una exfiltración de información.

Al poner en marcha esta fase, se obtiene una panorámica realista de cómo impactarían los ciberataques en los activos de la organización, cómo de eficientes son las políticas de seguridad implementadas y cuáles son las amenazas que suponen un mayor nivel de riesgo.

5.5. Elaboración de informes con las evidencias y recomendaciones

Las evaluaciones de riesgos de seguridad se efectúan con la misión central de subsanar las deficiencias de seguridad existentes y minimizar el riesgo de ataques exitosos, así como su impacto y consecuencias.

Por ello, los profesionales que la realizan deben poner negro sobre blanco todos los datos recogidos, sistematizados y analizados.

En los informes que entreguen a los responsables de la compañía o institución deben figurar todas las técnicas y acciones puestas en marcha, las evidencias recopiladas, las debilidades detectadas y, especialmente, las recomendaciones para mitigarlas y prevenir problemas futuros.

Los resultados obtenidos pueden incluso vincularse con estándares y marcos normativos para obtener una visión de su grado de cumplimiento e identificar los puntos que necesitan acciones correctivas. Dependiendo de la naturaleza de los activos analizados y de los objetivos marcados del análisis de riesgos, estándares como OWASP, NIST, CIS, etc. pueden servir como hoja de ruta para definir el estado actual y las posibles acciones futuras.

Con toda esta información en la mano, los departamentos encargados de la remediación de vulnerabilidades deberán subsanarlas, teniendo en cuenta su nivel de riesgo y los recursos que tienen a su disposición.

Asimismo, es importante hacer hincapié en las tareas de prevención. En ellas juegan un papel crucial las políticas de seguridad y las medidas puestas en marcha para detectar vulnerabilidades y amenazas y para responder de manera óptima a los ataques.

Cabe señalar, también, que la prevención pasa por una mayor concienciación tanto de los responsables que toman las decisiones en materia de seguridad, como de todos los profesionales que trabajan en la organización. Puesto que los usuarios son, muchas veces, el eslabón débil del sistema de seguridad y abren las puertas a los ataques actuando de manera poco precavida.

5.6. Revisión de la efectividad de la estrategia de seguridad

La implementación de las recomendaciones enarboladas por los evaluadores es clave para sacarle todo el partido a la evaluación de riesgos de seguridad. Las compañías deben monitorear su implantación y analizar su nivel de efectividad.

Además, como ya indicamos anteriormente, es importante señalar que la evaluación de riesgos de seguridad nos ofrece una visión amplia, clara y precisa de las vulnerabilidades y las amenazas en el momento en el que se realiza. Pero éstas pueden cambiar en el futuro, al igual que se transforman las técnicas y metodologías que emplean los atacantes. Por ello, este tipo de estudio no debe ser visto como un ejercicio puntual, sino como un elemento más de una estrategia de seguridad integral.

Para que esto suceda, es fundamental que las compañías, sobre todo aquellas más avanzadas digitalmente y/o que operan en sectores estratégicos (la banca, la energía, las telecomunicaciones…) deben situar la ciberseguridad en el centro de su estrategia empresarial.

En definitiva, la evaluación de riesgos de seguridad permite a las compañías detectar sus vulnerabilidades, ser conscientes de las amenazas a las que se enfrentan y tomar las medidas necesarias para reducir los riesgos y evitar incidentes de seguridad que puedan llevarse por delante su propio negocio.