¿Cómo poner a prueba la ciberseguridad de una empresa?

Para garantizar la continuidad de negocio y evitar que un ciberataque cause grandes daños es fundamental poner a prueba la ciberseguridad de una empresa de manera continua

Hace unos días, se produjo un ciberataque contra Change Healthcare, un software empleado por la mayoría de farmacias y sistemas sanitarios de Estados Unidos para gestionar el pago de las recetas de medicamentos a través de seguros médicos. Como consecuencia de ello, se desconectaron los sistemas para contener el ataque y se registraron interrupciones durante días, causando:

• La parálisis de miles de farmacias, pero también de hospitales.
• La puesta en marcha de sistemas para procesar los medicamentos de manera offline.
• Retrasos de una semana en la suministración de medicamentos prescritos a los pacientes.
• Que los pacientes que necesitaran los medicamentos de manera urgente procedieran a pagarlos de su bolsillo, asumiendo costes que en algunos casos han sido elevados.

Este grave incidente de seguridad, que afectó a UnitedHealth Group, la mayor compañía del sector sanitario estadounidense y propietaria del programa, evidencia lo importante que es poner a prueba la ciberseguridad de una empresa para:

• Proteger la continuidad de negocio y conseguir que los procesos empresariales se desarrollen con normalidad.
• Evitar incumplimientos normativos que afecten a la protección de datos de carácter personal y conlleven penalizaciones económicas cuantiosas y dañen la reputación de una empresa, dependiendo del nivel de repercusión.

En este artículo vamos a explorar qué medidas se pueden implementar para poner a prueba la ciberseguridad de una empresa. Además, vamos a detenernos en el papel que juegan los servicios de ciberseguridad, la posibilidad de automatizar pruebas y por qué es crítico formar y concienciar a todos los profesionales de una organización para prevenir los ataques y responder a ellos de manera eficaz.

¿Qué medidas básicas se deben aplicar para proteger los procesos de negocio?

Antes de poner a prueba la ciberseguridad de una empresa, es fundamental implementar una serie de medidas básicas para diseñar una estrategia de ciberseguridad eficiente:

• A nivel tecnológico:
  • Autorización y ley del mínimo privilegio.
  • Cifrado de comunicaciones.
  • Registro de actividades.
  • Políticas de complejidad y rotación de contraseñas de usuario.
  • SSO (Single-Sign-On).
  • Doble factor de autenticación.
• A nivel de negocio:
  • Seguir una metodología de análisis de riesgos adecuada.
  • Identificar los activos de negocio críticos y el intangible que se debe proteger.
  • Determinar la exposición en internet para poder gestionar la superficie de ataque de forma adecuada.

¿Qué actuaciones se pueden realizar para poner a prueba la ciberseguridad de una empresa?

Actualmente, las compañías pueden recurrir a diversos servicios de ciberseguridad especializados para poner a prueba la ciberseguridad de una empresa:

• Servicios de Identificación de activos de perímetro y ejercicios OSINT para la mejora de procesos de control de inventario y gestión de la ciberexposición de la compañía.
• Tests de intrusión avanzados:
  • Externos para evaluar la seguridad del perímetro, identificando agujeros o fallos de seguridad que puedan permitir una intrusión en redes internas.
  • Internos para analizar la seguridad de la infraestructura interna identificando agujeros o fallos de seguridad que puedan permitir a un ciberdelincuente hacerse con el control de los principales sistemas corporativos.
• Revisión de seguridad de aplicaciones para evaluar la seguridad de aplicaciones web, móvil, APIs y webservices, en base a una metodología reconocida, normalmente OWASP para este tipo de activos. Estas pruebas han de realizarse tanto en el código fuente como en tiempo de ejecución.
• Red Team para evaluar las capacidades de detección y la resiliencia de una compañía.
• Evaluación de seguridad de redes inalámbricas (WiFi) y test de intrusión para simular posibles ciberataques desde este tipo de redes.
• Denegaciones de Servicio controladas para analizar la capacidad de una compañía de contener este tipo de ataques.
• Test de intrusión de entornos cloud para evaluar la seguridad de infraestructuras cloud (Azure, Google Cloud Platform, AWS).
• Descubrimiento de vectores de ataque en directorio activo (cloud y legacy), planteando ejercicios de simulación de malware.
• Campañas de ingeniería social (phishing, vishing, smishing), para evaluar las defensas tecnológicas frente a estos ataques y el nivel de madurez de los empleados y de los soportes a cargo de la gestión de incidentes, contribuyendo, además, a concienciarlos.

¿De qué manera puede una pequeña empresa comprobar su nivel de seguridad?

El 43% de los ciberataques van dirigidos contra pymes, con el objetivo de aprovecharse de que, generalmente, presentan un nivel de seguridad inferior al de las grandes compañías. Por eso, es crucial que las pequeñas y medianas empresas puedan medir su nivel de seguridad e incrementar sus capacidades defensivas. ¿Cómo?

1. Detectando y corrigiendo vulnerabilidades en su parque tecnológico tanto de forma externa como interna, para lo cual se podrían apoyar en servicios de análisis de vulnerabilidades y tests de intrusión.
2. Realizando ejercicios de visibilidad desde la perspectiva de los empleados (red interna, accesos WiFi, VPN, etc) para comprobar la robustez de los accesos y los privilegios otorgados, importante en la actualidad con la migración a trabajo híbrido y remoto.
3. Comprobando si los móviles y portátiles de los empleados son seguros desde un punto de vista de bastionado de seguridad y si disponen de la protección adecuada.
4. Comprobando la seguridad de las comunicaciones con terceros y privilegios asociados que pudieran suponer un riesgo frente a la aparición de malware/gusanos.
5. Identificando y mejorando el nivel de resiliencia ante ataques, para lo cual se podrían realizar ejercicios de Red Team.

¿Es posible poner a prueba la ciberseguridad de una empresa de manera automática?

Hoy en día, existen herramientas que sirven para ejecutar escaneos automáticos y detectar vulnerabilidades conocidas. Son eficaces a la hora de detectar este tipo de vulnerabilidades, pero es necesario complementar su uso con pruebas manuales para hacer una revisión de seguridad completa e identificar fallos de seguridad que las herramientas automáticas no identifican.

Además, es necesario que expertos en ciberseguridad revisen los resultados de los análisis para:

• Determinar si las vulnerabilidades descubiertas tienen o no la relevancia adecuada.
• Filtrar posibles falsos positivos o negativos.
• Aportar inteligencia identificando posibles quick-win y otro tipo de indicadores.
• Ordenar y priorizar las vulnerabilidades de forma coherente para facilitar los planes de remediación posteriores.

En los últimos años se han desarrollado, también, otras herramientas que nos permiten evaluar la seguridad del código de aplicaciones de forma estática y dinámica, ayudándonos en los procesos de mejora de la seguridad en el ciclo de vida de desarrollo. Estas herramientas realizan multitud de tareas automáticas que agilizan los procesos de identificación y nos permiten asociar metodologías de análisis y cumplimiento.

De todas formas, requieren de una gestión y analítica posterior para optimizar los resultados. Adicionalmente, estas herramientas deberían ir acompañadas de procesos de aprendizaje en desarrollo seguro y formación a desarrolladores.

Por último, existen en la actualidad cada vez más herramientas que permiten automatizar ciertos procesos de simulación de ataques. Estas resultan útiles para crear ejercicios a gran escala cuando los niveles de madurez de procesos de mitigación de amenazas y remediación de vulnerabilidades son altos. Aunque hay que tener en cuenta que deben ser empleadas por expertos que sepan aprovechar al máximo sus capacidades y conozcan:

• El contexto de las infraestructuras tecnológicas a evaluar.
• Las prioridades de la organización.
• Los ejercicios que tiene sentido realizar en cada momento, en colaboración con otras áreas de soporte técnico, como el Blue Team.

¿Qué papel juegan las personas en la ciberseguridad de una empresa?

Personas, tecnología y procedimientos han de estar suficientemente dimensionados y optimizados para poder llevar a cabo la práctica de la seguridad, puesto que las personas son claves tanto en la toma de decisiones, como a la hora de operar la tecnología disponible según los procedimientos establecidos.

En este sentido, es importante instaurar una cultura de ciberseguridad en una organización. Para ello, es necesario tener en cuenta todos los procesos vinculados a la identidad corporativa, revisándolos y gestionándolos de forma eficiente para evitar:

• La pérdida o robo de credenciales
• La suplantación de usuarios.

¿Qué medidas concretas se pueden poner en marcha para conseguirlo?

• Actividades de formación y sensibilización para ayudar a los profesionales a identificar riesgos y conseguir que estos sean reportados debidamente.
• Diseñar protocolos de compartición de información sobre posibles incidentes de seguridad para que se reporten a los soportes técnicos encargados de gestionarlos.

¿Cómo se puede responder ante un ataque contra una empresa?

Todos los días se producen ataques que pueden poner a prueba la ciberseguridad de una empresa. Por eso, aunque se hayan implementado medidas idóneas para prevenir los ataques y mitigar las vulnerabilidades, es crítico disponer de mecanismos de respuesta ante incidentes eficaces:

• Detectar y responder proactivamente ante actividades maliciosas que se estén realizando en los activos de la empresa, para lo cual se podrían utilizar servicios de Threat Hunting
• En situación de incidente de seguridad, disponiendo de un servicio capaz de ayudar a la empresa la vuelta a la normalidad. Esto podría realizarse mediante la contratación de un servicio de Respuesta a Incidentes.

En definitiva, poner a prueba la ciberseguridad de una empresa es una actividad estratégica crítica para evitar que un ciberataque pueda amenazar la continuidad de negocio, paralizar el funcionamiento regular de una compañía y provocar consecuencias de gran envergadura tanto económicas, como reputacionales y legales.