Cabecera Home
Revista Segurilatam Edición impresa
Síguenos:
Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Enrique Polanco Abarca, Director de Ciberseguridad de Global Technology

Conoce tus vulnerabilidades antes de que otros lo hagan

Si hay algo en el siglo XXI que tiene mucho poder, es la información. Puede ser objeto de un ataque que lleve a nuestra empresa a un problema de bastante índole. Autor: Enrique Polanco Abarca, director de Ciberseguridad de Global Technology.

Es quizás un problema relativamente nuevo, ya que en otros momentos la información se registraba en papel, ocupando muchísimo volumen. Ello traía varios problemas emparejados como el de editar la información, que pasaba por hacer nuevas fichas, y, obviamente, el de su almacenaje.

Actualmente, ya nada se guarda en este tipo de formatos, todo está digitalizado y accesible en cualquier momento. Casi todo ha mejorado, pero es obvio que los problemas no han desaparecido y hay algunos que se han acrecentado. Pongamos un ejemplo: un empleado quiere acceder a una información que se guarda en la nube. Para ello, inicia su sesión y accede a ella. Deja su computador encendido y se marcha un rato. Cualquier persona que pase por su puesto puede utilizar esa información. Efectivamente, se trata de un caso muy común y que puede que no entrañe demasiados riesgos… O quizá sí. Lo sorprendente es que activando un check en nuestro software de autenticación, esta vulnerabilidad quedaría mitigada.

La seguridad de los sistemas de información está sometida a un reto permanente. Y este no es otro que el de la rapidez con la que los ataques proliferan y cambian su manera de actuar. Lo que hace un tiempo era un agujero de seguridad, ahora ha mutado y es más difícil de resolver. Los atacantes van siempre un paso por delante de los informáticos, de tal manera que las soluciones suelen aplicarse a posteriori, una vez que el daño se ha materializado. Razón por la que la figura del hacker ético es demandada con más frecuencia que nunca.

Seguridad informática

De todas las posibles definiciones, quizás la mejor sea la que ofrece el estándar para la seguridad de la información ISO/IEC 27001, aprobado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC), que define la seguridad informática en los siguientes términos: “La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio”.

Como elemento clave encontramos la palabra “información”, que si en 2005 ya tenía un valor fundamental, 14 años más tarde es aún mucho más relevante. El cómo manejan las empresas la información es vital en muchos aspectos; basta echar un vistazo a cualquier noticiero para darse cuenta de ello.

Proteger la información no es sólo salvaguardar los datos, sino el propio soporte y los programas que son capaces de ejecutarlos. Podemos establecer una relación que sea Datos>Hardware>Software. ¿Por qué? Muy sencillo. Los datos no sirven de nada si su soporte físico, por ejemplo un disco duro, no tiene su mantenimiento. Si los programas encargados de abrir esos datos no reciben actualizaciones periódicas, los ponemos en peligro. Es obvio, los datos son el elemento más sensible, porque todos los demás pueden ser repuestos con facilidad. Si una empresa tiene una buena política de copias de seguridad, y es capaz de hacerlas de manera frecuente, la posibilidad de pérdida de información se ve minimizada.

Test de intrusión

Una forma de fortalecer los sistemas de información es la realización de un test de intrusión, también conocido como PenTest. Este tipo de pruebas tiene como misión mostrarnos el nivel de seguridad de los propios sistemas y cómo son capaces de resistir (o no) un ataque real. En definitiva, determina el nivel de seguridad de un sistema. El objetivo de un test de intrusión es el de identificar y evaluar las diferentes vulnerabilidades para conseguir eliminarlas o, al menos, minimizarlas, disminuyendo de forma general los riesgos.

Los tests de intrusión pueden ser tan amplios como se determine, definiendo como alcance todo el sistema de manera global o focalizando los esfuerzos en determinar el nivel de protección de una parte en concreto. De la misma forma, el nivel de conocimiento del “atacante” determina el éxito de la intrusión, siendo mayor cuanta más experiencia tenga en este tipo de tests.

¿Qué ha de medir un test de intrusión? Obviamente, evalúa el nivel de seguridad de nuestros sistemas y cómo son capaces de soportar un ataque. Básicamente, los tests de intrusión han de medir cómo se soporta un intento de acceso a determinados niveles, que son:

  • Información pública (accesible desde Internet).
  • Seguridad en red (escaneo de puertos, mapas de red).
  • Seguridad de sistemas (actualizaciones, configuraciones, sistemas de autenticación).
  • Aplicaciones y su configuración, autenticación, inicios de sesión.
  • Análisis de sistemas de seguridad (firewalls, malware, WAF, IDS-IPS, antivirus).

Detectar vulnerabilidades

Hay razones de peso para no dejar la seguridad de lado. Los hackers son cada vez más sofisticados, su grado de conocimiento y habilidad crece más rápido de lo que se piensa y son capaces de poner en jaque a cualquier entidad. Para detectar este tipo de vulnerabilidades, siempre se debe actuar con sentido común. No basta con ir aplicando las actualizaciones que nos soliciten los sistemas o desplegando sistemas de protección aleatoriamente. La seguridad es un concepto globalizado que no debe tener fisuras. Siempre debemos preguntarnos cuándo fue la última vez que tuvimos una amenaza y cómo fue resuelta, si estas vulnerabilidades afectan a la organización completa o a una parte del sistema. ¿O acaso activas la alarma de casa dejando las ventanas abiertas?

Confiar la ciberseguridad a empresas especializadas como Global Technology es una de las apuestas más sensatas. Normalmente, no sabemos lo vulnerables que somos hasta que padecemos las consecuencias, por lo que la prevención es una de las medidas de seguridad más acertadas. No debemos dejarlo para más adelante ni confiar en el pensamiento de que nunca vamos a ser atacados, porque quienes atacan lo hacen con un objetivo claro: robar nuestros datos, modificarlos y parar nuestros sistemas de información.

¿Merece la pena no saber dónde están los puntos débiles? Claro que no…. Contrata cuanto antes un servicio especializado de test de intrusión que identifique tus vulnerabilidades y entregue un plan de remediación priorizado.

Volver

Recibe GRATIS noticias en tu e-mail

¿Quieres estar informado? Ya puedes suscribirte de forma gratuita a nuestra newsletter