DEFENSA CIBERNÉTICA
Simular ataques y registrar los datos que mueve la empresa son claves para saber su estado de compromiso
Al hablar de ciberseguridad, no se trata de si será atacado, sino de cuándo. “Las empresas deben ponerse en la situación de que ya han sido víctimas”, destaca Pablo Dubois, gerente de Productos de Seguridad de CenturyLink para América Latina.
Más aún, señala Ricardo Villadiego, fundador y gerente general de Lumu, “cuando una organización invierte millones en arquitectura de ciberdefensa, lo que busca es evitar estar comprometido; sin embargo, nadie mide si efectivamente lo está”.
Con aquello en mente, de acuerdo con Juan Pablo Arias, subgerente de Soluciones de Tecnología en Adexus, hay varios indicadores que una empresa puede usar para identificar si sus sistemas han sido comprometidos, o sea, si han sufrido ataques exitosos y su seguridad ha sido penetrada sin que nadie en la organización se diera cuenta.
Antes que nada, enfatiza Arias, es necesario que la empresa decida cómo gestionará esos análisis, definiendo una política de ciberseguridad. Porque estas no siempre existen: según Eset, en 2018 en Chile solo un 54% de las firmas señaló tener procesos de auditoría sobre sus procesos de ciberseguridad, y un 43% manifestó no haber tenido o detectado incidentes de seguridad ese año.
Entre los indicadores, el ejecutivo de Adexus menciona los análisis de cumplimiento normativo, de los peaks de solicitudes que reciben los archivos de la compañía, y del nivel de concientización de sus empleados.
Asimismo, toda empresa debería preparar un equipo de seguridad digital, señala Dubois. Lógicamente, su capacidad de hacerlo dependerá de su madurez y de sus recursos, agrega. Además, señala que existe una escasez de expertos del rubro en América Latina, dificultando estas iniciativas.
Por la parte de los procedimientos, está la realización periódica de análisis de vulnerabilidad, explica Luis Lubeck, investigador de seguridad de Eset Latinoamérica. Entre ellos destacan los pentesting -“test de penetración”-, donde “de manera controlada se prueban las vulnerabilidades que pueden tener la infraestructura física y los procesos de manejo de información de una empresa, para evaluar el riesgo de una brecha o pérdida de información”, indica el experto.
Herramientas adecuadas
“Una gran ventaja”, señala Villadiego, de analizar el nivel de compromiso es romper a tiempo lo que llama el cyber kill chain , la cadena de pasos que sigue un ciberataque para lograr su objetivo.
Junto a lo anterior, Dubois llama a mantener sistemas internos de seguridad, que simplifican identificar brechas. Por ejemplo, implementar un SIEM – software administrador y eventos de seguridad-, que “toma información de distintas fuentes, no solo equipos de seguridad, también servidores o equipos de red”, explica el gerente de CenturyLink.
Un SIEM revisa los datos y busca eventos que puedan estar correlacionados: “Si vemos eventos separados no tenemos mucho indicio de lo que está pasando”, explica Dubois. “Pero cuando cruzamos información, descubrimos patrones”, asevera.
Villadiego detalla que una forma de determinar el estado de compromiso de una firma es revisando sus propios datos.
Lo anterior, por ejemplo, capturando “metadatos de todas las comunicaciones en la red, como resoluciones de DNS -nombres de dominio-, logs de acceso de firewalls y proxies , netflows -direcciones IP contactadas- y la carpeta de spam , que es información que todas las empresas tienen”.
El ejecutivo sostiene que lo ideal es cruzar todos esos datos para identificar, por ejemplo, si la empresa se está comunicando con cibercriminales.
A su vez, existen programas de threat intelligence -inteligencia de amenazas-, que “miran la empresa desde afuera, analizan qué pasa con los datos que entran y salen de ella, y a qué dirección IP (…) puede saber si hay comunicación con sitios de phishing , botnets o centros de comando y control, por ejemplo”, explica Dubois.
SIGA LEYENDO:
https://digital.elmercurio.com/2019/08/26/B/D33LR74B#zoom=page-width