ciberseguridad ¿Qué zonas deben protegerse?

Ámbitos en los que los CISO deberían ser más cautelosos

Proveedores de servicios, clientes, gobierno central, SecOps, sitios físicos... en términos absolutos, ¡vale la pena examinar cada punto de entrada al SI! En la práctica, sin embargo, parece que la amenaza se cierne sobre ciertas áreas en particular.

Hoy en día, los ciberdelincuentes han comprendido claramente la ventaja de no atacar directamente a las empresas, sino de utilizar superficies de ataque intermedias (subcontratistas, proveedores de servicios, etc.). De hecho, el riesgo parece haber sido bien identificado, y la ANSSI trabaja actualmente en un reglamentación de requisitos aplicables a los PAMS (proveedores de servicios de administración y mantenimiento seguros).

En cambio, parece haber menos vigilancia cuando se trata de las filiales, a pesar de que son igual de susceptibles de causar daños en cadena. A menudo remotas, son poco visitadas y, por tanto, fácilmente olvidadas, un fenómeno que se agrava en las organizaciones donde la dinámica de compra y venta es importante. ¿Qué se puede hacer cuando una filial parece especialmente expuesta a las amenazas, pero no dispone de recursos para hacerles frente?

En nuestra opinión, el CISO sólo tiene dos opciones una vez que ha presentado la situación a su alta dirección, haciendo hincapié en el riesgo de una "bala perdida": pedir que se corten los enlaces técnicos para contener cualquier ataque, o solicitar recursos suficientes para que la filial vuelva a tener un nivel de seguridad satisfactorio.

Si bien la gestión de ciberseguridad a través del cumplimiento de la normativa es ya una base excelente para proteger a la empresa, el método tiene sus límites. En efecto, reglementaciones no lo cubre todo y, en particular, no cubre lo que hace única a una empresa, es decir, sus negocios y su forma de operar.

Pero este punto ciego puede ser motivo de preocupación, ya que muy a menudo se subestiman los riesgos asociados a las TI en la sombra. En un tutorial sobre Cloud Discovery, Microsoft ofrece las siguientes estimaciones.

• Cuando un administrador de TI imagina que hay 30 o 40 aplicaciones diferentes utilizadas por los empleados, en realidad hay 1.000 dentro de la organización.
• De todas las aplicaciones utilizadas, el 80% no han sido examinadas y pueden no cumplir la política de seguridad.

Estas cifras demuestran que existe un interés real en examinar no solo las líneas de negocio, sino también las aplicaciones que las soportan. Y más teniendo en cuenta que las consecuencias pueden ser gravísimas, como ilustra el ataque ransmoware sufrido por Altran en enero de 2019. Como explicó el CEO Dominique Cerruti, los atacantes utilizaron como punto de entrada una aplicación web mal configurada con una contraseña predeterminada. A esto le siguió el bloqueo de todos los correos electrónicos, líneas telefónicas y herramientas de comunicación.

Mapping, el primer paso de cualquier estrategia de marketing ciberseguridad

Sea cual sea el modo de funcionamiento de la organización a la que pertenecen, los CISO nunca pueden estar en todas partes. ¿Debería ser esto una preocupación para la seguridad de la empresa? No necesariamente, siempre que tengan una visión de conjunto que les permita asignar los recursos al lugar adecuado.

Según el estudio de Forrester encargado por Tenable en agosto de 2020 (The rise of security managers aligned with business objectives), los CISO siguen adoleciendo de una gran falta de visibilidad de los activos empresariales.

Cuando se trata de aplicaciones, datos, TI y plataformas en la nube, el 70% considera que tiene una "visibilidad alta o completa". Sin embargo, la cifra desciende al 60 % en el caso de los dispositivos IoT, móviles y de Internet de las cosas, así como de los empleados que trabajan in situ. A continuación, desciende a poco más del 50 % cuando se trata de empleados remotos, proveedores de servicios y socios externos.

¿Cómo comprender globalmente los riesgos en estas condiciones? La única solución es cartografiar los riesgos en toda la organización, para obtener una visión macroscópica. Se trata de un trabajo minucioso, incluso laborioso, pero es absolutamente esencial si no queremos olvidar nada y evitar tratar las áreas en silos.

Por tanto, corresponde a cada CISO "cartografiar" todo su ecosistema y construir su propio marco. Esta visión de conjunto servirá de base para reflexionar sobre una serie de cuestiones.

• ¿Cuáles son los puntos de entrada al sistema de información?
• ¿Qué necesidades son comunes a los distintos ámbitos identificados?
• ¿Cuáles son las necesidades específicas?
• ¿Qué se comparte con el exterior (datos de archivos, aplicaciones, etc.) y con qué nivel de seguridad?

Dado que los recursos humanos y financieros son limitados, ciberseguridad sólo puede basarse en un principio de protección heterogénea de los ámbitos. La adopción de una visión global permite identificar los ámbitos en los que el riesgo es mayor, ya sea porque afecta directamente a la actividad de la empresa o porque concierne a su potencial creativo (I+D).

En este sentido, el mapeo ayuda a construir una estrategia significativa para ciberseguridad : el CISO identifica dónde deben centrarse los esfuerzos, pero también dónde el riesgo puede considerarse aceptable. El ejercicio también tiene el mérito de facilitar la comunicación con la dirección. Como es lógico, es mucho más fácil conseguir su apoyo (¡y presupuestos!) proponiendo una presentación clara de los riesgos de alta prioridad y de los recursos necesarios para hacerles frente.