+34 914 230 991 info@dotforce.es

Cómo remediar la falta de inversión en ciberseguridad

28 diciembre 2020

Cómo remediar la falta de inversión en ciberseguridad

Artículo de Zane Ryan publicado en Computing.

Todo el mundo dice que no hay seguridad al 100%. Pues así empezamos derrotados. Imagínese que quiere construir una casa y viene un constructor encantado y le dice, puedo construirle una casa pero no puedo garantizar que no se derrumbe, ¿lo contrataría? Es una realidad que estamos sujetos a ciberataques todos los días, pero esto no quiere decir que aceptemos la derrota como una posibilidad. El cerdito que construyó la casa que no derribó el lobo es un campeón. Nosotros también podemos derrotar a nuestros enemigos.

De la misma forma, imagínese que el Servicio Secreto le dice a Donald Trump: “No podemos garantizar su seguridad, señor presidente”. El trabajo del Servicio Secreto es garantizar la seguridad del presidente mientras le permite realizar su trabajo, como tener reuniones, viajar, hacer campaña y bombardearnos con tuits escandalosos. Aun habiendo convencido a los altos directivos de que no podemos garantizar el 100% de seguridad, cuando haya una brecha de seguridad, ¿quién será despedido? Lo único seguro es que los altos directivos conservarán su cargo.

Al resignarse a que no exista una seguridad al 100%, las organizaciones terminan invirtiendo menos de lo que deberían en ciberseguridad, o crean una ciberdefensa abocada al fracaso. Creer que no se puede lograr el 100% de seguridad nos empuja a crear procedimientos defectuosos. Y eso nos lleva a rendirnos y sacar la bandera blanca. Nos preparamos para el fracaso antes de empezar. A los ciberdelincuentes les encanta eso. Pero lo más divertido es que hay fabricantes de soluciones de ciberseguridad que utilizan el miedo como argumento de venta.  Por un lado, nos dicen que sus soluciones nos dan una seguridad completa, pero por otro lado nos dicen no hay nada que pueda garantizar el 100% de seguridad.

Garantizando la ciberseguridad

Según una encuesta de Marsh-Microsoft publicada en octubre de 2019, solo el 11% de los 1500 encuestados dijeron que tenían un alto grado de confianza en la capacidad de su organización para evaluar, prevenir o responder a las amenazas cibernéticas. Entonces, ¿por qué nuestros jefes deberían confiar en nosotros, cuando nosotros mismos, como profesionales de ciberseguridad, les decimos que no podemos lograr el 100% de seguridad?

Si no se puede garantizar el 100%, ¿cuánta seguridad se puede garantizar, 10%, 50%, 80%, 90%? ¿sabemos cómo medirla? ¿Lo ha hecho alguna vez? Puede ser que sí, o puede ser que no. En caso de encontrar vulnerabilidades, podemos asumir que habrá procedido a solucionarlas gracias a un plan y una política de seguridad bien documentados, que ha permitido realizar un análisis de riesgos. Pero un análisis de riesgo dista mucho de ser un análisis de seguridad. En el arte, el resultado final es algo bello, mientras que, en la ciencia, la belleza está en la efectividad de los medios que utilizamos para alcanzar los resultados finales.

Como profesionales de la ciberseguridad, somos científicos. No somos artistas. Por lo tanto, debemos usar la ciencia para definir nuestra estrategia de ciberdefensa. Por suerte, a un solo clic de nosotros tenemos las herramientas científicas necesarias. Casi todas estas premisas vienen de la metodología Open Source Security Testing Methodology (OSSTMM), un sistema donde hay que aplicar el pensamiento crítico, y por tanto la ciencia, para medir la seguridad.

No voy a discutir si es o no es posible alcanzar el 100% de seguridad. La verdad es que la causa de la mayoría de las brechas de seguridad en empresas como SONY, Target y muchas entidades españolas cuyos nombres no voy a mencionar, es la mala gestión e insuficiente inversión, y no la inexistencia de buenas soluciones y de procedimientos de seguridad. Como profesionales de ciberseguridad, no tenemos que estar predestinados al fracaso.

Analizando la superficie de ataque

Existen diferentes metodologías para calcular el nivel de seguridad. El OSSTMM, anteriormente mencionado, brinda una forma verificable de evaluar y medir la seguridad. Si el resultado es inferior al 100%, la metodología ayuda a identificar los puntos débiles para que puedan ser enmendados, y si es superior al 100%, existe demasiada seguridad, lo cual es ineficiente.

El análisis de riesgos no es lo mismo que el análisis de seguridad. En el análisis de seguridad nunca se analiza el riesgo, mientras que el análisis de riesgos asume que se conocen todas las amenazas detectadas y cuándo se sufrirá un ataque. En el análisis de seguridad, uno estudia y mide la superficie de ataque de un posible objetivo y su entorno, que es precisamente lo que hace un hacker malicioso. Busca los puntos débiles y los explota con cualquier herramienta que pueda encontrar y, por supuesto, no hace un análisis de riesgos para montar el ataque.

El análisis de seguridad garantiza que los controles correctos estén en su lugar y que funcionan como deben. Se llama Seguridad operacional “OpSec”. Según OSSTMM, la seguridad correcta es una ecuación perfectamente equilibrada que se obtiene al calcular la superficie de ataque + limitaciones + vulnerabilidades contra los controles. Existe una formula científica para calcular la seguridad adecuada con precisión:

 

formula

Mi propósito en este articulo no es mostrar cómo se puede obtener científicamente el 100% de seguridad, esto es una tarea que se debe realizar a medida en cada organización. Mi objetivo es mostrar lo perjudicial que es creer que no se puede lograr el 100% de seguridad. Como profesionales de ciberseguridad debemos tener confianza en nosotros mismos para hacer mejor nuestro trabajo. Y para que nuestros jefes tengan confianza en nosotros y hagan las inversiones adecuadas en ciberseguridad.

Consulte el portafolio de soluciones de ciber seguridad ofrecidas por DotForce aquí.

PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan
PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan

Artículos relacionados

Active Directory, ese extraño desconocido para el XDR

Active Directory, ese extraño desconocido para el XDR

En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD). Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.

El metaverso: Guía para torpes

El metaverso: Guía para torpes

Cuando Mark Zuckerberg cambió el nombre de Facebook a Meta, a muchos les pilló por sorpresa y ahora muy pocos saben qué es Meta y la revolución que el metaverso está causando. Por si fuera poca la euforia, ahora las grandes marcas, como Adidas, también se están...

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: un poco de contexto actual Desde hace un par de semanas está circulando por internet un vídeo falso del presidente Zelensky en donde pide a sus tropas que depongan las armas y se rindan a las fuerzas rusas. Este vídeo (deepfake) circuló en las redes...

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede obtener más información en el siguiente enlace. Más información

POLITICA DE COOKIES Dot Force S.L. utiliza cookies en sus sitios web para atender a nuestros visitantes de acuerdo con este aviso de cookies. Puede obtener más información sobre esto a continuación. Si no acepta el uso de estas cookies, desactívelas siguiendo las instrucciones más abajo en esta página o cambie la configuración de su navegador para que las cookies de este sitio web no puedan enviarse ni almacenarse en su dispositivo. Acerca de las cookies Una cookie de Internet es un pequeño archivo que se envía desde un sitio web y se almacena en la computadora, tableta o dispositivo móvil de un usuario cuando visita un sitio web. Suelen ser anónimos y se utilizan con fines de mantenimiento de registros, pero pueden contener información sobre su visita a un sitio web en particular, como el estado de inicio de sesión, la personalización y las preferencias publicitarias, etc. Las cookies tienen un tiempo de vida predefinido, después del cual no se podrán utilizar y se eliminarán automáticamente. Las cookies pueden ser cookies "persistentes" o de "sesión". El navegador almacenará una cookie persistente y seguirá siendo válida hasta la fecha de caducidad establecida, a menos que el usuario la elimine antes de la fecha de caducidad. Una cookie de sesión, por otro lado, caducará al final de la sesión del usuario cuando se cierre el navegador web. Algunas cookies extremadamente persistentes que pueden persistir después de la eliminación se denominan "Evercookies". Uso de cookies DotForce no utiliza Evercookies. Todas nuestras cookies caducan automáticamente, después de lo cual se eliminarán de su dispositivo. Nuestras cookies no contienen ninguna información que lo identifique personalmente, pero la información personal que almacenamos sobre usted puede ser vinculada, por nosotros, a la información almacenada y obtenida de las cookies. Podemos utilizar la información que obtenemos de su uso de nuestras cookies para los siguientes propósitos. - Para reconocer su computadora cuando visita nuestro sitio web; - Para mejorar la usabilidad del sitio web; - Para analizar el uso de nuestro sitio web; - En la administración de este sitio web; - Cookies de terceros Cuando utiliza nuestro sitio web, también puede recibir cookies de terceros. Nuestros proveedores de servicios pueden enviarle cookies. Pueden usar la información que obtienen de su uso de sus cookies: - Para rastrear su navegador a través de múltiples sitios web; - Para construir un perfil de su navegación web; - Para dirigir anuncios que puedan ser de su interés particular.   Desactivación y/o eliminación de cookies Los navegadores web permiten a los usuarios controlar o eliminar cualquiera o todas las cookies almacenadas en el navegador, esta funcionalidad es común en la mayoría de los navegadores. La mayoría de los navegadores le permiten negarse a aceptar cookies. Por ejemplo: en Internet Explorer puede rechazar todas las cookies haciendo clic en "Herramientas", "Opciones de Internet", "Privacidad" y seleccionando "Bloquear todas las cookies" con el selector deslizante en Firefox puede bloquear todas las cookies haciendo clic en "Herramientas", "Opciones" y desmarcando "Aceptar cookies de sitios" en el cuadro "Privacidad". Sin embargo, bloquear todas las cookies tendrá un impacto negativo en la usabilidad de muchos sitios web. Lista de Cookies Nuestros sitios web y servicios pueden utilizar cualquiera o todas las siguientes cookies: Nombre: _gid Propósito: Esta cookie es utilizada para Google Analytics Tipo: Persistente Duración: 3 Meses  Cookies pasadas y activas Si ha deshabilitado una o más cookies analíticas o de contenido, es posible que aún tengamos información recopilada de cookies que no hayan expirado antes de que se establezca su preferencia deshabilitada. Sin embargo, dejaremos de usar las cookies deshabilitadas para recopilar más información. Una vez que las cookies no caducadas hayan caducado, se eliminarán de su sistema.

Cerrar aviso