Escuchar
Cuando empezamos a hacer un plan de seguridad para nuestra organización, hablamos de proteger la información, proteger los activos, hacer seguras las comunicaciones y otros aspectos que consideramos críticos en la infraestructura tecnológica, pero debido a nuestra visión deficiente de la seguridad, se nos pasa otro aspecto fundamental: lo que está fuera de nuestra infraestructura.
Una de las primeras tareas que se realizan para proteger una organización, es conocer qué hay que proteger. El problema suele llegar al identificar los riesgos y tratarlos, pues solemos dejarnos llevar por metodologías y marcos de control conocidos.
Tener en nuestra empresa un sistema de información supone directamente afrontar una serie de riesgos, que dependiendo de la tecnología, accesibilidad, criticidad de la información y otros aspectos, estarán sujetos a una mayor o menor exposición ante un ataque.
El factor de exposición es un concepto poco tratado, que no tiene relación con la frecuencia de la amenaza ni con el histórico de incidentes relacionados con un riesgo, sino una capa probabilística que atraviesa de forma trasversal un riesgo, y que tiene más que ver con aspectos sicológicos y de negocio que con tecnología.
Por ejemplo, una entidad financiera con 10.000 usuarios de banca electrónica estará teóricamente menos expuesta a un ataque de phishing que una entidad con 100.000 usuarios, porque para un phisher las probabilidades de obtener mayores beneficios estarán en bancas con más usuarios, y en países donde el nivel de concienciación TIC es menor y el fraude pueda ser perpetrado con mayores garantías y beneficios.
Esto no significa que la entidad con 10.000 usuarios no reciba ataques, o reciba menos, sino que debería estar menos expuesta. Es la comparación de incidentes, el histórico, lo que nos confirmaría nuestras suposiciones.
Riesgos externos
Muchos de los riesgos no dependen de nuestras capacidades técnicas como expertos en seguridad, sino de nuestras capacidades de detección. Nuestra visibilidad externa a nivel de riesgos es muy limitada, ya que la mayor parte de los recursos están asignados para proteger los sistemas de información y la infraestructura tecnológica que los soporta.
Esta falta de visibilidad hace que se nos escapen riesgos que existen más allá de nuestras fronteras tecnológicas, en el espacio IP. Desde un punto de vista formal, una organización está sujeta a dos grandes grupos de riesgos tecnológicos externos: lógicos y reputacionales.
Los riesgos lógicos son aquellos que suponen un impacto en la información gestionada por la organización, como una fuga de información, robo de credenciales o la planificación de un ataque de denegación de servicios.
Los riesgos reputacionales afectan a la información publicada en Internet y puede suponer un daño contra la reputación de la organización o alguno de sus productos: menciones negativas de antiguos trabajadores, perfiles falsos en redes sociales o cualquier otro tipo de difusión. Conocer y tratar todos estos riesgos tecnológicos debe ser parte también de nuestros controles como gestores de la seguridad.
Por otro lado, la implantación de tecnologías como DLP no nos van a detectar las fugas de información producidas en las semanas previas a la implantación o información incorrectamente clasificada. O implantar un IDS/IPS te va a defender ante ataques de día cero ( 0-day ), o un cortafuegos te va a defender ante un ataque planificado de denegación de servicios.
No debemos olvidar que desde un punto de vista formal, el riesgo nunca puede ser cero en un análisis coherente de riesgo; siempre existe una posibilidad de que las salvaguardas configuradas no sean suficientes para evitar o minimizar el impacto, y, por ejemplo, información confidencial salga sin nuestro conocimiento de la organización.
Ahora bien, partiendo de la premisa de que nuestra visibilidad de los riesgos tecnológicos externos es limitada, que no contamos con recursos ilimitados para su detección, y que Internet tiene unas características muy particulares, con diferentes capas y mecanismos que dificultan la detección de los riesgos, es frecuente el uso de servicios especializados en monitorización de ciberamenazas, con la finalidad de minimizar el riesgo.
Siempre debemos tener en mente que la mejor estrategia para minimizar el impacto de un riesgo externo que no podemos controlar es su detección temprana, corrigiendo así, nuestra visión deficiente de la seguridad.
