¿Tiene ya una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta



Ponga su preparación para la seguridad a prueba

Invertir en tecnologías de seguridad no es suficiente para proteger su negocio. Necesita saber si todas estas inversiones han funcionado en realidad. La única forma de comprobar la efectividad de su seguridad es ponerla a prueba.



Ponga su preparación para la seguridad a prueba

Como CIO o CISO, es responsable de proteger su empresa, sus datos, sus sistemas, sus empleados y sus clientes de las amenazas de seguridad. Invertir en tecnologías de seguridad, formación obligatoria o nuevas políticas no es suficiente. Necesita saber si todas estas inversiones han funcionado en realidad.

La única forma de comprobar la efectividad de su seguridad es ponerla a prueba.

Es posible que lo primero que le venga a la cabeza sean evaluaciones de cumplimiento, revisiones internas o pruebas de penetración y análisis de vulnerabilidades.

Sin embargo, estos tipos de pruebas tienen un alcance limitado o se centran en validar controles tecnológicos específicos. No pueden comprobar si la seguridad funciona realmente de forma integral como sistema ni poner la efectividad de la seguridad en un contexto empresarial en el que la protección se ajuste a la sensibilidad y el riesgo de un recurso particular.

La respuesta es utilizar una intervención de "equipo rojo".

¿Qué es un equipo rojo?

Las pruebas de seguridad de equipo rojo adoptan su nombre de los juegos militares estadounidenses y suponen contratar hackers externos de sombrero blanco (buenos) para simular cómo un atacante intentaría entrar en su negocio mediante cualquier medio que tenga a su disposición.

Mientras que otros tipos de pruebas buscan fallos en conjuntos de control específicos por separado (¿Están estos puertos abiertos? ¿Han cambiado las credenciales de acceso predeterminadas?), una intervención de equipo rojo se basa en el escenario y se encarga de objetivos específicos, por ejemplo, robar los registros del cliente o interrumpir los sistemas operativos fundamentales. En otras palabras, una intervención de equipo rojo está diseñada para ayudarle a poner a prueba la seguridad de lo que realmente importa para su negocio.

Evidentemente, esto significa explotar las vulnerabilidades tecnológicas, que se suelen deber simplemente a una configuración errónea, a un diseño deficiente o a un parche insuficiente. En un podcast reciente, Sam Barltrop del Servicio de asesoría de seguridad EMEAR de Cisco describió cómo gestiona su equipo para colarse por una puerta lateral, por así decirlo, en una intervención reciente:

“Trabajamos con una empresa de Birmingham que había gastado mucho dinero en seguridad de red, partiendo del supuesto de que si no podía ser atacada desde Internet, todo iría bien. Descubrimos que la red Wi-Fi de la oficina estaba bien asegurada y que su red de invitado estaba segregada, lo cual era perfecto. Sin embargo, pensaron que los únicos dispositivos del Wi-Fi del almacén serían lectores de códigos de barras, por lo que esa red no se iba a asegurar tan bien. Solo con sentarnos en el aparcamiento con un portátil, pudimos entrar en la red de su almacén y abrirnos camino para hacernos con todos los datos de sus clientes y detalles de envío".

Sobre el papel, su seguridad puede ser perfecta, pero esa no es la realidad completa. Cada sistema cuenta con suposiciones y puntos débiles que únicamente salen a la luz cuando alguien con una perspectiva nueva y la mente de un atacante los pone verdaderamente a prueba.

No obstante, las pruebas no deberían limitarse únicamente a la tecnología. Tal y como nos muestran las investigaciones en repetidas ocasiones, las brechas de seguridad suelen consistir en explotar las debilidades del comportamiento de un empleado y los fallos de las operaciones de seguridad. Por lo tanto, las pruebas de seguridad de equipo rojo también se dirigen a las personas y a los procesos implicados en hacer que la seguridad se cumpla en el mundo real, como un recepcionista que reparte las tarjetas de los turistas o una puerta de un muelle de carga que se queda abierta. Un hacker de equipo rojo estará encantado de utilizar la suplantación de identidad, de "infiltrarse" en las puertas de seguridad y de utilizar ataques de ingeniería social para conseguir acceso a los sistemas y los datos.

Puede leer un informe completo de una intervención reciente con estos ataques de ingeniería social en este blog que consta de cuatro partes:

Parte 1 | Parte 2 | Parte 3 | Parte 4

¿Cuándo hay que llevar a cabo una intervención de equipo rojo?

Para sacar el máximo partido de una intervención de equipo rojo se necesita cierto grado de preparación. Usted y sus equipos de seguridad tienen que decidir los objetivos adecuados e implicar el trabajo para establecer el ejercicio (por ejemplo, crear datos ficticios y orientar al personal interno). Dada la inversión necesaria, es improbable que un ejercicio de equipo rojo sustituya a sus prácticas de seguridad rutinarias, no tiene esa intención.

Para las organizaciones con una seguridad avanzada, un ejercicio de equipo rojo es una oportunidad para comprobar si todo el trabajo duro, la formación de los usuarios, la configuración de la tecnología y el perfeccionamiento de los procesos han merecido la pena. Además, supone una ocasión para identificar las zonas finales en las que trabajar.

Para los CIO y los CISO que tienen dificultades para conseguir que el resto de la organización se tome la seguridad en serio, los resultados de una evaluación como esta pueden suponer una alarma instructiva para la junta o incluso una señal de advertencia ("¿A qué se refiere con que un hombre con una placa falsa ha entrado en nuestras oficinas y ha salido con toda nuestra información relativa a las nóminas?").

Además, para los líderes de TI nuevos en el negocio, un equipo rojo es una oportunidad para comprobar con qué están trabajando realmente para que puedan centrar sus esfuerzos y presupuestos en las áreas adecuadas.

Solo hay un escenario en el que no debe utilizar un equipo rojo: cuando sabe que su seguridad está llena de brechas. No va a aprender nada nuevo si ve cómo un hacker de élite explota una debilidad que ya sabe que existe.

El enfoque del mundo real hacia la seguridad

Como CIO, ya conoce algunas verdades difíciles acerca de la TI. Que las personas y los procesos se merendarán a la tecnología. Que una infraestructura de TI real nunca se comporta como parece sobre el papel. Y que si desea alcanzar el éxito, tiene que comenzar por identificar lo que es más importante para usted y su empresa y centrarse en ello, de lo contrario corre el riesgo de arrastrarse en un millón de direcciones.

¿Es el momento de aplicar los mismos principios a su seguridad?