Un estudio de la Universidad de Maryland, en Estados Unidos, afirma que los sistemas en el ciberespacio son atacados una vez cada 39 segundos, en promedio. En Colombia, por su parte, existen alrededor de 403.000 servidores Web publicados sin protección de cifrado (el 66,92% del total), según el National Exposure Index de Rapid7, que estudia el nivel de exposición debido al uso de protocolos de comunicación inseguros.

A la luz de estas cifras, Jorge Andrés Correa, Chief Information Security Officer (Ciso) de la firma O4IT, destaca lo fundamental que resulta que las empresas –e incluso las personas– evalúen constantemente los riesgos de ciberseguridad que afrontan a diario (que pueden ser amenazas o vulnerabilidades) con el fin de mitigarlos.

Amenazas: son situaciones que pueden desencadenar la materialización de un riesgo y, por lo general, son ajenas a nuestro control (por ejemplo, un incendio o un ataque informático).

Vulnerabilidades: se pueden reducir o mitigar, ya que son debilidades que pueden propiciar la materialización de un riesgo (por ejemplo, ausencia de extintores o de sistema antimalware).

En el mundo empresarial se utilizan herramientas tecnológicas para la detección de vulnerabilidades informáticas que identifican la ausencia de actualizaciones de seguridad en los equipos informáticos o problemas de configuración que derivan en debilidades que podrían llevar a la materialización de un ataque informático.

«Por lo general –explica Correa– estas herramientas pueden identificar las vulnerabilidades de forma activa (interactuando directamente con los dispositivos) o pasiva (analizando el tráfico de la red sin interactuar con los dispositivos)». De esta manera se encuentran debilidades en sistemas operativos, software instalado, aplicaciones in-house, infraestructura de comunicaciones y dispositivos IOT, entre otros.

El ejecutivo de O4IT añade que también es posible emplear técnicas semiautomáticas, con las cuales se complementan los resultados obtenidos por las herramientas tecnológicas con pruebas manuales realizadas por expertos en ciberseguridad. Con ellas se busca, principalmente, corroborar el impacto real que podría tener la explotación de una vulnerabilidad por parte de un potencial atacante; esto se conoce generalmente como pruebas de hacking ético.

«Finalmente, la revisión de código fuente de los sistemas permite, de forma automática o manual, identificar vulnerabilidad generadas por malas prácticas de desarrollo de software», añade.

La gestión de seguridad debe ser una tarea sin interrupciones

Aunque existen actividades que se pueden realizar periódicamente para evaluar la seguridad de los sistemas de una empresa, Correa señala que esta debe ser monitoreada y gestionada de forma continua. «Hoy en día es posible implementar estrategias para detectar las vulnerables informáticas, especialmente en sistemas operativos y software base, de forma continua a través de la implementación de escáneres pasivos y agentes en los equipos, los cuales permiten mantener una monitorización en tiempo real de la configuración de los sistemas.

Seguridad informática
Imagen: Geralt (Pixabay).

Entre las actividades periódicas, por su parte, Correa menciona el aseguramiento de la configuración, la identificación de vulnerabilidades y el análisis de riesgos.»La periodicidad de estas actividades debe ser definida de manera particular para cada organización, teniendo en cuenta su contexto de operación y los cambios en su infraestructura», afirma. Aparte de esos momentos definidos, es recomendable realizar un análisis de seguridad de los sistemas cuando se van a poner en producción por primera vez o cuando sufren cambios significativos.

Lo importante es que el tiempo que transcurre entre el momento en el que se identifica una vulnerabilidad y se ejecuta la acción para mitigarla sea breve, pues durante ese periodo puede ser explotada por un atacante, poniendo en riesgo la seguridad de la información de la organización. «La metodología de gestión de vulnerabilidades debe contemplar todo el ciclo de vida: desde el descubrimiento de los activos tecnológicos en la red, pasando por la identificación de las vulnerabilidades, su priorización, remediación y finalmente las pruebas de verificación de la solución aplicada», ilustra el CIFO de O4IT.

Vale la pena apuntar que en esta estrategia deben, de forma ideal, participar los departamentos internos de las compañías, que deben realizar una gestión interna de los análisis de seguridad de forma continua, acompañados por  un proveedor externo que realice los análisis y pueda proporcionar una valoración independiente de los resultados obtenidos.

«En algunos casos, como los de las entidades reguladas por la Superintendencia Financiera de Colombia, es requerido que la ejecución de los análisis se realice al menos 2 veces al año y cuando se realicen cambios importantes a los sistemas».

Jorge Andrés Correa, Chief Information Security Officer de O4IT.

Las vulnerabilidades de seguridad más frecuentes en los sistemas de las empresas

Las vulnerabilidades más frecuentes que se encuentran hoy en día en los sistemas de las empresas, concluye Correa, están relacionadas con la ausencia de actualizaciones de seguridad en los sistemas operativos. «Resolver este problema requiere de una estrategia que mantenimiento bien diseñada y controlada, puesto que un gran porcentaje de las compañías no actualiza sus sistemas de manera frecuente debido al posible impacto negativo que pueden tener las actualizaciones sobre el funcionamiento de los sistemas.

De igual forma, es muy frecuente la aparición de vulnerabilidades relacionadas con las fallas en la configuración de los certificados digitales que utilizan las empresas para la protección de la información cuando es transmitida por sus sistemas.

Recomendaciones de O4IT para mantener la seguridad de las empresas y organizaciones

Una gestión de seguridad efectiva requiere de la adopción de un concepto conocido como la defensa en profundidad. Adoptado del lenguaje militar, este concepto se refiere a la implementación de varias líneas de defensa consecutivas, en lugar de contar con una sola línea de defensa que deba ser tan fuerte como los ataques que puede recibir.

En ciberseguridad, el concepto se aplica considerando que una sola tecnología, herramienta o producto no es suficiente para proteger adecuadamente a los sistemas y la información. Por esta razón es fundamental contar con una estrategia de múltiples capas que proteja a las organizaciones frente a las múltiples amenazas que enfrenta hoy en día.

Por lo general, pueden implementarse controles o defensas en tres frentes principales:

  • Controles o defensas administrativas: por ejemplo, las políticas de seguridad, los procedimientos, los acuerdos contractuales, etc.
  • Controles o defensas técnicas: por ejemplo, los Firewall, el software antimalware, los sistemas de prevención de intrusos, etc.
  • Controles o defensas físicas: por ejemplo, los controles de acceso biométrico, los circuitos cerrados de TV, los guardas de seguridad, etc.

Adicionalmente, el enfoque recomendado para identificar los controles o defensas que requiere una organización y sus sistemas, es a través de la gestión de riesgos.

Cualquier implementación, operación, procesamiento o cambio tiene riesgos de ciberseguridad asociados; no existe un escenario de cero riesgos. Lo que sí es posible es conocerlos y gestionarlos de manera que se reduzca al mínimo su probabilidad de materialización y se logre mantener seguro el entorno tecnológico y de operación de la compañía.