Las organizaciones actuales utilizan las mejores prácticas cibernéticas y cumplen con diferentes requisitos, los cuales, muchas veces no brindan suficiente seguridad. De igual forma, los presupuestos en ciberseguridad se han incrementado, lo cual requiere que seamos más eficientes e inteligentes. En este sentido es importante priorizar nuestras estrategias de tal forma que nos permita tomar riesgos calculados. Y la única forma de hacerlo es pensar como los cibercriminales.
Para ello, tenemos que descubrir cómo ser menos vulnerables. Al definir la defensa correcta, podemos hacer frente a los ataques y amenazas. Si bien es importante estar lo más seguro posible, lo que es más valioso es estar más seguro que otras empresas, pues lo delincuentes van a tomar el camino de menor resistencia. Si puedes bloquear suficientes accesos para frustrarlo, esto aumentará la probabilidad de que pasen a otro objetivo.
Necesitamos tener en cuenta las consideraciones normales, como vulnerabilidad, presupuesto, análisis de impacto empresarial, etcétera, pero también debemos comprender cómo están conformadas nuestras debilidades para evitar que los atacantes logren sus objetivos.
Es fácil decir que hay que pensar como un atacante, pero es una tarea extremadamente difícil que requiere un conjunto específico de habilidades. Algunos de los elementos que una organización típica debería establecer para defenderse son:
- Crear un equipo. Si es posible, contratar personas altamente preparadas para el propio equipo de seguridad cibernética, que hayan sido atacantes o que hayan formado parte de una organización de inteligencia. Esto puede ser un desafío dado que algunos de los hackers más sofisticados no están disponibles, trabajan para diferentes proyectos o son extremadamente caros. La recomendación es estos casos es que se pueda contratar consultores externos que sean expertos en pentesting y hacking ético y firmar acuerdos de confidencialidad y de no divulgación con ellos.
- Desarrollar una metodología de «Defensa-Ofensiva». Este enfoque debe provenir del punto de vista de un atacante. No es suficiente solo identificar debilidades. Se debe tener un plan sobre cómo priorizar esos problemas para poder concentrarse y resolver los que lo hacen más vulnerable. Si su equipo presenta 100 vulnerabilidades y las prioriza por igual, nada se resolverá.
- Mantener un pensamiento holístico. Trate a su empresa como la entidad compleja que es. El equipo de ciberseguridad debe pensar de manera integral y asociarse con varios departamentos, como RRHH, Legal, Comunicaciones, Cadena de Suministro, entre otros, para comprender la mayor cantidad de riesgos posibles.
- Automatizar. El objetivo de la automatización es aliviar las tareas rutinarias que experimentan los analistas de seguridad todos los días, como llevar a cabo escaneos de vulnerabilidades. Al automatizar puede enfocar a sus defensores humanos en enfrentar las amenazas de sus atacantes humanos.
No es suficiente saber dónde la debilidad de sus programas de ciberseguridad o si sus atacantes están utilizando las herramientas más avanzadas. Si va a defenderse de los ataques, debe pensar y actuar de manera diferente. Identificar y priorizar vulnerabilidades es una buena manera de comenzar, pero para tener más éxito, tenga de su lado a expertos que puedan asesorarle. Estos especialistas tienen la ventaja de poder ver a su empresa desde otros ángulos y así poder darle recomendaciones adecuadas en temas de pentesting, hacking éticos, prevención ante pérdida de datos o gestión en situaciones de crisis.
Por: Víctor Ruiz, fundador de SILIKN.