¿De verdad piensas que ahorras por no invertir en ciberseguridad?

A veces la ciberseguridad parece una cosa extraña, alejada del mundo real y sobre todo muy muy lejos del negocio en una organización. Casi parece una cosa de ficción, que apenas se toma en serio en muchas organizaciones, ya que nunca ha pasado nada.

Sin embargo, me gustaría resaltar algunos aspectos en los que merece pararse a pensar. Por ejemplo, ¿alguien ha preguntado a los administradores y técnicos de sistemas de una organización si han notado cosas extrañas? ¿Tienen claro por qué pasa ciertas cosas que pasan? ¿Tienen localizado los errores o simplemente es que “los sistemas son así”? ¿Alguien ha preguntado al departamento de redes de una organización si tienen claro que tráfico debe haber y a qué hora? ¿Alguien comprueba los logs de los activos de la organización y no solo se almacenan “ad eternum”? Con estas preguntas quiero sacar a la luz que tal vez, dentro de una organización haya algo más que no se vea y que nadie sepa, y sin embargo esté ahí. Que algo no se vea claramente no significa que no esté, de hecho si hay algún “incidente” lo que busca precisamente es pasar desapercibido.

En este post detallo los pasos teóricos y, que a nivel de seguridad, serían los ideales a la hora de proteger el negocio desde el inicio del uso de una tecnología. Podemos decir que ésta, es “la historia del matrimonio ideal de la ciberseguridad y el negocio”.

Para explicar este binomio idílico, supongamos el siguiente escenario: una organización va a desarrollar una aplicación nueva para sus operaciones (este desarrollo puede ser interno o eterno). En este contexto, resaltaremos las preguntas que deben hacerse para tener en ciberseguridad una nota de, si no 10, al menos 9,9 (el caso ideal). Es importante añadir que los pasos serán muy parecidos y las preguntas casi las mismas en otros escenarios, tales como implantar una tecnología de algún fabricante o crear una desde cero sin que sea una aplicación.

Los pasos y las preguntas:

Paso 1: Toma de requisitos

¿Conozco qué requisitos generales de seguridad debería tener en cuenta? ¿Tengo un arquitecto de seguridad que localice que aspectos concretos debo tener en cuenta en función de su contexto? ¿He tenido en cuenta los riesgos a los que se verá expuesta cuando esté puesta en producción?

Paso 2: Diseño

¿Tengo el conocimiento de qué librerías debería usar para proteger la aplicación? ¿Tengo un arquitecto de seguridad que encuentre los puntos más débiles del diseño y aporte su conocimiento de librerías y buenas prácticas? ¿Tengo contemplado la posibilidad de fallo en el diseño para que, si hubiera un error, no perdiera el control de la aplicación? ¿Tengo contemplado qué sistema operativo se va a usar, así como sus vulnerabilidades? ¿He comprobado que las librerías que voy a usar son seguras?

Paso 3: Desarrollo

¿Tengo desarrolladores especialistas en seguridad realizando los módulos de seguridad de la aplicación, así como configurando las librerías necesarias? ¿Tengo un arquitecto de seguridad que supervise el desarrollo? ¿Estoy siguiendo las recomendaciones de organizaciones de referencia? ¿Tengo controlados todos los puntos de intercambio de datos con el exterior? ¿Se comprueban los permisos cada vez que se accede a cualquier tipo de dato o recurso? ¿Tengo controlado en el desarrollo entradas de datos inesperados así como la forma de prevenirlas? ¿Uso herramientas de revisión de código desde el punto de vista de seguridad en el desarrollo? ¿Genero unos logs claros que me permitan entender si la aplicación funciona de una manera extraña? ¿Hago validación de los archivos que se suben al servidor?

Paso 4: Testing

¿He realizado una auditoría de código para encontrar errores antes del despliegue? ¿He realizado una auditoría de hacking de la aplicación para comprobar la seguridad en funcionamiento? ¿He seguido una guía de bastionado para configurar adecuadamente los sistemas que soportan la aplicación? ¿Conozco qué tráfico genera la aplicación en función de su funcionamiento? ¿He comprobado el tipo de logs que genera la aplicación, así como saber cuándo éstos reflejan un “incidente de seguridad”? ¿He usado analizadores de vulnerabilidades para comprobar la aplicación?

Paso 5: Despliegue en producción

¿He realizado una auditoría de sistemas para comprobar la seguridad de la infraestructura donde se va a desplegar? ¿Tengo realizado un análisis de riesgos de la aplicación así como su entorno de operación? ¿He desplegado medidas adicionales para proteger la aplicación como detectores de intrusos, antivirus, analizadores de red, firewalls, etc? ¿Tengo un plan de continuidad en caso de que aplicación no pueda usarse? ¿Tengo un sistema redundante qué añada robustez a la aplicación? ¿He tenido en cuenta los datos que usa la aplicación, así como la responsabilidad legal de esos datos? ¿Tengo contemplado la seguridad que se va a exigir en caso de usar servicios a terceros?

Paso 6: Operación (en producción)

¿Tengo un plan director de seguridad en la organización que debo seguir? ¿Debo cumplir con alguna ley en particular en función de la actividad de la organización y los datos que se manejan? ¿Tengo conocimiento del tráfico que se genera en operación? ¿Tengo una oficina de seguridad que supervise sus logs? ¿Tengo un plan periódico de auditoría de aplicación y sistemas para comprobar el estado de la aplicación? ¿Tengo un SOC (Centro de Operaciones de Seguridad) que supervise la aplicación y su infraestructura? ¿Tengo contemplado un plan de mantenimiento de desarrollo de seguridad que permita hacer parcheos de las vulnerabilidades que se encuentren? ¿Tengo un procedimiento contemplado de actualización de los planes de riesgos y de continuidad de negocio? ¿Tengo a un miembro de la organización como responsable de la seguridad de la aplicación? ¿Hago auditorías de ingeniería social a los empleados de la organización? ¿Hago campañas de concienciación y formación a los empleados de la organización? ¿Tengo identificados a los responsables de los datos que se manejan en la aplicación? ¿Hago seguimiento de repositorios de vulnerabilidades para comprobar los componentes de la aplicación así como su infraestructura?

Dando repuesta a todas estas preguntas, no se puede garantizar la seguridad al 100% ya que eso no es real, pero sí dotaría a la aplicación de un nivel de seguridad muy muy maduro. Esto es un ejemplo de cómo de verdad hay un compromiso con la Ciberseguridad, y como ésta protegería al negocio de una organización. Es un efecto retroalimentado. Cuanto más se madura la Ciberseguridad, más seguro está el negocio, lo que a su vez hace que la Ciberseguridad necesaria requiera un coste de operación sea menor.

La ciberseguridad no es un gasto, es una inversión. En esta inversión el retorno no viene en forma de ingresos, sino en la reducción de costes. En otras palabras se podría decir que no suma, sino evita que se reste, ya que la resta se va a dar seguro (se sea consciente de que sucede o no). Como ya hemos dicho, que no se vea no significa que no esté. Y si está, es una resta segura (recursos humanos, máquinas, software, servicios, etc.).