Las instituciones de servicios financieros son en la actualidad, sin duda, de las más atractivas para los delincuentes informáticos. De acuerdo a un estudio1, cada una de estas organizaciones detecta entre 4,600 y 4,900 incidentes por año. Debido a este escenario de amenazas es que se ha justificado un incremento en las inversiones de Seguridad Informática de un 67% en los últimos cuatro años.

Por otra parte, he tenido la oportunidad de conversar con profesionales de TI y de Seguridad Informática de empresas del sector manufacturero. Durante esas conversaciones he notado, en varias ocasiones y con diferentes personas no relacionadas, que surge la frase: “pero nosotros no estamos en la industria de los servicios financieros”.

“Pero nosotros no estamos en la industria de los servicios financieros”

Generalmente, la frase se utiliza para justificar un menor rigor en la protección de los activos informáticos. Da la impresión que se aplica como una norma general para decidir sobre la implementación de controles, autorización de proyectos o entrenamiento del personal.

Estoy de acuerdo: tanto los escenarios, como los actores de amenaza y la frecuencia de los incidentes seguramente no son comparables. Sin embargo, se requiere un poco más de entendimiento de la situación para gestionar el riesgo.

Los siguientes son los tres elementos que consideramos clave para gestionar los riesgos de ataques a los activos informáticos, independientemente de la industria:


Prueba de penetración (pentest)

La Prueba de Penetración es una herramienta de diagnóstico eficaz. Responde a la pregunta: ¿Qué pasaría si un hacker decidiera atacarnos hoy? Esto desde la capa externa, pero también desde la red interna a la cual tienen acceso los empleados y otros actores de amenaza potenciales tales como el personal en outsourcing, consultores, proveedores y visitantes, entre otros.

Antes de continuar, debo advertir que hay algo de confusión entre los términos Análisis de Vulnerabilidades y Prueba de Penetración o pentest.

El Análisis de Vulnerabilidades es una de las diversas actividades necesarias para realizar una Prueba de Penetración o pentest y se realiza con herramientas de software llamadas Scanners de Vulnerabilidades. El resultado que estas herramientas arrojan puede llegar a ser un reporte de cientos de páginas y para quienes no son expertos resulta abrumador. Provocan una sensación de incertidumbre por no tener claro por dónde empezar.

 

 

Además, es frecuente que estas herramientas reporten vulnerabilidades que luego se clasifican como falsos positivos. Algunas, por las características propias del caso, resultan intrascendentes o representan un bajo riesgo.

En contraste, la Prueba de Penetración o pentest parte del Análisis de Vulnerabilidades e información adicional que los consultores obtienen con la finalidad de explotar las vulnerabilidades y evaluar el riesgo e  impacto al negocio. El racional es simple: es mejor que las detecte una empresa de consultoría a que las descubran los criminales.

Una vez conocidas las vulnerabilidades explotables, se orientan los esfuerzos de remediación hacia aquellas que representan un mayor riesgo a la organización.

Análisis de Riesgos de TI

Un nivel adicional de conocimiento se obtiene realizando un análisis basado en Escenarios de Riesgo. Además de identificar y valorar los riesgos, es preciso determinar la respuesta o tratamiento que a cada uno le corresponde.

Una vez que ya se tiene un registro completo de riesgos entonces es posible decidir cómo se va tratar cada uno de ellos, siempre y cuando ya tengamos tres definiciones determinantes de parte de la Alta Dirección: el apetito de riesgo,  la tolerancia al riesgo y la capacidad de riesgo.

El apetito se refiere al nivel de riesgo que la empresa ha decidido aceptar y su tolerancia es un nivel de variación que la Alta Dirección admite en la consecución de un objetivo en particular. Por otra parte, la capacidad es el máximo de riesgo que una organización puede soportar en la persecución de sus objetivos.

Una forma práctica de determinar la capacidad de riesgo es preguntar: ¿si se llegara a materializar un riesgo, de qué monto deberá ser la pérdida para obligar al cierre de la operación? Una vez que se determina esta cantidad, cualquier riesgo que supere en impacto este nivel debe ser debidamente tratado para sacarlo de esta zona inaceptable.

De igual manera, para determinar el apetito de riesgo preguntamos: ¿cuánto estás dispuesto a perder? Es decir, cuál es el nivel de pérdida óptimo que la Alta Dirección ha determinado para balancear las pérdidas posibles por una parte y por la otra el costo de gestionar los riesgos por debajo de ese nivel.

Ahora bien, una vez que se han identificado y valorado los riesgos y comparados contra los parámetros de apetito y capacidad de riesgo, se procede a determinar su tratamiento.

Considerando lo anterior, el razonamiento para llegar a determinar si se impulsa una iniciativa de seguridad informática o se implementa una solución o si se contrata o se debe capacitar al personal, depende menos de la industria  y más del caso particular y de la perspectiva de riesgo de la  Alta Dirección.

Sistema de Gestión de la Seguridad Informática

La gestión de los riesgos de TI generalmente forman parte integral de un Sistema de Gestión de la Seguridad Informática, como el estándar ISO /IEC 27001.

Además de los sistemas de gestión, existen otros marcos normativos, que sin ser un Sistema de Gestión, establecen un nivel mínimo de controles técnicos y operacionales como el PCI DSS, desarrollado para robustecer la seguridad de los datos de usuarios de tarjetas de crédito.

Los sistemas de gestión generalmente requieren la realización de Pruebas de Penetración o pentest de parte de un tercero externo a la organización. También incluyen el Análisis y Gestión de los riesgos.

Hemos observado que las organizaciones que realizan pruebas de penetración regularmente, gestionan sus riesgos de acuerdo a metodologías aceptadas internacionalmente e implementan un Sistema de Gestión de Seguridad de la Información logran lo siguiente:

  • Reducen el impacto de los incidentes
  • Establecen un orden en sus operaciones de TI que genera beneficios adicionales
  • Producen mejores prácticas para el soporte de los objetivos de negocio al establecer roles y procesos que deben tener una clara atribución y exigen el puntual cumplimiento.
  • Proyectan una mayor credibilidad y generan confianza en sus empleados, clientes y socios de negocio al demostrar que la Alta Dirección es diligente en el la gestión de los riesgos y seguridad de la información.

Estoy de acuerdo, no todos están en la industria de servicios financieros, pero todos tienen un riesgo. Siendo esto así, surgen las siguientes preguntas:

No todos están en […] servicios financieros, pero todos tienen un riesgo.

  • ¿Cuál es la magnitud de nuestro riesgo ante un posible ataque a nuestros activos informáticos?
  • ¿El riesgo actualmente supera nuestra capacidad?
  • ¿Cuál es la forma óptima de tratar el riesgo para ubicarlo en un nivel aceptado por la Alta Dirección?

No son las únicas preguntas, pero es un buen principio para buscar y obtener las respuestas.


 

1  The Global State of Information Security® Survey 2017

Share This