Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Fernando Martos García, Análisis colaborador de Ciberseguridad en Telefónica Ingeniería de Seguridad

Seguridad en CPD, ese camino a medio recorrer

Decía un buen amigo, director de una pyme puntera en seguridad de la información, que sus clientes se sorprendían cuando pedía una jornada entera sólo para acometer el bastionado de un servidor, siempre dando por sentado que el CPD de la actuación cumpliera con los mínimos necesarios. Yo pienso que se queda corto.

Imagínese –si no es ya una realidad– que es el responsable de seguridad de su familia, que en sus manos está la protección de su núcleo familiar. Usted se cercioraría debidamente de mantener su casa infranqueable y proveería de las medidas necesarias para que así fuera. Su labor también sería, como no, el control de accesos, confiando a sus familiares más cercanos copias de las llaves para que puedan entrar y salir a su libre disposición. En base a esta suposición, se me ocurren algunas preguntas que, a priori, le concernirían respecto a la responsabilidad que desempeña:

- ¿Dejaría una copia de la llave al amigo de su hijo/a para que entrará siempre que quisiera y con quien quisiera?

- ¿Se gastaría el total asignado para puertas y ventanas en una cerradura en la puerta principal, dejando las demás parcialmente descubiertas?

- ¿Confiaría todo su dinero y sus objetos de valor dentro de una misma habitación?

Las respuestas son tajantes: no.

Sin lugar a dudas, éste es nuestro concepto clásico de seguridad en un data center, lo que aprendimos que debemos proteger. Pero es probable que nadie nos contara nada sobre los buzones de correos llenos, que aportan pistas sobre cuándo nuestra casa es más vulnerable. Del mismo modo, hemos oído hablar, como si de una leyenda se tratara, sobre la importancia de que los dispositivos de nuestros hijos no almacenen información relativa a nuestro hogar o nuestra profesión. Nos somos conscientes de lo que ayudaría tener joyas falsas que sirvan de cebo para engañar a posibles delincuentes e incluso trazar su posición llegado el caso.

Disculpen la analogía, quizá infantil, pero creo que rápidamente se han dado cuenta de hacia dónde me quiero dirigir.

Tiempos malos

Cerramos un bienio especialmente preocupante para la seguridad de la información. Empresas como Sony, EBay o Ashley Madison han sufrido en sus centros diversos ataques, dando como fruto pérdidas de millones de dólares en el mejor de los escenarios. Si estás compañías han sido vulneradas, con la cantidad de dinero y recursos que gastan en su seguridad, nos podemos imaginar y acertaremos al afirmar que miles de pequeñas empresas son constantemente comprometidas, pero son muy pocas las realmente conscientes de los daños y el alcance de estos ataques de forma temprana.

Somos precursores de una nueva era en la ciberseguridad; atrás dejamos viejas amenazas en forma de virus y viejos conceptos, como ver al atacante como el hacker malo que casualmente “pasaba por ahí”. Se debe tomar conciencia de las nuevas amenazas que acechan a nuestros activos; los viejos virus ahora tornan en potentísimos malwares ofuscados en el MBR, ransomwares con algoritmos de encriptación SHA256, rescates en bitcoins, botnets, ingeniería social aplicada de forma individual, etcétera. Ya no hablamos de hackers, hablamos de auténticas mafias organizadas con cientos de ingenieros a sueldo y con horario de oficina, genuinos mercenarios de la información que explotan vulnerabilidades que tardarán en darse a conocer semanas o incluso meses. 

Por todo ello, la comparación entre un CPD y un hogar quedó bastante obsoleta hace años. La sobreexposición de los data centers reclama aunar esfuerzos para volver a tomar el sendero de lo seguro, camino que está a medio recorrer.

Podríamos achacar todo esto a una mala gestión de los recursos o a una política ineficiente de seguridad, pero en ambos casos hay que destacar el factor humano. Nosotros, cada uno de los protagonistas de la seguridad de nuestros centros, desde operadores a directores, somos responsables de reconstruir una nueva filosofía de espacio seguro. Pecamos de desidia, pecamos de conocer íntegramente las buenas prácticas, las mejores prácticas, pero no nos actualizamos. Seguimos anclados en el concepto de seguridad clásica obviando nuevos vectores de ataque que requieren métodos de defensa actuales.

Para nada sirve preparar tu data center para auditar la 27001 si nos olvidamos al día siguiente de continuar con las buenas prácticas. La importancia de contar con un plan de riesgos que contemple catástrofes de diversa índole, se vuelve inservible cuando no se complementa con medidas lógicas acordes a las nuevas amenazas.

Ingenio: la mejor arma

Es aquí donde entra en juego la ingeniería de seguridad. Desde Telefónica Ingeniería de Seguridad somos pioneros de un nuevo entendimiento en el ámbito de la ciberseguridad, modernizando el concepto de ciclo de seguridad –hasta ahora enfocado sobre todo a la protección del data center como activo–, saliendo al exterior a encontrar, analizar y actuar contra la amenaza antes de que suponga tan siquiera un riesgo inmediato para sus activos, incorporando nuestros servicios de vigilancia digital, pentesting o alerta temprana a sus clientes.

Resaltaba acertadamente Miguel Ángel Abad, jefe de la sección de Seguridad Lógica del Centro Nacional para la Protección de Infraestructuras críticas (CNPIC),  en el anterior número de la revista, la importancia de la concienciación en el ámbito de la ciberseguridad; cualquiera que trabaje en esto no podría estar más de acuerdo. Me gustaría añadir, si me permiten, la necesidad de educar y, sobre todo, de cualificar como medio conductor hacia un fin: la concienciación. Un equipo bien preparado desde el primer nivel es un equipo que vale por tres: detecta, analiza y reporta el problema de forma eficiente permitiendo que exista un flujo de trabajo óptimo.

En Telefónica Ingeniería de Seguridad sabemos de la importancia de mantener un equipo cualificado. Es por ello que contamos con analistas e investigadores en constante proceso de formación para mantener siempre un nivel de concienciación en continua evolución.

Camino para todos

Inculquemos, desde la base, la necesidad de una formación constante. Al fin y al cabo, nosotros somos nuestro mejor activo. Si tendemos a estar desactualizados e incluso obsoletos nos convertimos, también, en los activos más vulnerables.

La seguridad en nuestros CPD, la seguridad de nuestros activos, insisto, es un camino a medio recorrer. Somos testigos y partícipes de esta andadura, de nosotros mismos depende que se nos recuerde como la generación que sentó las bases de una nueva era de seguridad integral.  

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual