Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Juan Luis García Rambla, Director técnico del Área de Seguridad TIC de Sidertia Solutions

'Hacking' ético profesional, una necesidad ineludible para empresas y organizaciones

Iniciar este artículo afirmando que actualmente empresas y organizaciones tienen una total dependencia de sus infraestructuras tecnológicas es sin lugar a dudas una obviedad. Sin embargo, a partir de esta máxima se desprenden toda una serie de conclusiones que van mucho más allá, incluyendo lógicamente aspectos relacionados con la seguridad informática.

En mayor o menor medida, el proceso de negocio de las empresas se ve condicionado en todas y cada una de sus fases por la calidad y prestaciones de sus infraestructuras informáticas. Las relaciones comerciales, la puesta en marcha de servicios o generación de productos, la atención al cliente y lo que es más importante su confianza son algunos de los múltiples aspectos afectados.

El concepto de “confianza” es a título general un pilar del éxito empresarial y para muchas organizaciones un elemento determinante en su proceso de negocio o actividad. La seguridad informática contribuye de forma sustancial a afianzar esa idea de “confianza”. El usuario de un servicio web donde el factor económico sea significativo, buscará la “S” que le dé garantía de seguridad, el “candado” que le ofrezca una comunicación privada o la existencia de certificados de confianza. En definitiva, elementos y condiciones asociados a la seguridad informática que le aporten tranquilidad a la hora de realizar cualquier operación.

Cuando una empresa mantiene un servicio web detenido durante un tiempo, no sólo estará perdiendo ingresos ante las operaciones que no pueden realizarse, sino que estará provocando algo aún más negativo, una disminución de la confianza del cliente en el servicio y en quién lo ofrece. Cuando la página web de un organismo de relevancia es víctima de una suplantación por parte de un grupo cibercriminal, sin lugar a dudas se está dañando sensiblemente la imagen corporativa y en definitiva la confianza del ciudadano. Empresas y organizaciones deben dedicar medios a mantener e incrementar la confianza de sus clientes y usuarios, y para ello la seguridad informática es un punto clave.

Recientemente en una reunión, un directivo preguntaba “¿Cuántos productos más vamos a vender ante la inversión en seguridad que se nos recomienda?” La respuesta fue clara. De forma directa probablemente no se apreciase un incremento en las ventas, pero a buen seguro que si no se aplicaban los mecanismos de seguridad necesarios y debido al grave riesgo en el que la empresa se encontraba, una sensible reducción en el volumen de ventas actual sería la primera consecuencia negativa y probablemente no la única.

La mejora de la seguridad informática empieza por la necesidad de conocer los riesgos existentes, analizar su incidencia y definir los mecanismos que permitan posteriormente su subsanación. En esta fase inicial de análisis es donde el hacking ético constituye un componente fundamental para el proceso de evolución de las empresas desde la simple funcionalidad a la seguridad de sus sistemas. La ejecución de una auditoría o hacking ético por parte de un tercero proporciona un perfecto instrumento para que una organización sepa en qué punto de madurez se encuentra en el empleo de la tecnología informática.

¿Qué esperar?

¿Qué debe esperar una organización de un hacking ético profesional? En primera instancia el descubrimiento de fallos de seguridad en la tecnología analizada, bien sea ésta su sitio web o Intranet, su servicio de e-commerce, los procesos de gestión de usuarios, puestos de trabajo o cualquier otro servicio significativo para su negocio. Pero junto con ello aportará también información de valor para la posterior racionalización de la inversión en medios y esfuerzos, así como en la definición de una correcta evolución tecnológica de cada compañía.

Dando un paso más allá de lo puramente informático, una buena auditoría de seguridad aporta resultados muy interesantes para evaluar la calidad del propio negocio. Permitiendo incluso, en un análisis temporal más dilatado, observar cuál es la evolución de éste, cuáles son sus mejoras y cómo se incrementa la eficiencia de los procesos. No debemos olvidar que cuando algo es más seguro, se vuelve irremediablemente más eficaz.

La ejecución de una auditoría de seguridad o hacking ético debería efectuarse, al menos, anualmente. La cualificación y cuantificación de los resultados obtenidos en cada test permiten a la empresa conocer su evolución, la idoneidad de sus procedimientos y, por supuesto, si la inversión en seguridad se está realizando adecuadamente.

El incremento del gasto no implica necesariamente una mejora en el nivel de seguridad informática de la empresa. Cuanto mayor es la experiencia en seguridad adquirida a través de las auditorías, mayor es la capacidad de las compañías para optimizar su inversión en seguridad informática. Aplicando así procesos de hacking ético adecuados que permitan la subsanación de vulnerabilidades y la generación en consecuencia de procedimientos preventivos eficaces que minimizan la posibilidad de errores. Aquellas entidades que realizan auditorías eficaces con mayor frecuencia adquieren una maduración evidente que les permite dirigir sus inversiones atendiendo a necesidades verdaderas; allí donde los resultados muestran que sus sistemas son más débiles.

Son numerosas las organizaciones que realizan auditorias y procesos de hacking ético de forma muy puntual o exclusivamente ante la aparición de situaciones de riesgo, limitando sus acciones correctoras a los resultados obtenidos en estas ocasiones. Pero la evolución en tecnología es un proceso permanente y ágil, especialmente en el ámbito de la seguridad informática. La aparición de nuevos vectores de ataque es una realidad y un riesgo continuo para los sistemas. Esto, sumado a la falsa sensación de seguridad, sitúa a menudo a las empresas en situaciones críticas bajo el peligroso argumento de “¡Ya se hizo una auditoría de seguridad hace tres años¡”

Tras el desarrollo de procesos de hacking ético, las empresas desarrollan y aplican cambios, no sólo de índole técnico sino también en múltiples ocasiones organizativo, impulsando así mejoras en el trabajo y un incremento en el nivel de eficacia. Sin embargo la experiencia nos demuestra que el empuje inicial decrece progresivamente. La realización periódica de auditorías de seguridad es también, por lo tanto, un elemento dinamizador y de mejora de empresas y organizaciones, más allá de los aspectos puramente tecnológicos.

Calidad del ‘hacking’

Otro aspecto fundamental a considerar es la calidad de los procesos de hacking ético y auditoría. Éstos deben encontrarse sujetos a metodologías homologadas y reconocidas como tales. La identificación de vulnerabilidades debe basarse en mecanismos de cualificación de riesgo (Risk Assessment Values) claramente definidos y medibles. Por otra parte, las auditorías deben tener en consideración la tipología y condiciones específicas de cada negocio o escenario de actuación, planificándose su desarrollo en consecuencia. Una auditoría será mucho más eficaz si los test a realizar se encuentran diseñados considerando el negocio o actividad de la organización auditada y no son simplemente ejecutados atendiendo a un patrón regular, igual para todas las situaciones.

Con frecuencia, en Sidertia recibimos peticiones de servicio de empresas que solicitan la valoración de los resultados de auditorías o procesos de hacking ético a los que han sido sometidas. Es frecuente observar, a partir de los informes recibidos, que los procesos presentan serias carencias desde sus inicios, desde el propio planteamiento de los objetivos a resolver. Las auditorías se centran en identificar fallos en servicios vulnerables pero sólo de relativa importancia, no focalizando el análisis en aquellos otros que, siendo más difíciles de auditar, son sin embargo puntos críticos en el proceso de negocio de la empresa. Se aprecia por lo tanto que el auditor ha realizado su labor con un objetivo único, la mera detección de vulnerabilidades, cuyo descubrimiento puede aportarle la sensación de deber cumplido. Lógicamente desde Sidertia consideramos que éste es un enfoque erróneo dado que los esfuerzos no se han dirigido a identificar riesgos en aquellos sistemas y servicios de mayor importancia y criticidad para el negocio de la empresa auditada.

En la actualidad la oferta de empresas que prestan servicios de hacking ético es considerablemente amplia. Desafortunadamente, otra cuestión distinta es el número de consultoras que ofrecen estos servicios de forma profesional y atendiendo a unas garantías mínimas de calidad. Es frecuente la presentación de informes finales basados exclusivamente en la información aportada por herramientas totalmente automatizadas y sobre las que un analista de seguridad no ha realizado ningún tipo de valoración o interpretación. No se han tenido en consideración las necesidades reales de las empresas contratantes, realizándose simplemente un procesamiento masivo de información, con la consiguiente reducción de costes pero fundamentalmente de eficacia y validez en los resultados obtenidos.

Como bien indican metodologías de auditoría ampliamente reconocidas, como pueden ser OSSTMM (Open Source Security Testing Methodology Manual) u OWASP (Open Web Application Security Project), la ejecución del proceso de hacking ético debe basarse principalmente en la experiencia del auditor y no en el simple uso de herramientas. La automatización de tareas en mayor o menor grado dependerá del proceso de auditoría a realizar, así como del escenario operativo. Sin embargo, en todas las ocasiones, independientemente de la calidad de las herramientas utilizadas, el análisis debe incorporar como componente fundamental el factor de interpretación del auditor.

La labor del profesional es ineludible. Una herramienta de análisis de vulnerabilidades de incuestionable calidad como puede ser Nessus, presenta un alcance significativo y suele formar parte de la “caja de herramientas” de cualquier auditor profesional. Sin embargo, Nessus, cuya calidad y eficacia no se ponen en tela de juicio, no es capaz de atender a la totalidad de tecnologías existentes. Un análisis basado exclusivamente en la herramienta implicaría que determinados riesgos de seguridad, de considerable importancia en ciertos escenarios, como son el análisis de contraseñas por defecto en dispositivos de comunicaciones, pasarán totalmente desapercibidos. Sin embargo, un auditor cualificado reconocerá fácilmente el problema y el riesgo que supone para la empresa ese fallo de seguridad.

Como hemos podido ver a lo largo de este artículo, la aplicación de procesos de auditoría y hacking ético aporta a empresas y organismos múltiples ventajas de toda índole, que apuntan directamente a aspectos fundamentales de su negocio o actividad. Su realización no debe ser simplemente reactiva o puntual, sino proactiva y periódica, liderada y dirigida por profesionales que hagan uso de herramientas y metodologías válidas orientadas a cada escenario. Otra forma de actuar es sin lugar a duda más “barata” pero probablemente totalmente ineficaz. La auditoría de seguridad y el hacking ético constituyen necesidades reales que empresas y organizaciones deben atender, pero haciéndolo de forma adecuada, evitando malgastar recursos y esfuerzos.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual